盤上の銀色の金属製チェスの駒のクローズアップ。焦点はルーク、背景にナイトが写っています。.

脅威インテリジェンスソリューションに求められるもの

ユーザーアバター
ケイティ・バイコウスキー
3 1分間の読書

 

脅威インテリジェンス、あるいはサイバー脅威インテリジェンスは、脅威と脅威アクターに関するデータを収集、処理、分析した結果です。このインテリジェンスは、組織に対する脅威を特定・調査し、より強靭な組織の構築を目指します。.

脅威インテリジェンス(TI)プロバイダーとソリューションの分野は広大で多様であり、新しいベンダーが定期的に登場しています。提供されるサービスには、脅威インテリジェンスフィード、脅威インテリジェンスサービス、脅威インテリジェンスプラットフォームなどがあります。オープンソース(OSINT)ソリューションと有料ソリューション、業界特化型ソリューションと汎用型ソリューション、戦術的コンテンツと戦略的コンテンツなど、様々な要素を考慮すると、組織に最適なソリューションを選択しようとすると、途方に暮れてしまうかもしれません。.

サイバーセキュリティの技術やソリューションは溢れかえっており、すべての問題に対応できるものを見つけるのは至難の業です。脅威インテリジェンスの導入を検討し始めたら、ベンダーやソリューションを評価・選定するためのベストプラクティスは何でしょうか?

まず最初に、ユースケースを検討することから始めましょう。ソリューションはユースケースに適合するべきであり、その逆ではありません。最も一般的なユースケースには以下が含まれます。

  • フィッシング検出: フィッシングは蔓延しており、迷惑で、潜在的に大きな損害をもたらします。TIは、悪意のあるIPアドレスやフィッシング攻撃のその他の要素を特定し、検出と対応を迅速化するために不可欠です。.
  • 脅威ハンティング: アクティブな脅威が検出され、隔離され、修復される頃には、既に手遅れになっていることがよくあります。セキュリティチームは、新たなリスクを特定し、積極的に対応する必要があります。定期的に更新されるTIを脅威検出システムに適用することで、環境のセキュリティを確保できます。また、TIソリューションを使用して、新たな戦術やトレンドを調査することも可能です。.
  • 脆弱性の優先順位付け: TIとの統合により、組織は脅威アクターがどの脆弱性を悪用しているかを把握することができ、現代の企業における脅威インテリジェンスの最も価値あるユースケースの一つとなっています。この実用的な知識は、組織の脅威状況に関する重要な洞察を提供します。.

ユースケースを定義したら、それらの領域に対応できるTIソリューションを探してください。SIEM、ファイアウォール、エンドポイント検知・対応(EDR)といった既存のセキュリティテクノロジーの中には、TIコンテンツのアドオンサブスクリプションを提供しているものがあることを必ずご考慮ください。ベンダーによってはインテリジェンスをOEMで提供している一方、コンテンツを共有しているベンダーもあるため、ベンダー間でインテリジェンスが重複する場合があることに注意してください。これは正常な動作であり、想定内のことですが、TIソリューションは重複ではなく、多様化されていることを確認する必要があります。.

他の新しいツールと同様に、管理に必要なリソースを確保してください。これらのソリューションから価値を引き出せるかどうかは、プロバイダーから提供されるインテリジェンスに基づいて行動するチームの能力と能力にかかっています。組織内の誰が、どのようなツールやプロセスでインテリジェンスを利用し、どのように活用するかについて計画を立てておくことが重要です。.

予算について言えば、TIの価格設定は一般的に大企業向けですが、中堅企業もTIの顧客として成長しています。基本的なサービスでは数万ドル程度ですが、より高度なサービス、戦略的なサービス、あるいはカスタムメイドのコンテンツとなると数十万ドル以上になることもあります。.

エンドユーザーがTIのメリットを享受するには、いくつかのことを同時に行う必要があります。これらは以下のように分類できます。

  • 取得する。. 市場には多くのベンダーが存在します。しかし、彼らは通常、マルウェアIOC、インターネットドメイン情報、ダークウェブ監視など、特定の分野に特化しています。すべての分野で優れたベンダーを見つけることは稀です。したがって、組織に最適なTIを組み合わせることが重要です。ユースケースと予算によっては、オープンソースインテリジェンス(OSINT)などの公開されている脅威情報源で十分にニーズを満たすことができる場合もあります。TIソリューションを購入する際には、カバレッジの広さ、情報の深さと正確性、そして複数のツールやプロセスで活用する場合には拡張性も考慮する必要があります。.
  • 集計. TIを複数の形式と種類で取得したら、次は集約です。ここで、次のようなソリューションが役立ちます。 セキュリティオーケストレーション、自動化、対応(SOAR) SOARは大量のTIを収集し、重複を排除し、他のデータで強化し、検索可能にして、下流の自動化ユースケースで活用します。また、SOARはTIソースを比較し、脅威コンテンツの重複や潜在的な冗長性を明らかにすることもできます。.
  • アクション。. 情報を持っていても、それを活用しなければ何の役にも立ちません。また、情報を実行可能なものにする必要があります。提供された情報に基づいてどのような意思決定を行うか、そして誰がどのようにその意思決定を行うかを把握するためのプロセスを確立する必要があります。.

脅威インテリジェンスソリューションの選択とそこから得られる価値の獲得は複雑です。「そこそこ」のセキュリティ自動化に甘んじることなく、適切なソリューションを選択する方法について詳しく知りたい方は、今すぐデモをご依頼ください。. 

タグ

2017 年 8 月 30 日
2017年のサイバーセキュリティ統計:事実と将来を厳しく検証
続きを読む
2022 年 12 月 15 日
脅威インテリジェンスの強化を自動化
続きを読む
2017年9月27日
脅威インテリジェンスプラットフォームを活用したサイバーセキュリティ強化
続きを読む

ライブデモをリクエストする