脅威インテリジェンスの強化を自動化

サイバーセキュリティの脅威はしばしば軍事用語で表現されます。これは偶然ではありません。.

領土防衛を任務とする軍隊のように、サイバーセキュリティチームは直面する脅威を理解する必要があります。迅速かつ有意義な対応が求められます。そうでなければ、敗北に直面することになるでしょう。.

最近の出来事は、サイバー敗北がどのようなものかをより深く理解させてくれました。そして、それは決して楽観的なものではありません。データ侵害による損失であろうと、 平均$424万, 政治指導者がハッキングの標的になったり、政府データが侵害されたりした場合、そのリスクは極めて高くなります。サイバーセキュリティチームは、どのような悪意のある攻撃者やハッキング手法が自分たちを狙っているのか、そしてそれらに対して何をすべきかを理解する必要があります。.

サイバー敗北がどのようなものかについて、私たちはかなりよく理解し始めていますが、それは決して見苦しいものではありません。.

これに対応して、サイバーセキュリティ分野では、脅威が侵害される前にそれを特定することに重点を置いた脅威インテリジェンスが開発されました。.

脅威インテリジェンスとは何ですか?

ガートナーは、脅威インテリジェンスを「資産に対する既存または新たな脅威または危険に関するコンテキスト、メカニズム、指標、影響、実用的なアドバイスなどの証拠に基づく知識であり、その脅威または危険に対する主体の対応に関する意思決定に役立てることができる」と定義しています。“

脅威インテリジェンスの種類は次のとおりです。

• 戦略的脅威インテリジェンス：より広範かつ高レベルのトレンドに焦点を当てます。インテリジェンスは、主に経営幹部やCISO（最高情報セキュリティ責任者）によるビジネス上の意思決定に活用されます。.
• 戦術的脅威インテリジェンス: 脅威アクターの行動、TTP、インシデント レポートに焦点を当て、SOC アナリストとセキュリティ ソリューションで活用します。.
• 運用上の脅威インテリジェンス: サイバー攻撃に関連するイベントとキャンペーンに焦点を当て、SOC マネージャー、脅威ハンター、その他のプロアクティブなチーム メンバーによって使用されます。.

脅威インテリジェンスはなぜ重要なのでしょうか?

脅威インテリジェンスは、セキュリティオペレーションセンター（SOC）の成功に不可欠です。サイバー脅威インテリジェンスデータの収集と活用は、拡大する脅威の状況に対応する上で重要です。侵害の兆候（IOC）を分析することで、組織はサイバー脅威の最新の傾向と進化に基づいて、事前に防御を強化することができます。しかし、セキュリティインフラストラクチャ全体にわたって包括的なデータを効果的に活用することは困難であり、プロセスは非効率的で時間のかかるものとなっています。.

脅威インテリジェンスは次のような点で役立ちます。

• 未知の脅威に文脈を加える 
• 悪意のある行為者の戦術、技術、手順（TTP）を明らかにする
• セキュリティチームがより情報に基づいた意思決定を行い、データ損失を防止できるようにします
• セキュリティ効率が向上し、関係者に明確なビジネス価値を示すことができます。 

脅威インテリジェンスの課題

組織のサイバー脅威インテリジェンス向上を支援するツールは存在しますが、脅威環境は常に変化しているため、組織はシステムを定期的に更新する必要があります。常に警戒を怠らないためには、脅威インテリジェンスフィードに最新のIOC（情報漏えいの証拠）が反映されている必要があります。しかし、最新のIOCに基づいてセキュリティアラームを正確に検証するには、手作業で作業を行う必要があり、時間がかかり、非効率的なプロセスです。.

システムが分散している場合、セキュリティアナリストは脅威に適切に対処するために必要なすべての情報を収集するために、プラットフォーム間を移動する必要があります。手動で行う場合、アナリストは以下のことを行います。

• アラートを受信する
• サイバー脅威インテリジェンスフィードを確認する
• 脅威情報をまとめる
• 決断する
• ネットワーク変更リクエストを送信する

アナリストがこれらの面倒な必須手順を完了するまでに、悪意のある攻撃者がすでに必要な情報をすべて収集し、システムに侵入している可能性があります。.

さまざまなソースからの膨大な量のデータ、手動の方法、IT リソースの不足 (スタッフとテクノロジーの両方)、不適切なツールなどにより、サイバー攻撃から企業を守るための迅速な意思決定における脅威インテリジェンスの生産的な使用が遅れ、場合によっては停止してしまう可能性があります。.

脅威インテリジェンスツール

脅威インテリジェンスソリューションは、セキュリティ組織が脅威に先手を打つのに役立ちます。これらのツールは、デバイスログや外部の脅威インテリジェンスソースなど、複数のデータストリームからの入力を分析し、以下のような潜在的な脅威を報告します。

• 外部の悪意のある行為者と通信していると思われる内部ホストを標的とした感染など、ネットワーク内のマルウェアの可能性があります。.
• 添付ファイルや悪意のあるドメインへのリンクからの電子メール攻撃。.
• ファイル名、レジストリ キーなどをターゲットとするホストベースのマルウェア。.

脅威インテリジェンス プラットフォームが必要なのは、セキュリティ アナリストが SIEM、侵入検知ツール、および関連システムによって生成される膨大な量のアラート データを収集し、支援なしで解釈することは不可能だからです。. 

自動化された脅威インテリジェンスの強化

SOC全体のアクションを効率化するために、セキュリティチームは以下を活用します。 セキュリティ自動化 脅威インテリジェンスの自動強化を実現します。セキュリティ自動化は、現在および将来の脅威に関する状況認識を向上させる統合システムを提供します。これにより、検出、評価、対応という脅威インテリジェンスサイクルを以下の方法で加速し、効率性を向上させます。

• チームが脅威に対してより迅速かつインテリジェントに対応できるよう支援します
• 最も関連性の高い実用的な脅威インテリジェンスデータを特定し、優先順位を付ける
• 脅威インテリジェンスをインシデント対応および修復プロセスに統合する

ローコードセキュリティ自動化は、SIEMソリューションやその他のセキュリティツールから、セキュリティイベント、インシデント、アラート、ケースなどのデータを統合します。そして、サイバー脅威インテリジェンスツールから取得したデータを相関分析し、悪意のあるIPアドレス、ドメイン、メールアドレスからのアクティビティを特定することで、インシデント対応プロセスを自動的に開始し、マシンスピードで脅威を駆除します。.

Swimlane Turbineのようなセキュリティ自動化ツールは、インシデント対応および修復プロセスの一環として脅威インテリジェンスを統合し、すべてのセキュリティイベント、インシデント、アラート、その他のタスクを一元管理することで、現在の脅威と潜在的な脅威をより包括的に把握できるようにします。Turbineは、日常的なセキュリティタスクの自動化に加えて、承認されたユーザーがケース、レポート、ダッシュボード、指標に一元的にアクセスできるようにします。.

Swimlane Turbine が脅威インテリジェンスと IOC 検索プロセスを自動化する様子をご覧ください。.

ローコード セキュリティ自動化を使用して脅威インテリジェンスの強化を自動化することで、組織は次のことが可能になります。

• セキュリティ調査とプロセスを標準化して効率を向上
• 関連するすべてのセキュリティ情報をカスタマイズ可能なダッシュボードに統合します
• 冗長で面倒な調査手順を自動化
• コラボレーションの改善
• アラートを優先する
• 状況認識を高める
• 攻撃チェーンへの対応を最適化
• 脅威インテリジェンスをより広く理解する

カスタマイズされたダッシュボードを使用することで、セキュリティアナリストはTurbine内で直接データを確認できます。他のプログラムにデータをコピー＆ペーストする必要はありません。同時に、脅威インテリジェンステーブルを操作して新たな脅威を探したり、予防措置や対応策の策定に役立つ新たな関連性を発見したりすることも可能です。.

インシデント対応時間の短縮、効率性の向上、セキュリティプロセスの最適化により、組織はセキュリティ運用チームが実際の脅威を阻止できると確信できます。 前に 彼らは、退屈な手作業に追われるのではなく、むしろ危害を加えます。.

電子書籍: SOC とそれ以降の自動化ユースケーストップ 13

電子書籍「自動化による向上: SOC とその先に向けた 13 の自動化ユースケース」では、SOC 内外での AI によるセキュリティ自動化の無限の可能性をご紹介します。.

ダウンロード