コンテンツへスキップ

行動インテリジェンス:エージェント型企業を守る新しいモデルブログを読む

デモを見る

脅威ハンティングとインシデントレスポンス:6つの違いと相乗効果

  • 7 minutes to read

目次

    脅威ハンティングとインシデントレスポンスの定義

    脅威ハンティングは積極的だ、 攻撃者がすでに内部にいることを前提に、隠れた未検出の脅威を探す。インシデント対応一方、事後対応型は、アラートをトリガーとしたアクティブな攻撃を封じ込め、根絶し、復旧させることで、既知の侵害を管理する。ハンティングは防御をすり抜ける未知のインシデントを発見し、レスポンスは確認されたインシデントを一掃する。

    脅威ハンティングの主要な側面は以下の通りである:

    • 目標:高度な永続的脅威(APT)、マルウェア、または自動化ツールによって見逃された異常な動作を発見する。
    • トリガー:特定のアラートはない。仮説、脅威情報、および侵害の想定に基づく。
    • Focus:インサイド・アウト、「未知の未知」を探す。
    • スキル:データ分析、アタッカーTTPの理解、調査マインド。

    インシデントレスポンス(IR)の主な側面は以下の通り:

    • スキル:コミュニケーション、科学捜査、封じ込め、協力、危機管理
    • アプローチ:反応型、誘発型、構造型(準備、特定、封じ込め、根絶、回復、教訓)。
    • 目標:被害を最小限にとどめ、システムを復旧させ、検知後に脅威行為者を排除する。
    • トリガー:特定のアラート、検出、または報告されたセキュリティ・イベント。
    • Focus:既知のインシデント、「既知の未知」(侵害について分かっていること)。

    どのように連携するのか

    • 脅威ハンティングは、脅威がアラートをトリガーする前に発見することでインシデント対応を開始し、潜在的な災害を管理されたインシデントに変えることができる。
    • 新たな攻撃者のTTPのような)IRの発見は、脅威のハンティングを促進し、より効果的にする。
    • これらを組み合わせることで、包括的なセキュリティ態勢が構築され、既知の問題の検出から隠れた問題の探索へと移行し、全体的なサイバー耐障害性が強化される。

    これは、サイバー脅威インテリジェンスに関する一連の記事の一部である。

    脅威ハンティングとインシデントレスポンス:共通点

    脅威ハンティングとインシデントレスポンスはいずれも、脅威の特定と軽減に焦点を当てた最新のサイバーセキュリティ戦略の中核をなす要素である。いずれも、熟練した人材、システムとログの深い分析、攻撃者の行動の徹底的な理解が必要です。どちらも脅威インテリジェンスに依存し、多くの同じツール(SIEM、エンドポイント検出および応答システム、ログ分析プラットフォームなど)を使用し、脅威が組織に与える影響を軽減することを目的としています。

    また、どちらの手法も、反復的かつ調査的な性質を持っている。そのため、セキュリティ・チーム間の強力なコミュニケーション、調査結果の文書化、手法の継続的な改良が必要となります。アクティブなインシデントに対応する場合でも、隠れた脅威をプロアクティブに探索する場合でも、悪意のある活動を可能な限り効果的に検出、封じ込め、防止するという目標は変わりません。

    インシデントレスポンスと脅威ハンティング:主な違い

    以下の表は、インシデントレスポンスと脅威ハンティングの違いをまとめたものである。以下では、それぞれの違いについて詳しく説明する。

    アスペクトインシデント対応脅威ハンティング
    アプローチ構造的、反応的、政策主導型仮説ベース、積極的、探索的
    ゴール既知の脅威を封じ込め、修復する隠れた脅威や未知の脅威を発見する
    トリガー警告または確認されたインシデント仮説、脅威情報、疑わしいパターン
    フォーカス当面の脅威と回復長期的な発見と予防
    スキルフォレンジック、封じ込め、システム復旧行動分析、TTP、創造的調査
    タイムフレーム現在または最近将来のリスクまたは過去の未検出の活動

    1.アプローチ

    インシデント対応は、文書化された手順と組織の方針によって導かれる、あらかじめ定義された構造化されたアプローチに従う。手順は明確に定義され、通常はアラートやインシデントの確認など、具体的なトリガーによって開始される。このプロセスは反復可能で一貫性があり、多くの場合コンプライアンスに基づき、混乱を最小限に抑え、プレッシャーの中で効率的に脅威を処理できるように設計されている。

    脅威ハンティングは、手続き的というよりは、探索的で仮説主導型である。脅威ハンターは知識と直感を頼りに、どこを調べ、どのようなパターンを調査するかを決定する。このアプローチは流動的で順応性が高く、標準的な操作手順を厳格に遵守するのではなく、学習と発見に重点を置いている。

    2.目標

    インシデント対応の主な目標は、脅威を可能な限り迅速に封じ込め、緩和し、システムおよびサービスを最小限の混乱で復旧させることです。これには、インシデントの根本原因の分析、拡散の抑制、悪意のあるアーティファクトの根絶、そして多くの場合、インシデント後のレビューや法的措置のための証拠の保全が含まれます。制御、回復、修復に重点を置く。

    脅威ハンティングの目標は、脅威が本格的なインシデントに発展する前にプロアクティブに検知することである。脅威ハンターは、これまで知られていなかった脆弱性、隠れた敵対者、新たな攻撃パターンを特定しようとします。脅威が拡大する前にこれらを発見することで、組織は防御を強化し、将来のインシデントの影響を軽減することができる。

    3.トリガー

    インシデント対応活動は通常、SIEM、ファイアウォール、侵入検知システム、エンドポイント保護ツールによって検知された異常なアクティビティなどのアラート、またはユーザーや外部ソースからのレポートによってトリガーされる。このプロセスは、インシデントの証拠が明らかになった場合にのみ開始されるため、事後的な対応となります。

    脅威ハンティングは、特定のアラートやイベントによって行われるものではない。その代わりに、仮説、新しいインテリジェンス、または疑わしい傾向の特定に基づいて開始される。つまり、攻撃が進行中であるという明確な兆候がない状態でハンティングが開始されることが多く、プロアクティブで予防的な活動となっている。

    4.フォーカス

    インシデント対応の焦点は、既知または進行中のインシデントの調査、封じ込め、解決に限定される。その対応は、特定の事象に特化したものであり、当面の脅威に対処し、損害を最小限に抑え、通常の業務を回復させることを目的としている。

    スレット・ハンティングは、発見することに重点を置いている。この作業はより戦略的かつ長期的であり、潜んでいる攻撃者、高度な持続的脅威(APT)、またはこれまで認識されていなかったセキュリティ・ギャップを発見する役割を果たす。インシデントに特化した復旧よりも、広範でプロアクティブなネットワーク防御に重点が置かれる。

    5.スキル

    インシデント対応の専門家は、フォレンジック分析、根本原因分析、マルウェアの修復、危機管理の専門家であることが多い。彼らは、手順に従い、行動を文書化し、プレッシャーの中で利害関係者と調整することに長けています。ログ分析、システム復元、証拠保全などの技術的スキルは、この職務に不可欠です。

    スレットハンターには、分析能力、創造性、攻撃者の戦術、技術、手順(TTP)に対する深い理解が必要です。彼らの仕事は、微妙なパターンの解釈、仮説の形成、脅威インテリジェンスの活用に大きく依存しています。また、スクリプティング、行動分析、ネットワークやエンドポイントを詳細に調査するためのセキュリティ・ツールに精通することもスキルに含まれます。

    6.時間志向

    インシデントレスポンスは、本質的に反応的であり、現在および直近の過去、つまり現在起こっていること、あるいは起こったばかりのことに焦点が置かれている。タイムラインはイベントドリブンであり、アクティブな脅威を封じ込め、そこから回復するための迅速なアクションに緊急性が置かれる。

    脅威ハンティングは、将来起こりうることを発見したり、過去や現在の検知を回避してきたことを明らかにしたりすることを目的とした、将来を見据えた予測的なものである。その方向性は戦略的であり、攻撃者の一歩先を行き、未知のリスクに早期に対処することで将来のインシデントを防止することを目的としている。

    関連コンテンツガイドを読む脅威ハンティングと脅威インテリジェンス

    エキスパートからのアドバイス

    スティーブ・ムーア

    スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech CouncilのメンバーExabeamのTEN18の共同創設者でもあります。

    私の経験から、脅威ハンティングとインシデントレスポンス・プログラムをよりよく統合し、最適化するのに役立つヒントを紹介しよう:

    ハイブリッドな役割を設定し、専門知識を相互に提供する:脅威調査とインシデント対応の職務をローテーションで担当するセキュリティ要員を指定する。このようなクロストレーニングにより、実際の IR に関する知見を活用して脅威の検知戦略を強化し、プロアクティブな考え方と戦術を取り入れることで IR の俊敏性を向上させる。

    IRトリアージロジックの改良にハンティングデータを使用:脅威ハンティングの結果を分析し、SIEM相関ルールの調整や特定のTTPの優先順位付けなど、インシデント対応アラートロジックを調整します。これにより、ノイズが減少し、インシデントのトリアージ効率が向上します。

    インシデント発生後のレビューに「脅威ハンティングのトリガー」を組み込む:インシデントが発生するたびに、IR のアーティファクトから少なくとも 1 つのフォローアップ・ハンティング仮説を定義する。これにより、環境内の実際の攻撃者の行動に基づいて、脅威ハンティングを継続的に進化させることができる。

    相関関係のための統一されたタイムラインを確立する:ハンティングの発見とIRアーティファクトの両方を含む、正規化された環境全体のタイムラインを開発する。これは、より効率的なインシデントの再構築をサポートし、ハンティング仮説の検証や反証に役立ちます。

    未解決の IR 異常をハンティングの種として活用する:IR 調査で得られた、原因不明の横方向の動きや未知のバイナリなど、不完全または曖昧な指標を、最初のインシデントが解決された場合でも、新たな脅威ハンティングの手がかりとして活用する。

    インシデントレスポンスとスレットハンティング:両者の連携

    インシデントレスポンスと脅威ハンティングは、統合することでより強靭なサイバーセキュリティ体制を構築する補完的な分野である。インシデントレスポンスが確認された脅威に対応するのに対し、脅威ハンティングは未知のリスクを積極的に探します。一方のプロセスから得られる知見は、もう一方のプロセスに直接反映され、改善されます。

    例えば、脅威ハントから得られた知見(侵害の指標や新たな攻撃者のテクニックなど)をインシデント対応のプレイブックに組み込むことで、将来のインシデントにおける検知と封じ込めを改善することができます。同様に、インシデント対応中に収集されたフォレンジック・アーチファクトや攻撃ベクトルなどのデータは、脅威ハントの仮説にフィードバックすることができ、環境内の他の場所で関連する活動や未検出の活動を発見するのに役立ちます。

    これらを組み合わせることで、継続的なフィードバック・ループが形成される。脅威ハンティングは、可視性を拡大し、死角を減らすことで、早期発見の可能性を高めます。インシデントレスポンスは、脅威が発見された場合に迅速な対応を保証する。これらを組み合わせることで、攻撃者の滞留時間を短縮し、既知の脅威と新たな脅威の両方に対する組織の防御能力を強化することができる。

    脅威ハンティングとインシデントレスポンスExabeam

    Exabeamのセキュリティ・オペレーション・プラットフォームは、先駆的なUser and Entity Behavior Analytics(UEBA)とセキュリティ分析を基盤としており、脅威の発見とインシデント対応の能力を根本的に強化します。膨大な量のデータを取り込み、正規化し、分析する統合プラットフォームを提供することで、Exabeamは、隠れた脅威をプロアクティブに発見し、確認されたインシデントに迅速に対応するために必要なインテリジェンスをセキュリティチームに提供します。

    Exabeam、両分野にどのような力を与えているのかを紹介しよう:

    • 脅威ハンティングのために
      • ハンティング・グラウンドとしての行動異常検知:ExabeamのUEBAは、すべてのユーザー、資産、アプリケーションについて、正常な行動のベースラインを確立します。これにより、微妙な逸脱やリスクの高い行動が自動的にフラグ化され、従来の防御では見逃されていた「未知の未知」の可能性へとハンターを導きます。
      • プロアクティブな探索のための豊富なデータ:このプラットフォームは、エンドポイント、アプリケーション、クラウドサービス、ネットワークデバイスからデータを取り込んで正規化し、一元化されたデータレイクを作成します。これにより、ハンターは膨大なデータセットを能動的にクエリ、フィルタリング、探索し、新たな攻撃手法や横の動き、永続的な脅威に関する仮説を検証することができます。
      • 脅威ハンティングクエリのスケジュール:セキュリティチームは、複雑な脅威ハンティングクエリをスケジュールして、自動的に繰り返し実行することができます。これにより、特定のパターンや異常に対する継続的な監視が保証され、常に手動で介入することなく、プロアクティブな検知活動を継続することができます。
      • 脅威インテリジェンス統合(STIX/TAXIIサポート): Exabeam外部脅威インテリジェンスを組み込み、STIX/TAXIIフィードなどの業界標準のサポートも含まれます。このインテリジェンスは内部セキュリティデータを豊かにし、ハンターは自らの環境内の広範な脅威状況から識別されたインジケーター・オブ・コンブレック(IOC)や戦術・技術・手順(TTP)を積極的に検索できるようにします。
      • 自動化されたコンテキストとタイムライン:Exabeamは、異なるセキュリティイベントを包括的なセッションタイムラインに自動的につなぎ合わせます。これにより、手作業によるログの関連付けが不要になり、ユーザーとエンティティのアクティビティに関する明確な時系列の説明がハンターに提供されるため、調査中にコンテキストとスコープを迅速に理解することができます。
      • 重点的なハンティングのためのリスクベースの優先順位付け:このプラットフォームは、アクティビティに動的なリスクスコアを割り当てます。脅威ハンターはこれらのスコアを活用して、最もリスクの高い行動や、まだアラートを発していないが悪意の兆候を示すエンティティに焦点を当て、取り組みの優先順位を決定することができます。
    • インシデントレスポンス
      • 迅速なインシデントの特定:Exabeamの行動分析では、異常な行動を高リスクのスコアと関連付けることで、忠実度の高いセキュリティ・インシデントを自動的にフラグ付けします。これにより、アラートに対する疲労が軽減され、セキュリティチームが本物の脅威に集中できるため、インシデント対応プロセスが迅速に開始されます。
      • 迅速な調査:インシデントが特定されると、Exabeam、アラートに関連するすべてのユーザーとエンティティのアクティビティのタイムラインが提供されます。不審なイベントの前、最中、後に何が起こったかを含むこのコンテキスト・データは、平均調査時間(MTTI)を劇的に短縮します。
      • 証拠収集の自動化:このプラットフォームは、関連するログやデータを収集する面倒な作業を自動化し、インシデント対応担当者が封じ込めと根絶のために必要なすべての情報をすぐに入手できるようにします。
      • 情報に基づいた封じ込めと修復:攻撃の連鎖と侵害された資産を明確に理解することで、対応者は脅威の封じ込め、ユーザーやデバイスの隔離、悪意のある存在の根絶の方法についてより適切な判断を下し、被害と復旧時間を最小限に抑えることができます。
      • インシデント発生後の分析の改善:Exabeamの詳細な監査証跡とセッション記録は、インシデント発生後の包括的なレビューをサポートし、教訓を抽出してセキュリティ対策を改善することを可能にします。

    これらの機能を統合することで、Exabeamは、プロアクティブな脅威ハンティングから得られる洞察がインシデント対応のプレイブックを強化し、インシデント対応から得られるフォレンジックデータが今後のハンティングの仮説を充実させるという強力なフィードバックループを生み出します。この共生関係は、進化し続ける脅威の状況に対して、より強靭で適応力のあるセキュリティ態勢を育みます。

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。