脅威ハンティング vs脅威インテリジェンス: 違いと相乗効果

スレットハンティングとは何か？

スレット・ハンティングとは、スレット・ハンターと呼ばれる訓練を受けた人材が、既存のセキュリティ・ソリューションを回避する高度な脅威を積極的に探索、特定、隔離するプロアクティブなサイバーセキュリティ・プロセスです。アラートを待って行動するのではなく、システム内に潜む隠れた脅威を積極的に探し出すのです。

推薦図書​：セキュリティ・ビッグデータ分析：過去、現在、未来​

脅威ハンティングに関わる役割

脅威ハンティングに関わる役割には、脅威アナリスト、インシデント対応者、サイバーセキュリティ・エンジニアがいる：

• 脅威アナリストは主に、入手可能なデータを分析することによって攻撃者の行動を理解し、予測する責任を負う。正式なインサイダー脅威チームの一員となることもある。
• インシデント対応者は、セキュリティ・インシデントの影響を軽減するために直ちに行動を起こす。
• サイバーセキュリティ・エンジニアは、高度なサイバー脅威を防御するためのセキュアなネットワーク・ソリューションの設計、実装、更新を担当します。
• DevSecOpsチームは、通常、正式にはセキュリティオペレーションセンター（SOC）チームの一部ではないが、公開された脆弱性のためにアプリケーションライブラリ、ツール、またはリソースのアップデートが必要な事象を発見した場合、SOCチームとやりとりすることがよくある。

これらの役割は、それぞれ自分の責務の一環として脅威ハンティングを実施する。また、より複雑な脅威ハンティングを実施するために、協力し、それぞれの知識とスキルを組み合わせることもできる。

脅威ハンティングに必要なツールとトレーニング

脅威ハンティングによく使われるツールには、以下のようなものがある：

• セキュリティ情報・イベント管理（SIEM）システム：セキュリティ・アラートのリアルタイム分析
• 侵入検知システム（IDS）：不審な動きがないかネットワークを監視する。
• Endpoint Detection and Response（EDR）：エンドポイント上の脅威を可視化し、セキュリティチームが迅速なフォレンジック調査を実施し、自動と手動の組み合わせで脅威に対応する。
• 動的または静的なアプリケーションセキュリティテスト（DAST/SAST）およびソフトウェア構成分析（SCA）：スプリントの一環であれ、四半期ごとであれ、完全なコンプライアンスイニシアチブの一環として毎年であれ、レポートと結果にアクセスすることで、セキュリティ態勢の変更時に根本原因を完全に理解することができる。

脅威の探索にはトレーニングも必要です。IT環境の複雑さを理解し、潜在的な脅威に関する仮説の立て方、データの収集と分析方法、関連するサイバーセキュリティ・ツールの効果的な使用方法を学び、緩和策を完全な修復に終わらせるための支援やサポートを得るために、他のチームへのエスカレーションやコミュニケーションの方法を学ぶ必要があります。

脅威インテリジェンスとは？

脅威インテリジェンスとは、サイバー脅威を防止または軽減するための知識です。それは敵を知ることであり、敵が誰なのか、その動機は何なのか、そして敵が使用するテクニックを理解することです。この情報は、プロアクティブなセキュリティ対策と戦略を策定する上で不可欠です。

情報源脅威インテリジェンス

脅威インテリジェンスは、潜在的な脅威の包括的なイメージを作成するために、それぞれがパズルの異なる部分を提供する、多くのソースから来ることができます。これらの情報源には以下が含まれる：

• オープンソースインテリジェンス(OSINT):様々なオンラインソースから収集できる、一般に入手可能な情報。
• ソーシャル・メディア・インテリジェンス（SOCMINT）：潜在的なサイバー脅威に関する手がかりを得るためにソーシャル・メディア・プラットフォームを調査すること。
• ヒューマン・インテリジェンス(HUMINT):人と人との交流が含まれ、潜在的脅威に関する内部情報を提供することができる。
• 技術データの分析：例えば、マルウェアのサンプル、サーバーログ、攻撃されたIPアドレスなどを分析し、攻撃者の手口を把握する。

テクニカル・リスクとビジネス・リスクの比較

脅威インテリジェンスを扱う際には、技術的リスクとビジネスリスクの違いを理解することが重要である。技術的リスクとは、ソフトウェアの脆弱性やハードウェアの故障など、技術的な不具合の可能性を指す。一方、ビジネスリスクは、組織の運営能力や利益に悪影響を及ぼす可能性のあるあらゆる活動に関するものである。

サイバーセキュリティの領域では、どちらのタイプのリスクも相互に関連している。データ侵害のような技術的リスクは、顧客の信頼の失墜や潜在的な法的影響など、重大なビジネスリスクにつながる可能性がある。したがって、効果的な脅威インテリジェンスには、技術リスクとビジネスリスクの両方を管理することが含まれます。

脅威行為者グループ

脅威行為者グループとは、サイバー攻撃を実行する組織体である。政治的な動機で活動する国家に支援されたグループから、金銭的な利益を追求する犯罪グループ、イデオロギー的な目標に突き動かされたハクティビスト・グループまで、その範囲は多岐にわたります。様々な脅威行為者グループを理解することは、脅威インテリジェンスの重要な部分である。

相手が誰なのかを知ることで、相手の動きを予測し、より効果的にシステムを守ることができる。各グループにはそれぞれ好む手法やターゲットがあり、この情報はセキュリティ戦略の指針となる。例えば、特定のグループが、攻撃ソフトウェアの実装パターンが既知のランサムウェアで金融機関を標的にすることで知られている場合、銀行はこの情報を利用して、彼らの典型的な攻撃ベクトルに対する防御を強化することができます。これは、情報セキュリティに関する一連の記事の一部です。

脅威ハンティング vs.脅威インテリジェンス: 主な違い

方法論

脅威ハンティングとは、サイバーセキュリティに対するプロアクティブなアプローチである。自動化されたセキュリティ対策の隙間をすり抜けたり、既存のセキュリティ・スタックが積極的にカバーしていない脅威を積極的に探索する。これには、システム・ログ、ネットワーク・トラフィック、ユーザーの行動を深く掘り下げて潜在的な脅威を特定することが含まれる。2021年の例で言えば、Log4Jの脆弱性がSOCMINTを通じて表面化したとき、脅威ハンターは直ちに判断しなければならなかった：

• Log4Jは、彼らの環境でApacheウェブサーバーによって使用されていたのだろうか？
• 現在使用しているアパッチのバージョンは脆弱ですか、それとも最新バージョンにパッチされていますか？
• 脆弱性がある場合、その環境で既知のエクスプロイトが検出された形跡があるか。

脅威インテリジェンスは、潜在的な脅威に関する情報の収集、分析、応用に重点を置く。より反応的なアプローチであり、脅威の状況を理解し、潜在的な攻撃に備えることに重点が置かれる。

目的

脅威ハンティングの主な目的は、脅威が重大な被害をもたらす前にその脅威を特定し、無力化することである。攻撃者の一歩先を行き、侵害の潜在的な影響を最小限に抑えることです。

脅威インテリジェンスとは、脅威の状況を理解することです。潜在的な攻撃者が誰なのか、その手口はどのようなものなのか、そしてその攻撃にどう備えるべきかを知ることです。

依存関係

脅威ハンティングは、脅威ハンターのスキルと専門知識に大きく依存する。そのためには、システムやアプリケーション、ネットワーク、認証方法、ユーザー行動に対する深い理解と、攻撃者のように考える能力が必要です。

脅威インテリジェンスは、収集した情報の質と関連性により大きく左右される。情報の意味を理解し、防衛側の環境内で効果的に適用するためには、強力な分析スキルが必要となる。

テクニックとツール

脅威ハンティングも脅威インテリジェンスも、さまざまな技術やツールを使用する。これらのツールは、単純なネットワーク・モニタリング・ツールから高度な人工知能アルゴリズムまで多岐にわたる。

しかし、重要な違いは、これらのツールの使い方にある。脅威ハンティングでは、これらのツールを使って積極的に脅威を探すことに重点が置かれる。脅威インテリジェンスでは、潜在的な脅威に関する情報を収集・分析するためにツールを使用する。

脅威ハンティングとの相乗効果脅威インテリジェンス

脅威ハンティングと脅威インテリジェンスはしばしば併用される。実際、優れた脅威インテリジェンスなしに効果的な脅威ハンティングを行うことは難しい。この2つのアプローチがどのようにお互いを補い合うのかを見てみよう。

アクティブ脅威ハンティングとリアクティブ脅威ハンティングの準備

アクティブな脅威ハンティングではプロアクティブに脅威を探索し、リアクティブな脅威ハンティングではアラートやインシデントに対応する。どちらのアプローチにおいても、脅威インテリジェンスは重要な役割を果たす：

• アクティブ脅威ハンティングでは、潜在的な脅威に関するインテリジェンスがハンティング・プロセスの指針となり、標的となる可能性が最も高いシステムの領域に焦点を当てることができる。
• リアクティブな脅威ハンティングでは、攻撃者が使用する手法や戦術に関するインテリジェンスを活用することで、脅威を迅速に特定し、無力化することができる。

業界情報による攻撃のモデル化

脅威インテリジェンスが脅威ハンティングを支援するもう一つの方法は、業界全体の脅威に関する情報を提供することである。この情報を使って潜在的な攻撃をモデル化し、特定の脅威を予測・準備することができる。このように、脅威インテリジェンスは脅威の探索プロセスをガイドし、より的を絞った効果的な探索を可能にする。

行動パターンによる脅威の文脈化

脅威インテリジェンスには、多くの場合、特定の脅威行為者グループの行動パターンや、野放しで発見されたマルウェアの組み合わせが含まれています。このような情報を取り入れることで、脅威ハンティングの精度を高めることができます。例えば、脅威インテリジェンス・フィードから、特定のグループが最初の攻撃ベクトルとしてスピアフィッシングを頻繁に利用していることが判明した場合、脅威ハンターは受信メールや関連ログをより詳細に精査することに注力することができます。こうすることで、単なる異常の検索ではなく、信頼できるインテリジェンスに基づく的を絞った調査が可能になります。

緩和のための共同意思決定

脅威インテリジェンス・プラットフォームは、複数のソースからのデータを集約し、脅威の状況を包括的に把握することができる。一方、脅威ハンターは、調査を通じて貴重な内部データを生成します。これら2つのデータを組み合わせることで、セキュリティ・チームはリスクを軽減する方法について、より多くの情報に基づいた意思決定を行うことができます。例えば、脅威インテリジェンスが新たなマルウェアキャンペーンを示し、脅威ハンターが内部サーバからの異常な送信トラフィックを特定した場合、それに応じてセキュリティ対策を調整することができます。

Exabeam による脅威ハンティング

Exabeamは、脅威の検知、調査、対応（TDIR）を簡素化することで、アナリストが攻撃者を出し抜くことを支援します。Exabeamでは、ユーザー、アセット、イベント、リスク・タイプ、アラート、IoC、攻撃者のTTPなど、特定の条件をポイント・アンド・クリックで検索できます。また、タイムラインで異常な行動を検索することもできます。Exabeamを使用することで、アナリストはより迅速に対応し、攻撃を阻止することができます。

Exabeam は、脅威ハンティングにどのように役立つのでしょうか？

このプラットフォームの主な機能は、より効果的な脅威ハンティング能力を構築するのに役立つ：

• 使いやすい検索インターフェース：ポイント・アンド・クリックのインターフェースにより、データを照会して異常や脅威を検索するのが簡単です。
• コンテキストを考慮したデータ：IoC上での複雑な検索などを可能にします。
• 行動脅威ハンティング：アナリストは、IoAだけでなく、ログや相関イベントを検索することができます。
• 自動インシデント・タイムライン：自動化により、ログを管理するよりも迅速かつ簡単に証拠を収集できます。
• データの可視化：関係性を表現し、データ間の隠れた相関関係を明らかにする。