組織の防御力を高める脅威インテリジェンス活用

サイバーセキュリティ分野で「脅威インテリジェンス」という言葉が一般化してきています。実際の攻撃に関する詳細な情報が「脅威インテリジェンス」としてセキュリティベンダや ISAC など情報共有フレームワークにより共有されているのです。こうした情報を適切に活用すれば、脅威に迅速に対応できるようになります。ただし、ひとくちに脅威インテリジェンスと言ってもその内容や定義、形態はさまざまですから、正しく理解して、効果的に活用しなければなりません。

痛みのピラミッド

2013 年、セキュリティ専門家の David J. Bianco は攻撃者が残す痕跡 (Indicator、インジケータ) を 6 種類に分類しました。これらの痕跡に防御側が対策した場合、攻撃者に与えられるダメージはそれぞれに異なります。Bianco は攻撃者にとって対策されても痛みの小さいものから大きいものに並べ、Pyramid of Pain (痛みのピラミッド) として公開しました (図 1)。

図 1 痛みのピラミッド。上から TTP、ツール、ネットワーク・ホストアーティファクト、ドメインネーム、IPアドレス、ハッシュ値。上部ほど痛みが強い。
図 1 痛みのピラミッド

このピラミッドの下部 3 層「(ファイル) ハッシュ値」、「IP アドレス」、「ドメインネーム」は IoC  (Indicator of Compromise、侵害の痕跡) としてよく共有されています。これらの痕跡は実際の攻撃で使用されたものであることが多く、機械的に処理しやすいデータ構造をもつことから、自動検出/防御に利用すれば大きな効果を発揮できます。しかしこれら IoC に含まれる内容は攻撃者が簡単に変更できるので、防御側が与えられる「痛み」はあまり大きくありません。

一方、ピラミッドの上部 3 層は攻撃者や脅威のふるまいに関するものです。ふるまいは簡単には変えられないため、防御側に対応されてしまうと攻撃者にとっては非常に「痛み」が大きくなります。つまり攻撃者のふるまいを学び、迅速に対応することで組織の防衛力を高めることができるのです。

攻撃者のふるまい

攻撃者のふるまいを理解するための有益な情報源の一つとして、セキュリティベンダが提供する脅威情報を活用できます。脅威インテリジェンスチーム Unit 42 は攻撃者のふるまいと IoC を含んだレポートを年間 100 本程度公開しています。

MITRE ATT&CK™ フレームワーク

Unit 42 などのレポートに含まれる「実際の攻撃者によってとられた行動やテクニック」を分類して記述するためのフレームワークのひとつにATT&CK™ があります。ATT&CK は、脆弱性の識別に利用される CVE 番号を採番している非営利団体 MITRE 社が導入したものです。現在はMac や、Linux、モバイルなどプラットフォーム別にも作成されており、最も多い Windows 用では本稿執筆時点で 12 のカテゴリ、のべ 314 のテクニックが分類されています (図 2)。

図 2 ATT&CK フレームワーク Windows用マトリックス
図 2 ATT&CK フレームワーク Windows用マトリックス

たとえば、Unit 42 が報告した高度な標的型攻撃グループ DarkHydrus の利用するテクニックやツールは ATT&CK フレームワークで整理したものが https://attack.mitre.org/groups/G0079/ にまとめられています。仮にここに記載されているテクニックやツールが自組織で発見された場合 DarkHydrus が関与している可能性が考えられることになります。また自組織が同グループのターゲットになる可能性があると判断した場合、これらのテクニックやツールにプロアクティブに対応することで防御できる可能性が高まります。

まとめ

「脅威インテリジェンス」には大きく分けて2種類あります。「攻撃の痕跡として残された IoC を使い、自動的に検出・防御を行うこと」、そして「攻撃者のふるまいに関する情報を活用し、プロアクティブな対策を行うこと」です。さまざまな機関が脅威インテリジェンスをインターネット上で公開していますので、これらを有効活用して組織の防御力を高めてください。