サイバー脅威インテリジェンスが定義されました
デジタル トランスフォーメーションは大規模なデータ資産を生み出し、サイバー犯罪者に新たな攻撃の道を開きます。悪質なアクターの手口は巧妙で、進化を続けているため、企業が新たな脅威の先を行くことは困難です。サイバー脅威インテリジェンスでは、会社が継続的に防御を強化するために必要な情報と機能が提供されます。
サイバー脅威インテリジェンスは、サイバー攻撃からの組織の保護を強化するのに役立つ情報です。これには、セキュリティ チームが攻撃に対する準備、検出、対応方法に関する十分な情報に基づいて意思決定を行えるよう、脅威の状況を包括的に把握できるデータと分析が含まれています。アクターの行動、ツールやテクニック、悪用、ターゲットとする脆弱性、新たな脅威に焦点を当てた情報を得ることで、組織のセキュリティ対策に優先順位付けするのに役立ちます。
脅威インテリジェンスのしくみ
脅威インテリジェンス プラットフォームは、新たな脅威や既存の脅威に関する大量の生データを分析し、迅速かつ十分な情報に基づいたサイバーセキュリティの意思決定に役立ちます。堅牢な脅威インテリジェンス ソリューションは、グローバル シグナルを毎日マッピングし、それらを分析することで、刻々と変化する脅威の状況に先取りした対応に役立ちます。
サイバー脅威インテリジェンス プラットフォームは、データ サイエンスを活用して誤報を排除し、実際に被害をもたらす可能性のあるリスクに優先順位を付けます。そのデータの出所は次のとおりです。
- オープンソース脅威インテリジェンス (OSINT)
- 脅威インテリジェンス フィード
- 社内分析
単純な脅威データ フィードでは、最近の脅威に関する情報が提供される可能性がありますが、構造化されていないデータから、どの脅威に最も脆弱であるかを判断したり、侵害後のアクションの計画を提案したりすることはできません。その作業は通常、人間のアナリストに任されます。
脅威インテリジェンス ソリューションは、単に攻撃に対応するのではなく、攻撃を未然に阻止するのに役立つ多くのセキュリティ機能を自動化する AI、機械学習、セキュリティ オーケストレーション、オートメーション、および応答 (SOAR) などの高度な機能を使用するツールを備えたものが理想的です。脅威インテリジェンスを使用することで、セキュリティの専門家は、悪意のあるファイルや IP アドレスのブロックなど、攻撃が明らかになった場合の修復アクションを自動化することもできます。
脅威インテリジェンスが重要な理由
脅威インテリジェンスが重要なのは、組織が動的な脅威の状況に対してより的確に保護するための戦略や戦術に優先順位を付けるのに役立つためです。新たな脅威に関する絶え間ない情報の流れを把握し、関係する内容やアクション可能な内容を判断することは困難です。
セキュリティ情報イベント管理 (SIEM) や拡張検出と応答 (XDR) などの機械学習と自動化を強化したツールと脅威インテリジェンスを組み合わせることで、次のように脅威の検出と応答の取り組みを強化できます。
- 敵対しそうな相手とその動機を明らかにすること。
- 敵対者の戦術、テクニック、手順 (TTP) の暴露。
- 幅広い攻撃がビジネスに及ぼすさまざまな影響の表示。
- アクティブな侵害を示す一般的な侵害の兆候 (IOC) の特定。
- 攻撃を受けた場合に取るべき一連のアクションの提案。
- 攻撃全体の自動的なブロック。
- 豊富な脅威データを使用した、広範なセキュリティ戦略とワークフローへの情報提供。
セキュリティ チーム向けの脅威インテリジェンスの利点
あらゆる会社で脅威インテリジェンスを活用することで、セキュリティ態勢を強化できます。ランサムウェアやその他のリスクから戦略的に防衛するために必要な情報を中小企業に提供します。しかし、企業のセキュリティ チームや経営陣も、脅威インテリジェンスから多くの教訓を得ます。
脅威インテリジェンス ソリューションは、人的スキルの有効活用や脅威への迅速な対応に加え、次のような多くのロールを担う人々に新たな効率性を提供します。
セキュリティおよび IT アナリスト:ネットワーク セキュリティを達成および維持します。
サイバー インテリジェンス アナリスト:組織に対する脅威を分析し、関連する脅威を他者に伝達するのに役立つ分析情報を開発します。
セキュリティ オペレーション センター (SOC):脅威を評価し、他のアクティビティと関連付けることで、最適かつ最も効果的な対応を決定するためのコンテキストを取得します。
コンピューター セキュリティ インシデント応答チーム (CSIRT):脆弱性、脆弱性に対する悪用、攻撃者がシステムを侵害するために使用する方法に関する理解を深めます。
エグゼクティブ マネージャー:組織に関連する脅威を理解することで、データに基づく予算案を CEO や取締役会に提案できます。
脅威インテリジェンスの種類
脅威インテリジェンスは 4 つのカテゴリに分類できます。誰がどのような情報を受け取る必要があるのか決定する際に使用します。
戦略的
戦略的脅威インテリジェンスは、経営幹部、IT 管理者、取締役会など、ビジネス全体に関わる非技術的な関係者向けの高レベルの分析です。この種の情報は、長期的な視野に立ち、幅広いコンテキストで伝達します。これらの対象ユーザーは、一般的な脅威の状況がどのように進化し、ビジネス上の決定がどのように新たな脆弱性をもたらす可能性があり、高度なテクノロジが低コストで脅威を軽減するのにどのように役立っているのか、あるいは侵害が財務および経営にどのような影響を及ぼす可能性があるのかなど、全体的なリスクを管理する必要があります。
戦術的
戦術的脅威インテリジェンスは、サイバーセキュリティの専門家が脅威を軽減するために即座にアクションを起こすために必要な情報です。最新の TTP トレンドと IOC に関する技術情報が含まれており、通常、IT サービス マネージャー、SOC センターの従業員、アーキテクトが利用します。このようなインテリジェンスを使用して、セキュリティ制御に関する意思決定を行い、先回り型の防御戦略を策定します。この種の情報は常に流動的であり、自動化することでセキュリティ チームが最大限の俊敏性を維持できるようになります。
オペレーション
オペレーション脅威インテリジェンスは、特定の脅威やキャンペーンに関する知識です。攻撃者の ID、動機、手法に関する専門的な情報をインシデント対応チームに提供します。データ収集を自動化し、必要に応じて外国語のソースを翻訳するサイバー脅威インテリジェンス プラットフォームを使用して、組織のセキュリティ専門家はこの種のインテリジェンスをより効率的に受け取れるようになります。
技術的
運用インテリジェンスと密接な関係にあるテクニカル スレット インテリジェンスは、IOC などの攻撃発生の兆候を指します。AI を活用した脅威インテリジェンス プラットフォームを使用して、フィッシング メールのコンテンツ、悪意のある IP アドレス、特定のマルウェアの実装など、このような既知の指標を自動的にスキャンします。SOC およびインシデント対応チームは、これらの情報に迅速に対応し、ビジネスへの損害を防止します。
脅威インテリジェンスのユース ケース
サイバー脅威インテリジェンス プラットフォームのデプロイにより、セキュリティ運用をさまざまな方法で効率化できます。
アラートを管理する
アラート疲れは SOC チームにとって深刻な問題です。チームは毎日膨大な数のアラートを処理していますが、その多くは擬陽性です。すべてのデータを整理するのは多くのストレスと時間がかかり、あまりの多さにセキュリティ チームのメンバーが重要な脅威を見逃してしまうこともあります。脅威インテリジェンス プラットフォームは、アナリストの負担を軽減し、アラートやインシデントの優先順位付けに役立ちます。
インシデント応答を加速
サイバー脅威インテリジェンス ツールにより、インシデント対応チームは、最も迅速かつ完全な方法で脅威を封じ込め、修復し、組織を安全な状態に復旧する方法について、情報に基づいた意思決定を行うことができます。
セキュリティ態勢の改善
サイバー脅威インテリジェンス プラットフォームを活用することで、実際のリスクに基づいてセキュリティ投資に関する短期的および長期的な意思決定を行うことができます。堅牢な脅威インテリジェンス プラットフォームは、リスク モデルを作成し、組織全体の関係者にビジネス固有の脆弱性について報告するのに役立ちます。セキュリティ態勢の全体像を把握し、時間とリソースの投資先を決定するのに役立ちます。
詐欺の予防
脅威インテリジェンス ツールを使用して、世界中の犯罪コミュニティや Web サイトからデータを収集します。脅威インテリジェンスは、犯罪者が漏洩したユーザー名、パスワード、銀行データの膨大なキャッシュを販売しているダーク Web や貼り付けサイトに関する分析情報が提供されます。優れたサイバー脅威インテリジェンス プラットフォームは、これらのソースを 24 時間体制で監視し、最新の動向についてリアルタイムで警告を発します。
適切な脅威インテリジェンス プラットフォームの検索
脅威インテリジェンス ソリューションは、脅威の状況に関する適切な分析情報を提供することで、セキュリティ態勢を改善します。次のようなプラットフォームを選択してください。
- 既存のシステムと統合し、マルチプラットフォームとマルチクラウドに対応することで、IT 資産全体を確実に保護します。
- 自動化を利用して、セキュリティ チームが受け取るアラートと推奨事項の質を向上させます。
- データを消化しやすい視覚的な形式で表示するツールがあるため、社内の関係者とセキュリティ態勢を共有し、話し合うことができます。
Microsoft 脅威インテリジェンスを活用することで、ランサムウェアのような脅威からビジネスを保護します。Microsoft 脅威インテリジェンスは、製品ファミリや継続的に更新される脅威のマップなど、独自の遠隔測定によって毎日 65 兆件を超えるシグナルを網羅しています。Microsoft Defender 脅威インテリジェンスは、最新の AI と機械学習を活用して、詳細なコンテキストが必要な場合にセキュリティ チームに指示を与えます。
Microsoft Security の詳細情報
よく寄せられる質問
-
脅威インテリジェンスの例としては、攻撃者の ID、TTP、一般的な IOC、悪意のある IP アドレス、その他の既知のサイバー脅威と新たなサイバー脅威に関する多くの指標があります。脅威インテリジェンス ソフトウェアは、これらの指標を収集して分析し、攻撃を自動的にブロックしたり、セキュリティ チームに警告を発してさらなる対策を講じさせたりすることができます。
-
サイバー脅威インテリジェンス プラットフォームを効果的にする主な要素には、グローバルな脅威の状況を完全に把握できる脅威データ フィード、リスクの優先順位付けを自動化する高度なデータ分析、一般的な IOC を特定する監視ツール、セキュリティ チームが侵害を迅速に修復できるように自動生成されるアラートなどがあります。
-
脅威インテリジェンスは、新たな脅威や既存の脅威に関する大量の生データから収集されます。これは、インターネットやダーク Web をスキャンして、悪意のあるアクターやその手口に関する情報や、既に侵害が発生していることを示す内部 IOC を検出した結果です。信頼できる脅威データ フィードは、攻撃シグネチャ、悪質な IP アドレスやドメイン名、攻撃者の TTP などの情報を共有します。脅威インテリジェンス プラットフォームは、AI と機械学習を活用して、これらの生データをすべて理解できます。
-
脅威インテリジェンス プラットフォームは、インターネット上の何兆件ものシグナルを分析し、それらをマッピングすることで、ビジネスにとって重大なリスクになる脅威を特定します。その役割は、敵対者とその手法を明らかにし、脅威が会社に影響を与える可能性のあるさまざまな方法を示し、攻撃全体を自動的にブロックし、アクティブな侵害を示す一般的な IOC を特定し、介入が必要な場合に取るべきアクションを提案することです。
-
脅威インテリジェンス プラットフォームは、問題を検出し、セキュリティ態勢を強化するためのアクションを自動的に提案します。クラウドやプラットフォームを超えて動作し、既存の製品と統合でき、使いやすく視覚的なツールを備えたソフトウェアを選択することをお勧めします。
Microsoft Security をフォロー