スレットインテリジェンスの現状はどうなっているか

「スレットインテリジェンス(脅威対策の知見)」という言葉が、最近の流行りになっている。

著者: F-Secure Business Security Insider
日付: 2016年06月24日
読了時間: 1 分

「スレットインテリジェンス(脅威対策の知見)」という言葉が、最近の流行りになっている。多くの人にとって、スレットインテリジェンスとは、疑わしい、または悪意のある活動の識別のためにセキュリティインフラに組み込まれるIOC (英文) フィードについて説明する際に用いられる言葉である。

我々にとっては、その言葉が表すことは遥かに多い。当社は25年以上に渡って、精力的にスレットインテリジェンスを収集し、吸収してきた。当社の多くのスタッフは、日常的にスレットインテリジェンスを扱っている。そして、我々の日常業務はスレットインテリジェンスに牽引されている。

当社の考えとしては、あらゆるものがスレットインテリジェンスと言える。マルウェアサンプルのリバースエンジニアリングから収集された細かな事柄をはじめ、当社のシステムが収集したデータに見られるトレンドやパターン、攻撃者と防御者が使う戦術、さらには高所から見たグローバルな脅威のランドスケープにまで及ぶ。

しかしそれは、単なるデータ以上のものである。卓越したスレットインテリジェンスというのは、さまざまなことを把握していることである。世界で何が起きているのか、攻撃はどのようにして行われるのか、マルウェアはどのように動作するのか、どのような脆弱性が存在しているのか、脆弱性がどのように悪用されているのか、犯罪者グループがどのように活動しているのか、ハッカーがどのようなツールを使っているのか、そしてハッカーがどのようにして企業に侵入するのかなどへの知見である。

当社、エフセキュアでは、いくつかの異なる技術を使用してスレットインテリジェンスを収集している。

データ分析

データ分析は、我々が日々の業務を行う際に用いる技術的なスレットインテリジェンスを提供してくれる。当社のバックエンドは、毎日、何百ギガバイトものデータを処理している。そのデータは、サンプル、URL、Eメール、IPアドレス、ファイルパス、およびオブジェクトハッシュなど、さまざまな形で届く。データはハニーポット、顧客投稿、当社のセキュリティクラウド (英文) から得ることもあれば、Virus Total (英文) によって提供されたものなど、パートナーのサンプルフィードから得ることもある。

入ってきたデータは、フィルタリング、分析、およびメタデータ抽出のプロセスの後、一連のルールエンジン、エキスパートシステム、およびデータ分析を経て、最終的には、グローバルな脅威のランドスケープにおけるトレンドの判定、新たに流行している脅威の識別、当社の保護コンポーネントの改善、さらには将来の予測(の試み)にも用いられる。

ライブアクティビティ

エフセキュアには、他の企業に対して、脅威評価、インシデントレスポンス、侵入テスト、コンプライアンス監査、セキュリティカルチャーの向上の支援を専門的に行う、総合コンサルティング部門があり、CSSと呼ばれている。Cyber Security Services (英文) を略したものだ。

css-building

CSSオフィスの16階からの当社HQの眺め。

CSSのスタッフは、定められた目的のために、たびたび企業に侵入する任務が課されることがある(もちろん同意の上で)。時には、そうしたレッドチーム演習が、「キャプチャー・ザ・フラッグ」イベントとして実施されることもある。しかし、いつも演習というわけではない。『スニーカーズ』 (英文) という映画は観たことがあるだろうか。そこで描かれているような任務を、CSSは行っている。そして、時には、企業に物理的に侵入する任務が課されることもある。彼らの多くは、道具箱にピッキング用具を入れている。

CSSチームは、ハッカーがどのように仕事を行うか、どのように防御を回避するか、どのようにしてネットワークに潜むかに関するスレットインテリジェンスをもたらしてくれる。CSSチームは、侵害の調査やインシデントレスポンス業務を通じて多くの重要な情報を入手する。CSSチームが得た情報は、当社が自社製品を構築する際、そして他社のフォレンジック調査およびクリーンアップを行う際に活用される。

けれども、卓越したスレットインテリジェンスをもたらしてくれるのは、こうした活動だけではない。当社はソフトウェアハウスであるため、自社のコンポーネントに対して脅威モデリング演習を実施し、かなりの量のファズテストを行っている。また、こうした取り組みの一部として当社には、グローバルな脆弱性に関する状況の調査に従事するスタッフもいる。

リサーチ

リサーチに関しては、当社では何人ものスタッフが、流行しているマルウェアおよびエクスプロイトのリバースエンジニアリングに専従している。これらの脅威がどのように機能するかを徹底的に調査することにより、感染ベクター、アンチエミュレーションのトリック、ステルス戦略、ボットネットの通信プロトコルなど、さまざまな事柄に関する詳細なナレッジを得ることができる。同じファミリーのマルウェアの新たな亜種を調べることにより、また、類似したマルウェアファミリーを比較することにより、マルウェアの一部分が時間の経過とともにどのように変異しているかを調べることができ、今後、生み出されるかもしれない手法や機能について予測することができる。

最後に、我々の多くは、検索を行ったり、スレッドをフォローしたり、昔ながらに文献を読んだりすることを通じて業界のリサーチを行っている。スレットインテリジェンスの最新情報を把握するには、ニュース、出版物、カンファレンスのプレゼンテーション、研究論文、およびインターネットの掲示板の最新情報に通じている必要がある。我々の何人か(たとえば、@Mikko)は、業界内の友人、パートナー、知人から頻繁に情報をもらっている。

当社では、情報セキュリティに関わる分野全体にわたり最新情報の把握に 努めている。その範囲は、たとえば、世界の地政学的なトピックから、低レベルのカーネルプログラミングまで、さまざまなものにおよぶ。概して当社のスタッフの多くは、情報セキュリティ、セキュリティリサーチ、脆弱性の分析および開示、リバースエンジニアリング、ハッキングチュートリアル、およびな「ブラックハット」のトピックについて最新情報に通じている。また、Twitter社も当社のよい友人である。

スレットインテリジェンスの収集に関わっているスタッフが多いため、他のスタッフが研修を受ける機会も多くある。そして、それは楽しみであることも多い。「ホラーショー」やハッキングのデモンストレーションを見て、楽しく思わない人はいるだろうか?

結局のところ、攻撃について学ぶことであれ、新たなマルウェアのリバースエンジニアリングであれ、当社のシステムからデータを相関させて取り出すためのよりよいアルゴリズムを書くことであれ、我々はみな、スレットインテリジェンスを収集することから多くの満足感を得ている。そして、物事が動くのは情熱があってこそだと私は思う。

 

 


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中