脅威インテリジェンスの世界における自動化

今年7月から当社では技術提携をしているイスラエル企業のブログを紹介しています。
第3回目となる今回は当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. (旧Verint Systems Ltd.)のブログ『脅威インテリジェンスの世界における自動化』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
脅威インテリジェンスの世界における自動化
Ran Levy@Verint Systems Ltd. | 2020年3月5日
世界各地のさまざまな組織によるサイバー脅威インテリジェンス(CTI:Cyber Threat Intelligence=自組織のセキュリティの維持や対応の意思決定に役立つ、サイバー空間における脅威や攻撃者の情報)に対する需要が拡大傾向にある中、CTIアナリストは現在、組織内で非常に重要な立場にあると言えます。
不正分析からビッグデータ分析、昔ながらの情報収集や分析手法、サイバーインテリジェンスまで、今日のアナリストはこうしたスキルを網羅している必要があると同時に、膨大なデータ、誤検知、そして刻一刻と変化する状況への対応が求められ、常に時間との戦いが付きまといます。
アナリストの日常業務に影響する課題 TOP5
1.多岐にわたる情報源と匿名性
必要とされるスキル: 言語およびHUMINT (ヒューマンインテリジェンス、つまり人間を対象にした諜報活動)
ディープウェブやダークウェブ上に存在する膨大な量のデータには、さまざまな言語が使われています。アナリストは、これらの言語と使用されているスラングの知識を持ち合わせている必要があります。また、誰と話すべきかを見極め、かつ疑われないように、こうしたコミュニティに紛れ込む必要があり、残念ながら、自動化された翻訳サービスで対応できるものではありません。
2.金銭目当ての犯罪がより巧妙に
必要とされるスキル: 不正分析
金融関連の組織はCTIの上顧客であるため、アナリストは金融業界を把握し、BINとは何か、SWIFTネットワークの仕組み、盗難にあったクレジットカードをどこでどうみつけるか、サイバー犯罪者がどのように収益化するかなどを理解する必要があります。
3.大量のデータ
必要とされるスキル: ビッグデータの分析
CTIアナリストは、大量のデータを処理する必要があります。データポイントを分析し、相関関係を理解し、関連付け、分類するといった業務を迅速かつ効率的に実行するには、ずば抜けた特殊スキルが必要です。
4.学問的分野における教養
必要とされるスキル: 国際関係・外交関係の分析
世界各地の地政学は、サイバードメインに直接的な影響を与えます。インテリジェンスを理解し、分析し、評価するためには、国家間の関係性、世界情勢、歴史などもある程度理解していなければなりません。
5.多様なエンドユーザーに対する対応スキル
必要とされるスキル: 報告書の作成
アナリストとして、上記すべてのスキルを持っていたとしても、導き出した分析結果を伝えるためには、また別のスキルが求められます。アナリストの発見した情報、組織への影響、および対策も、エンジニアではない人にでも理解できるような報告書に仕上げる必要があります。
熟練したサイバーエキスパートが不足しており、上記のすべてのスキルを持つ「スーパーアナリスト」を見つけることは、ミッションインポッシブルに見えます。このため、アナリストの作業をより簡素化し、サポートするソリューションを検討する必要があります。
つまり、自動化です。
自動化がCTIアナリスト、更には組織にもたらす利益
アナリストの作業負荷の一部を取り除き、アナリストが特定の業務に集中し、人の力を必要とする新しいスキルを開発できるようにするために自動化ツールが存在します。
以下、セキュリティ人材不足を解決するために簡単に実装できるいくつかの自動化ソリューションを紹介しましょう。
データ収集とアラート監視
オープンソースや非オープンソース、また既存のインテリジェンス・データベースからのデータの収集は、完全に自動化することができます。検索されるデータは、組織が関係する業界、重要資産、さらには定義済みの脅威ハンティング要件に基づいています。
リスクを分類し、軽減措置の優先順位を付けるプロセスは、経験豊富なサイバー脅威インテリジェンスリサーチャーのワークフローと解析プロセスに基づくスコアリングアルゴリズムを活用して、自動化することができます。
ドメイン監視
自動化されたドメイン監視により、ビジネスを危険にさらしかねない悪意をもって使われる可能性のあるドメインをタイムリーに検出できます。SSL監視と通常のDNSクエリを組み合わせると、自動化されたドメイン監視により、より完全なCTIが提供されます。
クレジットカードの監視・分析
自動化されたクレジットカード監視ツールは、ダークウェブで取引のために公開された新しいクレジットカード情報を監視します。新しい投稿が検出されると、ツールはそれをダウンロードし、BIN(クレジットカード会社の識別コード)、カード番号、有効期限、持ち主の名前などのデータを分析し、ノイズを除去し、組織に関連する情報のみを精査し入手します。このタスクを手動で行うにはかなりの時間と手間がかかりますが、自動化によりアナリストの手間を大幅に削減できます。
脆弱性の監視とCVEの優先順位付け
大量のデータ、データソース、データタイプが重複して混在するため、分析を行う上でノイズとなります。自動化により、脆弱性に関する特定のキーワードに基づいて、監視対象システム、CVEデータベース、オープン、ディープ、ダークなどのさまざまな情報源を融合した形で情報の収集が行えます。集計されたデータは分析され、リスクスコア付きの統一された形式でアナリストに提示されます。これにより、多くの時間を節約し、CVEの優先順位を分かりやすい形で提供します。
機械学習の発展と自動化の技術革新は、生産性とリソース配分を改善し、より良い意思決定をもたらすことがすでに証明されています。今現在、アナリストが抱えてている課題は、将来、更に自動化が進み、解決されていくと思われます。
近年、 サイバー犯罪における手口が悪質・巧妙化する中、日本においても高度なサイバー攻撃に対抗すべく、未知の脅威への対応、攻撃の予測などによる被害の未然防止を目的に金融機関や大手製造業など脅威インテリジェンスを活用する企業が増加傾向にあります。
ダークウェブ上での犯罪者同士の会話や個人情報の売買が頻繁にやりとりされている状況の中、サイバー攻撃の脅威に関する情報を継続的に収集・分析し、セキュリティ対策に活かす取り組みは、今後もサイバー脅威から企業や組織を守る上で重要な役割を果たすことになっていくでしょう。
脅威インテリジェンスのサービスをお探しですか?
SOMPO CYBER SECURITYが技術提携しているCognyte Software Ltd. (旧Verint Systems Ltd.)では、本ブログでも取り上げられている自動化のソリューションを開発しています。モニタリングから情報収集、収集された膨大な量の情報の仕分け、相互関係の有無などを自動化することで、利用する企業にセキュリティソリューションを提供するだけでなく、セキュリティ対策で常に付きまとう時間と人材という企業が抱えるリソースの課題解決をサポートしています。
