SOMPO CYBER SECURITY
セキュリティ対策を実施する上では、脅威情報を活用し、想定される攻撃やリスクを特定することが重要とされています。
このような脅威インテリジェンスを支援するプラットフォームが多くのベンダーによって開発されており、SOMPO CYBER SECURITYでもサイバー先進国である以色列発の脅威インテリジェンス・プラットフォームであるCognyteや、米国製のKryptosLogicを提供しています。
一方、脅威インテリジェンス・プラットフォームには、広く利用されているオープンソースソフトウェアがいくつか存在します。
本記事では、SOMPO CYBER SECURITYの有志メンバーが行った脅威情報活用検討プロジェクトの活動をもとに、オープンソースの脅威インテリジェンス・プラットフォームを比較・ご紹介します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
脅威インテリジェンス有志メンバーのイメージ
サイバー脅威インテリジェンスでは、無数の情報やフィードが日々生成されています。このような情報はばらばらに与えられたままでは活用ができず、インテリジェンスではなく単なるインフォメーションあるいはデータの山として終わってしまいます。
こうした脅威情報を標準化された形式で集約、整理し、また情報同士を関連付け分析を行ったり、共有したりすることを目的に、脅威インテリジェンス・プラットフォームの開発が進められました。
一般的な脅威インテリジェンス・プラットフォームは、組織のインテリジェンス活動を支援するために、次のような機能を備えています。
多くの企業・組織、またセキュリティ・ベンダーと同様に、SOMPO CYBER SECURITYでも脅威情報の運用を担当するメンバーが存在します。
セキュリティ対策は具体的な脅威に基づいて行われるものであり、そのためには彼我に関する情報を適切に利用することが不可欠だからです。
当社では、各部署のメンバーが集まり、定常的な脅威情報の収集や分析、必要に応じた配信を行っています。
具体的には、例を挙げると次のような情報が対象です。
このような情報はメンバーによって集積、トリアージされた後、各部署やサービス部門が必要に応じて活用します。
インシデント・レスポンス、脆弱性診断、リスクアセスメント、コンサルティングといった具体的なサービスチームだけでなく、プロダクト部門や営業、マーケティングといった領域でも、それぞれの需要に応じてこうした情報を利用しています。
脅威情報を利用する上では、何らかの方法でデータを管理する必要があります。
組織によっては、Excel等のスプレッドシートや、タスク管理ツール、あるいはコラボレーションツールを利用しているケースもあります。
このようなツールと脅威インテリジェンス・プラットフォームの最大の違いは、サイバー脅威や脆弱性、IoCといった情報の処理に特化しているか否かにあるといえます。
本記事で紹介するプラットフォームのほとんどは、STIX等の脅威情報を扱う標準言語を導入しており、またプラットフォームの構成も、サイバーセキュリティ実務者の利用を考慮したものとなっています。
また、脅威インテリジェンス・プラットフォームの一部は、フィードをSIEM等のセキュリティ製品に統合する機能を備えています。
この点で、脅威インテリジェンス・プラットフォームは、組織としての知識管理を効率化・円滑化し、脅威インテリジェンス活動を活性化させる上で非常に有効な手段です。
本記事シリーズでは、代表的なオープンソースの脅威インテリジェンス・プラットフォームをいくつか紹介し、そのうちMISP、YETI、OpenCTIについては実際に導入・比較した結果を紹介したいと思います。
本項では代表的なプラットフォームを紹介します。
MISPは、IoCを円滑に解析させるためにベルギー軍の技術者が開発したCyDefSIGを前身とする脅威インテリジェンス・プラットフォームです。
NATOにおいて本格的な開発プロジェクトが開始した後、MISP:Malware Information Sharing Projectに改名され、現在はCERT-EUを始めとする様々な機関において脅威インテリジェンスの蓄積・共有、運用に利用されています。
現在MISPはルクセンブルク大公国やEU、国際銀行間通信協会(SWIFT)等の支援を受けています。
ルクセンブルクについては国家CERTであるCIRCL、サイバーセキュリティ当局、軍がそれぞれスポンサーとして後援しています。
MISPは複数の企画からなるプロジェクトであり、プラットフォームやPythonライブラリ(PyMISP)、トレーニング、拡張モジュール等を提供しています。
主な特徴は以下のとおりです。
YETIのユーザーインターフェース 出典:当社のYETI検証環境
YETIはIoCや観測記録(Observable)、TTPやその他の知識を単一の統合リポジトリにおいて管理するために開発されたプラットフォームです。
さらにデータの関連付け、観測記録の自動エンリッチ等の機能を備えており、脅威に関連する情報の集約、脅威情報の検索、API連携によるデータ統合、可視化等、デジタル・フォレンジックおよびインシデント・レスポンスに活用することができます。
YETIは次のようなユースケースを例示しています。
OpenCTIのユーザーインターフェース 出典:当社のOpenCTI検証環境
OpenCTIは組織がサイバー脅威インテリジェンス情報やイベントを管理するためのプラットフォームです。
STIX2を標準データ形式として採用しており、MISPやTheHIVE、MITRE ATT&CK等とのインテグレーションが可能です。
このプラットフォームはフランスのサイバー当局であるANSSI、非営利団体であるLuatix、およびEU-CERTの協力によって開発されました。2022年からはよりサービスをより本格化させるために私企業であるFiligranがサポートを開始しました(FiligranにはLuatix所属メンバーが含まれています)。
TheHiveはインシデントレスポンスを行う組織や運用者向けに開発されたオープンソースかつ無料のプラットフォームです。
MISPとのインテグレーションを特色としており、複数のMISPインスタンスとのイベントのインポート・エクスポートが可能です。また、同プロジェクトが展開する観測記録解析プラットフォームであるCortexと連携することもできます。
TheHiveはアナリストたちの共同作業やイベントを軸にしたタスク管理、観測記録の分析等、SOC業務に即した設計となっており、YouTubeではオープンソースを駆使したSOC構築動画が多数公開されています。
今回、オープンソースの脅威インテリジェンスプラットフォームを調査するにあたり、プロジェクトメンバーは脅威情報活用の目的、すなわちサービスに付加価値を提供するという方針に即した運用ができるかどうかを検証基準に定めました。
プラットフォームはあくまでプラットフォームであり、そこに必要なデータがあり、運用ができてこそ活かされます。
そこでプロジェクトでは「このような必要性を感じている組織がある」と仮定し、脅威インテリジェンスプラットフォームを活かす用途を以下のとおり設定しました。
|
続いて前項で定めた用途に基づき、プラットフォームに求める要件を以下のとおり定めました。
このようなデータ活用・可視化機能については、商用であれば様々な製品が出ているのではないかと思います。
また、ELKスタックを用いて構築するという案もプロジェクトで出ましたが、今回はオープンソースのプラットフォームを活用するというテーマを追求する方針となりました。
次回は、実際に以下の3つのプラットフォームを検証環境に導入した結果をご紹介します。
特に日本語圏でのソースが少ないプラットフォームについては、細かい設定情報等も公開しますので、ご関心がある方の参考になれば幸いです。
今回、オープンソースの脅威インテリジェンス・プラットフォームを検証するにあたっては、以下の記事を参考にさせていただきました。
その他の参考ソースは以下となります。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)