セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

米国文化とセキュリティ - なぜ自動化が積極的に採用されるのか?

昔からセキュリティ製品評価をしていると、自動遮断・自動連携など自動化のうたい文句にしていることが非常によくあります。最近は米国のカンファレンスに頻繁に参加していますが、多くの製品のキーワードとして「自動化」は目玉機能として紹介されます。

しかしながら、実際に評価してみると、かなり怪しい検知でも平気で連携・遮断されるし、誤判定が多かったり、きちんと連携されていない製品もあり、米国の導入企業実績などを聞くと、「よくこの怪しい自動化機能を使っているよな?」と思ったことが良くありました。(もちろん驚くべきほどうまく設計された自動化機能もありますので、一概には言えませんが)

個人的には、攻撃を自動遮断したり、検知した内容をもとに他のセキュリティ製品に設定を自動的に連携する技術はクイック・レスポンスを期待できるものの、不用意にユーザの通信を止めてしまうなど、ユーザ・ビジネスに影響を与えかねない危険な手法という感想を持っていました。

今回、米国に1年間いる中でその答えが見えた気がするので、今回はその背景の理由(米国文化とセキュリティ)考えてみたいと思います。

ワーク・スタイル

 米国のワーク・スタイルは日本と大きく異なります。特に異なる特徴として、以下の3つが挙げられると思います。(なお、いろんな会社の人に聞きましたので、米国共通の特徴だと思われます)

  1. 人材の流動性が高い。(人の入れ替わりが激しい)
  2. 時間に対する価値が高い(手動作業を好まない)
  3. Job Descriptionが明確に定義されている(該当しない仕事はしない)

自動化機能が流行する理由

さて、上記を踏まえて、自動化機能が積極的に採用される理由を考えて見ましょう。

理由1:人材の流動性が高いため、人に依存しないプロセスを構築する

第一の理由として、「米国では人材の流動性が高い」という理由が自動化と大きく関係していると思われます。米国の人材流動性の高さは、日本企業のサラリーマン感覚からすると不思議そのもので、着任して環境に慣れたかと思うと1ヶ月であっさりやめていくケースもありますし、気付いたら荷物がなくやめていたということも多々あります。入れ替わる理由は、パフォーマンスが低いなどの理由で契約終了となるケースもあれば、キャリアアップのため転職するなど理由は様々*1です。

すると、チームには以下のインセンティブが働き、緊張関係が生まれます。

  • マネージャー
    • 人に依存せずに業務が回る仕組み(プロセス)を構築する
  • メンバー
    • Job Securityの観点から、プロセス構築に積極的でなくなる。

チームを運営するマネージャーは、いつメンバーがやめたり、パフォーマンスが悪く契約終了という決断してもよいように、なるべく人に依存しない仕組み(プロセス)を構築しようとします。その典型例が、ツールによる自動化で、なるべく人に頼らず運用が回る仕組みを整えようとします。ほかにも、SOP(Standard Operating Procedure)と呼ばれる詳細手順書を作り品質や手順を標準化しようとします。

ちなみに、この米国文化はメンバーに対して属人化を推進するインセンティブとして働きます。自分の雇用を守ることをJob Securityといいますが、仕事を自分しかできない・しらない状態にしてJob Securityを守ろうとするインセンティブが働くため、意外と文書化を好まない傾向*2が見受けられます。

理由2:時間の価値が非常に高い

感覚的に感じていることですが、米国では時間に対する価値が日本に比べて高いと感じています。そのため、以下のような事象がよく発生します。

  • 打ち合わせにも絶対に必要な人しか基本的には参加しない
  • 時間内に終わらない場合、マネージャーに優先順位をつけてもらい仕事を減らす
  • スクリプトなどで自動化できる作業を、手作業でやることを嫌う。どうしても手作業でやらなければいけない作業はサンプリングや代替手法を採用する。

そのため、米国のエンジニアからすれば「自動化できるのに、なぜ手動のプロセスを入れるのか?」という感覚が強いのだと思います。

理由3:「運用でカバー」という概念がない(少ない)

決してないわけではないですが、日本に比べて「運用でカバー」の適用事例が圧倒的に少ないと思います。米国の特徴として、Job Description(仕事の内容)が明確に定義されており、関係ない仕事、契約と異なる仕事は断る傾向があり、非常にドライな部分があります。

そのため、セキュリティの追加手動確認などを運用でカバーする(人が頑張ってどうにかする)という発想になりづらく、その代わりとして自動化が出てくるのだと思われます。

理由4:不確実性への許容度

最後に、米国の自動化製品を日本人に受け入れがたい理由のひとつに、日本人のもつ几帳面で、不確実性をできるだけ回避しようという傾向があります。*3

そのため、日本企業では自動化で誤検知をする不確実な仕組みにネガティブな反応を示しがちですし、手動プロセスを入れて正確性を高め、完璧を追求しようとします。一方、米国では統計的に判断をする傾向にあり、完璧を目指さず、リスクが一定量以下になればよいという発想が強くなります。

まとめ

米国初の製品はよく自動化機能を押してくることが多く、また米国でも自動化によるプロセス改善はよく行われていました。(その一方、日本はまだまだ自動化に慎重だと思われます)どちらが良いということではありませんが、文化の違いがセキュリティの実装にも大きく違いが出てくるのだと感じています。

*1:現時点で、米国のセキュリティ人材は売り手市場にありますから、パフォーマンスを理由に契約終了になるケースよりは、転職がメインだと思います。

*2:もちろん、自分がやってよくわかっている仕事について、わざわざ面倒な文書化をしたくないなど、ほかにも色々なインセンティブはあると思いますが

*3:この不確実性への許容度については、ホフステッドの6次元文化モデルなどで学術的にも研究データが示されています。詳しく知りたい方は、コチラをご参照ください。

CISOの役割とは?

企業において、セキュリティ上一番えらい役職をCSOとかCISOと呼びます。(以降、基本的にCISOで統一します)

CSO(Chief Security Officer・最高セキュリティ責任者)

CISO(Chief Information Security Officer・最高情報セキュリティ責任者)

今回は、CISOの役割や給料について読み解いてみたいと思います。

そもそも、CISOというポジションは一般的なのか?

この記事によると、Fortune 100に入る企業にはCISOは導入されている一方、米国政府が初代CISOを設置したニュースや、50%ぐらいしか導入が進んでいないとする記事まだまだ導入が進んでいる役職だと思います。

ただ、以前紹介したニューヨーク州のサイバーセキュリティ規制において、CISOを任命することが一つの規制として盛り込まれたため、今後金融業界では導入がよりいっそう進むことだと思われます。

Section 500.04 最高情報セキュリティ責任者
(a) 最高情報セキュリティ責任者。 各対象事業者はサイバーセキュリティ・プログラムの導入と監督、およびサイバーセキュリティ・ポリシーの適用に責任を持つ適切な能力を持った個人を指名する必要がある。

今回は、CISOの役割や給料について読み解いてみたいと思います。

CISOの役割とは何か?

そもそも、CISOの役割は何をすべきでしょうか?

厳密に定義することは難しく、私がいろんなセキュリティ専門家に聞いただけでも、企業規模・業種により様々です。ただ、CISOが行うべき仕事のフレームワークは検討が進んでおり、いくつかその指針になるものが存在します。

CISO Mind Map

一番よく見かけるのが、このCISO Mind Mapです。これは、Rafeeq Rehman氏のブログで提唱しているもので、毎年更新されています。(画像は、ココから引用)

f:id:security_consultant:20170120203414p:plain

2016年の資料では、大きく11種類の分野について考慮しなければならないと述べています。

  1. Governance
  2. Security Operation
  3. Identity and Access Management
  4. Risk Management
  5. Legal & Human Resource
  6. Compliance & Audit
  7. Security Architecture
  8. Budget
  9. Project Delivery Lifecycle
  10. Business Enablement
  11. Selling Inforsec to Internal

C|CISO by EC Council

EC Councilは、CEH(Certified Ethical Hacker)というペネトレーション系資格で有名ですが、彼らが出している資格の一つにCISO向けの資格があります。この資格の有効性は受験したことがないためわかりませんが、CISOが知っておくべきという内容を体系立てたという点では非常に有益な資料だと思います。

これによると、5つのドメインを学ぶ必要があります。

  1. Domain 1: Governance
  2. Domain 2: Security Risk Management, Controls, & Audit Management
  3. Domain 3: Security Program Management & Operations
  4. Domain 4: Information Security Core Concepts
  5. Domain 5: Strategic Planning, Finance, & Vendor Management

CISSP-ISSMP by (ISC)2

もう一つに、CISSPの上位資格であるCISSP-ISSMPが挙げられます。こちらでも、5つのドメインについて定義されています。

  1. Domain 1 : Security Leadership and Management
  2. Domain 2 : Security Lifecycle Management
  3. Domain 3 : Security Compliance Management
  4. Domain 4 : Contingency Management
  5. Domain 5 : Law, Ethics and Incident Management

CISOの組織における位置づけ

CISOの組織における位置づけはどのようなものでしょうか。

一般的な大企業であれば、経営層の一人でセキュリティに関する意思決定について経営に影響を及ぼす人と位置づけられ、CISOの上司(レポートライン)は一般的にはCIO(Chief Information Officer)であることが多く、直属の部下はSecurity Head(セキュリティ部門を率いる部門長)になることが多いと思われます。

もちろん、これも多種多様ではあり、組織ごとに異なる前提があります。

議論1:CISOの上司は誰にすべき?

RSAの調査Deloitteの調査*1によれば、一番一般的な上司(レポートライン)はCIOで、州政府の場合は89.8%がCIOであるそうです。

但し、もちろん組織によってその様相は多種多様で、CEO(Chief Executive Officer)・CTO(Chief Technology Officer)CRO(Chief Risk Officer)などの場合もありますので特に正解はないようです。

RSAの調査によると、およそ7%のCISOのみがCEOに報告していると述べていますが、この記事はその点について問題提起しています。

www.cio.co.uk

上記の記事によると、CISOはCIOではなくCEOに報告すべきと主張しており、その理由を8つ挙げています。

  1. セキュリティは企業全体のビジネスにかかわる問題であり、IT部門のみの問題ではない。
  2. PwCによれば、CIOがレポートラインの場合インシデント起因によるダウンタイムが14%以上多く存在する。
  3. PwCによれば、CIOがレポートラインの場合、金銭的損失が46%高い。
  4. セキュリティ上の懸念によりITプロジェクトに遅延が生じるとき、CIOはセキュリティ上の懸念を無視する可能性がある。
  5. CIOは、ITの生産性を阻害するセキュリティプロジェクトの承認を渋る可能性が存在する。
  6. セキュリティプロジェクトのコストが高い場合、CIOはそのお金をITに割り当ててしまう。
  7. CEOをレポートラインとすることで、CISOとCIOはお互いに平等な立場になり、セキュリティとITの問題により明確に見渡すことができる。
  8. いくつかの規制は、CISOがCEOに報告することを義務付けている。*2

全部が正しいかはわかりませんが、CIOの役割がIT戦略の立案・実行であることから、CISOとインセンティブが相反することも考えられるため、その意味では分けたほうがよいと考えられます。

議論2:CISOとSecurity Headは何が違うの?

もう一つのポイントとして、CISOとSecurity Headはなにが違うのかという点です。

これも組織・規模により様々異なりますが、一般的には、Security Headはその配下にいる各セキュリティチーム(Security OperationチームやApplication Securityチームなど)に対して指針を示し、技術的な責任を持つことが多いと思います。

一方、CISOは、政治家・外交官的な仕事が多くなると思います。

例えば、あるグローバル企業のCISOは以下のように述べていました。

  • 50%:社内外の関係構築・維持規制当局、顧客・各部門)
  • 30%マネジメント(予算・セキュリティチームのパフォーマンスなど)
  • 20%:セキュリティリスク(各部門とセキュリティの意向が衝突した場合の調整)

セキュリティの技術的仔細には踏み込まず、あくまでもSecurityの意向を外部に調整したり、その逆を行ったりすることがメインな仕事だと思われます。

CISOのプロファイル

DigitalGuardian社がCISOがどんな特徴を持っているかをまとめた資料を公表しています。

 

digitalguardian.com

一読の価値はあると思いますが、Fortune Top 10の企業のCISOは以下の経歴だそうです。(画像は当該サイトより引用)

予想通りといえば予想通りですが、情報科学・情報工学の学位ではなく経営学の学位を持っているところが個人的には面白いと感じる部分で、先に示したとおり、ビジネスを踏まえた判断ができなければいけないことを意味していると思います。

  • 男性白人
  • 40代~50代
  • 経営学の学士号を持ち、ITもしくはIT Securityに豊富の経験を持つ
  • 典型的に持つ資格は、CISSP・CISM・ITIL

f:id:security_consultant:20170121221937p:plain

CISOの給与は?

CISOの給与ってどれぐらいなのでしょうか?

少し古いですが、ForbesがSilverBullという会社を元に記事を書いています。(記事はココ、画像はココから引用)

これによると、平均年収は204,000ドル(1ドル100円とすると約2000万円)であり、大体126,000ドル~311,000ドルの範囲となるそうです。

さらに、CISOの給与が高い6都市を挙げています。個人的には、サンフランシスコが一番高いのが以外でした。

f:id:security_consultant:20170121220424p:plain

おまけ:CSO = Scapegoat ??

CSO・CISOは最高情報セキュリティ責任者ですが、重大なのインシデントなどがあった場合、米国ではその管理責任を問われ、首になるケースも多々あります。

そのため、よく皮肉でChief Scapegoat Officerなんという冗談を言われたりします。(Scapegoatは、生贄の意味です)

まとめ

今回はCISOの役割についてまとめてみました。CISOの導入を考えている方の参考になればと思います。

*1:米国州政府に関する調査なので民間企業とは多少異なる可能性はあります。

*2:例えば、イスラエルの法律ではCISOはCEOに直接報告することを義務付けている

Cyber Threat Intelligenceとは何か?(その1)

今回のエントリーでは、CTI(Cyber Threat Intelligence)について解説をしていきます。

第1回では、Threat Intelligenceの概要について定義していきたいと思います。

Threatとは何か?

Threat Intelligenceでは、Threat(脅威)を分析していくわけですが、Threatとは何でしょうか。具体的には、以下の3要素で定義されます。

Threat(脅威) = Hostile Intent(敵対的な意図) × Capability(能力)  × Oppotunity (機会)

一般にリスクは以下に定義されますが、その一要素について分析を行い、最終的にはリスク分析に貢献することがゴールとなります。

Risk = Vulnerability(脆弱性) × Impact(影響度) × Threat(脅威)

Intelligenceとは何か?

Intelligence(インテリジェンス)は、大きく2つの側面から分析することができます。(画像は、The Sliding Scale of Cyber Securityから引用)

第一に、インテリジェンスを情報のひとつの形態としてみた場合です。以下の図は、インテリジェンスは収集されたデータを整理・加工して、分析・評価を加えたものであると定義されています。

f:id:security_consultant:20170119142400p:plain

第二に、インテリジェンスをプロセスしてみた場合です。以下の図は、Intelligence Cycleと呼ばれ、インテリジェンスを作成する際に重要となるプロセスのことです。基本的に、要求→収集→評価→分析→配布というプロセスを経て実施します。

f:id:security_consultant:20170119142044p:plain

Threat Intelligenceとは何か?

上記のThreatの定義を発展させると、Threat Intelligenceとは以下のように定義できます。

攻撃者の意図・能力・機械に関する情報の分析を行うこと

また、Gartner社は少し異なる定義を出しています。(参考資料

Threat Intelligenceとは、脅威・危険に対する主体者の対応に関する決定を知らせるために利用できる、既存または今後発生する資産への脅威に関する文脈、メカニズム、指標、含意および実行可能な助言を含む、エビデンス・ベースの知識を意味する。

 まとめ

今回は、Threat Intelligenceの基礎についてまとめてみましたがいかがでしょうか。

Threat Intelligence分野はいろいろと学ぶべきことが多く今後も様々なアイディアを紹介していきたいと思います。

 

再考:米国の標的型攻撃訓練サービス

先日、標的型メール訓練サービスについて少し米国事情を調べたり、講演で聞いた内容をまとめる機会があり、その内容を共有します。

日本では、標的型攻撃診断では標的型攻撃メール訓練サービス」などと呼ばれるユーザの開封率などを視覚化してくれるサービスが一般的ですが、米国のペネトレーション・テスト事情で少し異なることは前に聞いたとおりです。

www.scientia-security.org

さらに米国の講演を聞いたり色々な調べてみると、米国でのこの手のサービス形態は大きく3種類に分類されます。(現実には、それらをミックスして実施するなど厳密な分類は難しかったりはします。)

  • Awareness Phishing
  • Penetration Testing Phishing
  • Red Team Phishing

Awareness Phishing

日本で一般的な「標的型攻撃メール訓練サービス」のことで、Phishing Simulationとか呼ばれたりもします。基本的には標的型攻撃メールをユーザに知ってもらう教育目的で実施するサービスです。

そのため、通常はクライアントから教育対象となる全社員のメールアドレスをもらい、そのメールアドレスにクライアントと取り決めた訓練用メールを送り、当該メールを開封するか否かテストするサービスです。

最近では、この手のクラウドサービスがいくつか複数存在しています。比較的よく名前を聞く企業は以下の二つですが、両方とも2016年10月に公開されたガートナーの"Security Awareness Computer Based Training Magic Quaderant"にてリーダに分類されています。

ちなみに、自社内で環境を準備したければ、GoPhishなどを使うのがよいと思います。

www.scientia-security.org

Penetration Test Phishing

Penetration Test Phishingも基本的にはAwareness Phishingとやることは変わらず、手元にあるメールアドレスにできるだけ標的型メールを送り、現行のセキュリティ堅牢性を評価したり、 改善点を見つける点にあります。

ただ、Awareness Phishingと大きく異なる点とすると2点あると考えられます。

メールアドレスの収集方法

第一に、メールアドレス収集の方法がクライアントから直接もらうのではなく、OSINT(Open Source Intelligence)と呼ばれる手法によりメールアドレスを収集してデータセットを作成するという点です。この方法をとることにより、そもそも組織に対する攻撃のしやすさを評価することができると考えられます。

攻撃シナリオ

Awareness Phishingでは、メールを開いたかどうかをテストして終了となりますが、Penetration Test Phishingの場合、訓練用ではなく実際のインシデントと同じシナリオでテストを行う点で大きく異なります。

以下、以前の記事を抜粋して記載します。

話を聞いた多くの企業でも同じように標的型メールを送るのですが、訓練用ではなく実際のインシデントと同じシナリオでテストを行います。具体的には、以下の通りです。

  • 実際のマルウェアを添付したメールを送る
  • 脆弱性が仕込まれたURLを含むメールを送付する
  • フィッシングサイトへ誘導するURLを含むメールを送付する

その後、ユーザがリンクを踏むと、脆弱性を悪用して端末を掌握してC&Cサーバと通信を発生させたり、フィッシングサイトへ誘導してアカウントを抜いたりし、特定のゴールにたどりつけるまで監査を行うなど非常に実践的な内容で行われます。特定のゴールとは、例えば以下のようなものです。

  • (外部から)ドメイン管理者のアカウントを取得できるか
  • (外部から)クレジットカード情報にアクセスできるか

通常、標的型メールを送付する前に、担当者から社員のメール一覧を受領して実施することが一般的ですが、中には事前調査(Reconnaissance)から実施して攻撃を仕掛けるといった本格的な企業もあり、非常に面白いものでした。

日本でも、感染を前提としたサービス(NRIセキュア社の「標的型メール攻撃被害シミュレーション」やLAC社の「APT先制攻撃サービス」など)がありますが、このフェーズを分けずに、一連の流れをテストするというところが大きな違いだと考えられます。

Red Team Phishing

Red Team Phishingは一番高度なサービスになると考えられます。このレベルのテストの目標は、「内部へのアクセスを取得して盗めることを確認する」ことにつきます。言い換えれば、年金機構への攻撃をそのまま再現する形になります。

そのため、メール送信はあくまで、初期の踏み台となる端末を得るためだけに利用します。最初のステップでは、OSINTの技術を活用して、通常この手のテストではLinkedInやインターネットで情報を収集して、攻撃対象1~2名を選出して攻撃を仕掛けていき、添付ファイルや脆弱なURLを踏めば端末を掌握してさらに内部ネットワークに踏みこんで行きます。(DerbyConであった講演では、最大でも10通ぐらいしか送らないと述べていました)

そのため、LinkedInで偽装アカウントをつくって攻撃対象者の情報収集する、特定の役職(リクルーター)を装って連絡する、発表されたばかりの脆弱性を使って気付かれないように攻撃するなど色々な工夫が凝らされて攻撃が行われます。

また、Low & Slowの原則と呼ばれますが、攻撃をBlue Team・SOCに検知されないよう、テストも時間をかけて行われるそうです。当然、時間・費用ともにかかる手法ですが、実際に漏洩できるのかどうなのかという観点で言えば、もっとも有効なテストだと考えられます。

まとめ

米国では、標的型訓練サービスも多様化・高度化している様子が見て取れます。個人的には、Red Team Phishingが一番高い効果をもたらすためこの手法がより流行してくれるとよいと感じています。

 

Threat Huntingとは何か?(その5)

以前の記事では、 Sqrrl社のThreat Hunting Reference Model(Threat Hunting参照モデル)という考え方から、The Hunting Loopという考え方を紹介しました。

www.scientia-security.org

今回は、その中からThe Hunting Maturity Model(HMM)とThe Hunt Matrixいう考え方を取り上げてみたいと思います。

キーワード6:The Hunting Maturity Model

The Hunting Maturity Model(ハンティング成熟度モデル)とは、その名の通り組織がよいハンティングをできるかどうか判断するための成熟度を示したモデルです。Sqrrl社の定義では5段階(HM0~HM4)までの指標を定義しています。(図はSqrrl社のレポートから引用)

Sqrrl社はこのモデルを自社のHunting Teamを構築する、あるいは改善する際のロードマップとして利用することを推奨しています。

f:id:security_consultant:20170117070320p:plain

いかに各成熟度に関して、説明してみたいと思います。

HM0:Initial

HM0とは、本質的に、IT環境における悪意のあるアクティビティを検知するため、IDS・SIEM・アンチウイルス製品などの自動アラートツールに依存している状態と定義されています。

組織によっては、シグネチャの更新、脅威情報の指標などの独自のフィードを組み込んだり、独自シグネチャや指標を作成している可能性もありますが、基本的にはフィードは直接監視システムに渡しており、アナリスト(人間)はアラートの内容の解決に集中している状態です。

HM0に分類される組織は、ITシステムから多くの情報を収集することもできないため、脅威を事前に検出する能力は低く、Proactiveに行われるべきThreat Huntingは難しいと考えられます。

HM1:Minimal

HM1の組織は、インシデント対応プロセスを推進するための自動アラートに頼ってますが、ITデータの定期的収集を行っている点でHM0の組織と異なります。これらの組織は、Threat Intelligenceによる検知を目指しています。多くの場合、オープンソースとクローズドな情報源の組み合わせから最新の脅威を把握しています。

HM1の組織は、IT環境から少なくとも数種類のデータをSIEM・ログ管理製品などの統合管理する仕組みに集約しています。そのため、新たな脅威が注目されると、アナリストはこれらのレポートから主要となる指標を抽出し、過去のデータを検索して、少なくとも最近の過去に同様の事象が発生してるか調べることができます。 この検索機能を備えているため、HM1はThreat Huntingができる最低限の基準を満たしていると考えられます。

HM2:Procedural

HM2の組織は、他の人が開発したThreat Huntingの手順を学び、定期的に実施できるレベルと定義されます。ここでいう「手順」とは、悪意のある特定の事象を発見するため、特定のデータと特定の分析手法を組みあわせた基本的なものを意味します。(例えば、ホスト上で自動的に実行されるプログラムの一覧を収集して、マルウェアを検知するなど)

多少の変更は可能ですが、自分たち自身でプロセスを開発できるレベルには達していないレベルです。これが、Threat Hunting Programを組織内に持つ平均的なレベルだと考えられます。

HM3:Innovative

HM3の組織は、さまざまな種類のデータ分析手法を理解し、悪意のある活動を識別するためにデータ分析を活用できるハンターが少なくても小数いる組織です。他の組織によって作成された手順に依存する代わりに、これらの組織は自社独自の手順を作成し、場合によっては公開しています。 分析スキルに関する成熟度は問いませんが、これらの技術を適用して繰り返し実施可能な手順を持っていることです(そして、それらの手順は文書化されており、繰り返し実施されていることも含まれます)

データ収集レベルは、HM2以上であることがこのレベルに達する条件です。

HM3の組織は、効率的に脅威を発見・対応する技術を持っていますが、独自のプロセスが高度化するにつれて、必要な時間内にプロセスを終了できない拡張性(スケーラビリティ)の問題に直面します。

HM4:Leading

HM4の組織は、本質的にHM3の組織と同じですが、1つ「自動化に成功している」という点で大きく違いがあります。HM4の組織では、全てのハンティング・プロセスが運用手順化されており、自動化されています。そのため、アナリストは新しいプロセスやプロセスの改善に時間を割くことができます。

HM0とHM4の違いとは?

ここまで読んでくると、HM0とHM4の違いに悩みます。どちらも自動化されたオペレーションが推奨されており、下手すると同じに見えます。いったい何が違うのでしょうか?

Sqrrl社は以下のように説明しています。

HM0の組織は、基本的にツールによる検知内容に完全に依存しており、仮に脅威を見つけたとしても本質的にプロセスを変更・改善できないチームのことを意味します。薗一方、HM4のプロセスは、あくまで自動化は負荷を減らすための手段として捕らえており、常に新しい脅威に対してプロセスを変更したり、新しい手法を試すことができる組織だと述べています。

キーワード7:The Hunt Matrix

The Hunt Matrixとは、The Hunting Maturity Model(HMM)とThe Hunting Loopの考え方を合成した考えかたです。

但し、個人的には、HMMの定義は定性的で曖昧であり、各Hunting Loopで何ができているべきかを示したこのHunt MatrixをHunting Maturityを図るための指標として考えたほうがわかりやすいと思います。

f:id:security_consultant:20170117081749p:plain

  • HM0:Initial
    • Ph.0 データ収集:データ収集なし、もしくは少々
    • Ph.1 仮説作成:既存の自動アラート(IDS・SIEM・FW)に対する対応
    • Ph.2 仮説検証:プロアクティブな調査はせず、アラート・SIEMの検証のみ
    • Ph.3 TPP発見:なし(IDS・SIMEなどに依存)
    • Ph.4 分析の自動化:なし
  • HM1:Minimal
    • Ph.0 データ収集:IT環境から一部の重要なデータを収集
    • Ph.1 仮説作成:新しい仮説構築のため、Threat Intelligenceを参照
    • Ph.2 仮説検証:SIEMやログ分析ツールを活用し、基本的な検索が実施可能
    • Ph.3 TPP発見痛みのピラミッドの下部レベルのIOCを作成可能
    • Ph.4 分析の自動化Threat Intelligenceのデータを自動アラートに組み込むことが可能
  • HM2:Procedural
    • Ph.0 データ収集:IT環境から多数の重要なデータを収集
    • Ph.1 仮説作成:新しい仮説構築のため、Threat Intelligenceを参照し、Intelligenceの内容を深く理解していること
    • Ph.2 仮説検証:既存の分析手順に従い、データ分析・統計分析ができること
    • Ph.3 TPP発見痛みのピラミッドの下部~中部レベルのIOCを作成可能で、現在の傾向にあわせて利用できること
    • Ph.4 分析の自動化:効率的なThreat Intelligence用のライブラリを作成して、定期的に実行できること
  • HM3:Innovative
    • Ph.0 データ収集:IT環境から多数の重要なデータを収集
    • Ph.1 仮説作成:新しい仮説構築のため、Threat Intelligenceを参照し、Intelligenceの内容を深く理解し、かつCrown Jewel分析などの手動によるリスク分析ができていること
    • Ph.2 仮説検証:グラフ分析や可視化を使った分析ができること。新しい手順が構築できること。
    • Ph.3 TPP発見:攻撃者のTTPを発見でき、痛みのピラミッドの上部レベルのIOCを作成可能であること
    • Ph.4 分析の自動化:効率的なThreat Intelligence用のライブラリを作成して、定期的に実行できる基盤を持っていること。また、基本的なデータ分析技術を採用していること。
  • HM4:Leading
    • Ph.0 データ収集:IT環境から多数の重要なデータを収集
    • Ph.1 仮説作成:新しい仮説構築のため、Threat Intelligenceを参照し、Intelligenceの内容を深く理解し、かつCrown Jewel分析などの手動によるリスク分析ができていること
    • Ph.2 仮説検証:高度なグラフ分析や可視化を使った分析ができること。新しい手順を公開して、自動化できること。
    • Ph.3 TPP発見:自動的に攻撃者の複雑なTTPを発見でき、攻撃キャンペーンを追跡できること。ISACなどにIOC情報を定期的に提供していること
    • Ph.4 分析の自動化:ハンティング・プロセスを自動化して、継続的に改善できること。また、高度なデータ分析技術を採用していること。

まとめ

The Hunting Maturity Model(ハンティング成熟度モデル)とHunt Matrixは成熟度や目指すべきゴールを知る上で非常に重要なツールです。ぜひ皆様の組織でも自社内の成熟度を評価してみることをお勧めします。