読者です 読者をやめる 読者になる 読者になる

セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Cyber Threat Intelligenceとは何か?(その1)

Threat Hunting

今回のエントリーでは、CTI(Cyber Threat Intelligence)について解説をしていきます。

第1回では、Threat Intelligenceの概要について定義していきたいと思います。

Threatとは何か?

Threat Intelligenceでは、Threat(脅威)を分析していくわけですが、Threatとは何でしょうか。具体的には、以下の3要素で定義されます。

Threat(脅威) = Hostile Intent(敵対的な意図) × Capability(能力)  × Oppotunity (機会)

一般にリスクは以下に定義されますが、その一要素について分析を行い、最終的にはリスク分析に貢献することがゴールとなります。

Risk = Vulnerability(脆弱性) × Impact(影響度) × Threat(脅威)

Intelligenceとは何か?

Intelligence(インテリジェンス)は、大きく2つの側面から分析することができます。(画像は、The Sliding Scale of Cyber Securityから引用)

第一に、インテリジェンスを情報のひとつの形態としてみた場合です。以下の図は、インテリジェンスは収集されたデータを整理・加工して、分析・評価を加えたものであると定義されています。

f:id:security_consultant:20170119142400p:plain

第二に、インテリジェンスをプロセスしてみた場合です。以下の図は、Intelligence Cycleと呼ばれ、インテリジェンスを作成する際に重要となるプロセスのことです。基本的に、要求→収集→評価→分析→配布というプロセスを経て実施します。

f:id:security_consultant:20170119142044p:plain

Threat Intelligenceとは何か?

上記のThreatの定義を発展させると、Threat Intelligenceとは以下のように定義できます。

攻撃者の意図・能力・機械に関する情報の分析を行うこと

また、Gartner社は少し異なる定義を出しています。(参考資料

Threat Intelligenceとは、脅威・危険に対する主体者の対応に関する決定を知らせるために利用できる、既存または今後発生する資産への脅威に関する文脈、メカニズム、指標、含意および実行可能な助言を含む、エビデンス・ベースの知識を意味する。

 まとめ

今回は、Threat Intelligenceの基礎についてまとめてみましたがいかがでしょうか。

Threat Intelligence分野はいろいろと学ぶべきことが多く今後も様々なアイディアを紹介していきたいと思います。