セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

脅威の検知レイヤーモデル

現在、Cyber Threat IntelligenceやThreat Intelligenceに興味を持っていますが、脅威を検知手法について整理してみました。

時間軸による検知レイヤーモデル

色々な考え方があるますが、検知のインプットは大きく4種類あると考えています。

  • Signiture Based(シグニチャに基づく検知)
  • Behavior Based(振る舞い検知)
  • Cyber Threat Intelligence(脅威情報)
  • Threat Hunting(スレット・ハンティング)

上記の図では、その4つのインプットを時間軸、特性から分類をしています。

f:id:security_consultant:20171213000951p:plain

検知にかかる時間

上記の図にあるとおり、検知にかかる時間を考えるとシグニチャに基づく検知(Signiture Based)が一番早く、スレット・ハンティング(Threat Hunting)が一番時間がかかると考えられます。その理由としては、シグニチャに基づく検知の場合、ブラックリストと照合して該当するものがあるしか否か判断すれば脅威を見つけられます。しかしながら、脅威情報(Cyber Threat Intelligence)スレット・ハンティング(Threat Hunting)の場合、誤検知の可能性や、多く受け取った情報を検証する必要があり、脅威の確定に時間がかかるためです。

受動的アプローチ

図にあるとおり、上の方は受動的かつ自動的なアプローチになり、汎用的・伝統的・原始的な脅威に対抗する技術になります。シグニチャに基づく検知(Signiture Based)の場合、汎用的な脅威しか検知できないという欠点もあります。

能動的アプローチ

一方下に行けば行くほど、プロアクティブ・手動的なアプローチとなり、ユニークかつ最新の脅威に対応する方法となります。上記の図では、脅威情報(Cyber Threat Intelligence)スレット・ハンティング(Threat Hunting)など、能動的に調査・収集をしなければいけない脅威を表現しています。

ちなみにこの二つの大きな違いは、脅威情報を自社で独自に見つけるのがスレット・ハンティング(Threat Hunting)、ベンダー・外部の専門家・同業者の知見を借りるのが脅威情報(Cyber Threat Intelligence)です。

脅威情報(Cyber Threat Intelligence)の場合、ベンダー・外部の専門家・同業者からもたらされる情報を元に脅威を発見する手法であり、最終的には独自シグニチャとして内部のセキュリティに組み込まれたり、次回のThreat Huntingのインプットにもなります。

一方、スレット・ハンティング(Threat Hunting)は自分の環境から脅威・攻撃を発見する方法です。こちらも、最終的には独自シグニチャとして組み込まれたり、脅威情報(Cyber Threat Intelligence)として外部などに共有されていきます。

まとめ

誤解なきように書くと、受動的な検知手法がダメということではなく、確実に脅威を検知する技術という意味では非常に有効な手段です。ここで大事なことは、それぞれの脅威の発見方法・特性を正確に理解し、いろいろな脅威を網羅的にカバーしていくことが重要だと考えています。