前回の記事では、Cyber Threat Intelligenceの定義などについて解説しました。
今回の記事では、Threat Intelligenceの中でもTactical Threat Intelligence(戦術的インテリジェンス)に焦点を当ててみたいと思います。
戦術的インテリジェンスの定義
SANSの"Cyber Threat Intelligence Consumption"によれば、以下のように定義されています。
Tactical-level intelligence is often consumed in the form of indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs). This helps drive the security of an organization and enable it to hunt down threats and better respond to them.
戦術的インテリジェンスとは、IoCとTTPsを消費することである。これは、組織のセキュリティを推進することを助け、脅威を捕らえ、よりよく対応することを可能にする。
以前のエントリーで記載した通り、インテリジェンスは消費者(Consumer)と生産者(Producer)により見方が異なります。上記の定義では、インテリジェンスを消費する消費者側(Consumer)に立った定義ですが、戦術的インテリジェンスは日々のセキュリティ運用の支援に焦点を当て、攻撃者の動向を分析することを目的としています。
そのため、一般にTactical Cyber Threat Intelligence Analystと呼ばれる人は、取得したインテリジェンス情報をBlue Team(=Security Operation Team)のために翻訳し、より使いやすく情報を加工するため、インテリジェンスを消費していきます。例えば、インテリジェンス情報を分析・研究し、攻撃者のTTPs(Tactics, Techniques, and Procedures)を説明する、現時点で同様の攻撃が行われていないか確認したり、将来同様の攻撃が行われた場合に防げるかを確認するためにIoC(Indicator of Compromise)を作成することなどが挙げられます。
ちなみに、インテリジェンスを分析・研究の過程で新しいIoC(IPアドレス、特定のレジストリ情報)が作成されれば、インテリジェンスの生産者としての役割を果たしたことにもなります。この例からもわかる通り、消費者(Consumer)・生産者(Producer)の立場は一方に縛られるものではなく、状況により変化することになります。
戦略的インテリジェンスの分析手法
戦略的インテリジェンスは、主に攻撃イベントの検知、ISAC・セキュリティベンダーなどのIC(Intelligence Community)から提供されるIoCをもとに分析をスタートします。技術的な調査手法はフォレンジックで利用する分析技術(ログ解析、ネットフローデータ分析、メモリ解析、フォレンジック解析)などの各種技術を利用して分析を行います。また、分析の結果新しいIoC(マルウェア・C2通信のIPアドレス)などがあれば、OSINT技術を利用して、さらなる情報や特定の攻撃主体とのリンク分析など分析の幅を広げることができます。
ここでは、情報を整理するためのモデルについて以下3つを紹介します。
攻撃モデル
第一のツールは、攻撃モデルです。一番よく知られているものは、Cyber Kill Chainモデルだと思いますが、実は各社色々なモデルを提示しています。これについては、自社の他の対策やポリシーになったものを自由に選べばよいと考えます。以下では、Cyber Kill Chainモデルを使って考えていきます。
- Cyber Kill Chain Model(Lockheed Martin社)
- Expanded Cyber Kill Chain Model(Black Hat 2016)
- Mandient Attack Lifecycle(FieEye社)
- Cyber Attack Model(Gartner社)
- MITRE ATT&CK LifeCycle(MITRE)
- EY hypothetical adversary life cycle (E&Y社)
- 攻撃シナリオモデル(IPA)
CoA Matrix
CoA Matrix(The Course of Action Matrix)とは、各攻撃モデルのフェーズに対して防御者としての行動指針(Course of Action)を決定したり、それに基づく結果を整理する表のことです。一般的には、防御の指針を示す7Dを置いてアクションを決めることが一般的です。
- Discover(発見):過去攻撃された痕跡があるか?
- Detect(検知):将来攻撃された場合に検知できるかどうか?
- Deny(否定):攻撃が発生することを予防する(例:ポート・IPの遮断)
- Disrupt(妨害):攻撃の成立を妨害する(例:ASLRを導入する)
- Degrade(低下):攻撃が成立するまでの時間を稼ぐ(例:レスポンス速度を低下させる)
- Deceive(欺瞞):攻撃者に攻撃が成立したと勘違いさせる(例:Honeypotの利用)
- Destroy(破壊):攻撃者に対して、攻撃的なアクションをとる(例:Hack Back)
Diamond Model
Diamond Modelとは、各イベントとは4つの特徴(Adversary・Capabilitiy・Infrastructure・Victim)により定義づけられるとして、イベントをダイアモンドで表現するモデルです。このモデルの特徴としては、Social-Political Axis(AdversaryとVictimsをつなぐ縦の線)とTechnical Axis(CapabilityとInfrastructureをつなぐ横の線)が合理的に説明がつくことが重要となります。実際の分析では、この攻撃モデルの各フェーズに従いこのダイアモンドがかかれ、連鎖していく形で記述を行います。
使い方のイメージが付きづらい場合は、このモデルをよく利用しているThreatConnect社がスターウォーズをネタにこのモデルを利用して分析したLuke in the Sky with Diamondsという記事があるため、一読されることをおすすめします。
別の例として、Diamond Modelをよく利用して分析を行っているThreatConnect社がAPTグループ「Naikon」の分析した結果を示します。このモデルを見ると、この分析によれば、攻撃グループ(Adversary)は「中国人民解放軍78020部隊」と関係性があること、特殊なツール群を使う能力(Capability)を持っていること、中国のダイナミックDNSインフラ基盤を攻撃基盤(Infrastructure)として使っていることなどがわかります。
このモデルの特徴として、Social-Political Axis(AdversaryとVictimsをつなぐ縦の線)とTechnical Axis(CapabilityとInfrastructureをつなぐ横の線)が重要で、この二つの線が合理的に説明できることが重要といわれています。Social-Political Axisとは、なぜ攻撃者が被害者を狙うのか、説明する軸です。例えばこの事例の例では、「南シナ海への中国対外政策」という理由が挙げられます。一方、Technical Axisとは、攻撃者の能力とインフラストラクチャをつなぐつながりを意味し、脆弱性(CVE-2012-015)やフィッシング攻撃などの理由が挙げられます。
まとめ
Tactical Threat Intelligenceは、技術的要素も多く一番セキュリティチームとしてイメージしやすい部分だと思います。CTI Analystの強みは技術的分析をできることに加えて、断片的な情報を組み合わせて攻撃者のシナリオや手法を整理していき、全体感を示して対策につなげていくという部分になるだと考えています。
