2018/02/28 リンクを追加しました。
今回の記事では、Tactical Threat Intelligenceについて取り上げました。
今回は、SANSの"Cyber Threat Intelligence Consumption"をもとにOperational・Strategicレベルについて取り上げたいと思います。
Operational Threat Intelligenceの定義
以下のように定義されています。
Operational-level personnel should look to translate strategic objectives into tactical efforts and vice versa by identifying the overarching goals or trends of an operation or campaign. They should also aim to be aware of adversary campaigns instead of single intrusions, identify organizational knowledge gaps, and share information with peer organizations to alleviate those knowledge gaps.
Operational Level Threat Intelligenceを扱う担当者は、攻撃キャンペーンの包括的目的や傾向を特定することにより、戦略的目的を戦術的な行動に落とし込み、あるいは逆に戦術的行動を戦略的目標に変換することが求められる。また、当該担当者は、単体の侵入よりも敵対的な攻撃キャンペーンに注目し、組織が持つ知識との差を特定し、その知識の差を軽減するために他の組織に対して情報を共有する必要がある。
Strategic Threat Intelligenceの定義
Strategic Level Threat Intelligenceも以下のように定義されます。
Strategic-level players such as executives and policymakers should look for an understanding of the wider threat landscape to identify the risk to the organization and changes that can be made in investments or the corporate culture.
戦略レベルを求める幹部・政策立案者は、組織のリスクを特定するために、脅威の全体像と投資や企業文化に生じうる変化を理解したいと考えている。
Threat Information Sharing
一つの組織でサイバーセキュリティへの脅威動向をすべて集めることは不可能です。そのため、その多くは外部からの情報をもとに消費(Consumption)を行い、その過程ででてきた新しい情報をもとに新しいインテリジェンスを作成(Production)して共有するという形が一般的です。Operational Threat Intelligenceの定義で触れられていましたが、そのためのキーワードとして情報共有が挙げられます。
Information Sharing Platform(ISP)
Information Sharing Platformとは、Threat Intelligenceを共有したり、蓄積するための基盤のことです。使ったことはないですが、有償・無償それぞれにいろいろな基盤があるようです。
- (無償)IntelMQ
- (無償)MISP - Malware Information Sharing Platform and Threat Sharing
- (無償)Threat Note
- (無償)CRITs - Collaborative Research Into Threats
- (有償)Threat Connect
- (有償)ThreatQuotient
Threat Intelligence Feed
Tactical Threat Intelligenceは、Blue Team(=Security Operation Team)の日々の運用を支えるために共有され、Timely & Actionableであることが必要だと考えられます。通常は、IPアドレス、ハッシュ値などが共有されることが一般的です。
いくつか有名な情報提供ソースを列挙します。
- その他各種ベンダーのブログ・ホワイトペーパーなど
Intelligence Community
Threat Intelligenceを共有するコミュニティもいくつか存在します。日本だと、金融ISACやFS-ISACが活発に活動を行い、様々な情報交換を行っている様子です。
共有形式・TLP
情報を共有する形式は多数存在して、統一したフォーマットは存在しません。有名ものとして、マルウェアシグニチャを共有するYARA、STIX、CybOX、TAXIIなどがあります。
また、最近では『セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」 』という資料も出ていますので、共有を考える上で重要な参考になると思います。
ちなみに、情報共有する際には、情報のアクセスレベルを決めるためにTLP(Traffic Light Protocol)という仕組みを使うことが一般的です。金融ISACでもTLPは厳格に有用されており、個社情報を含むものはRed or Amber、公開情報の共有などはWhiteという形のように運用されているようです。
まとめ
今回は、Operational・Strategic Threat Intelligenceについて、およびInformation Sharingについてまとめました。特に、Operational、Strategicは文献を当たってもなかなかわかりやすい解がなく試行錯誤しながらやっていくものになるかと思います。
参考:このリンク先に色々と情報がまとまっているので活用するのも一つの手だと思います。
