Threat Hunting
先日、Internet Week 2019にてActive Defenseに関する講演を行ってきました。その中の一つとして、Threat Huntingについて紹介を行いました。 Internet Week 2019の公式サイトより、資料はこちらからダウンロードしてください。 www.slideshare.net 今回は、…
(変更履歴)過去のThreat Huntingに関する記事をいろいろ改善しながら執筆していたのですが、諸般の事情で執筆を中断したので、ブログに投稿しました。 Threat Huntingとは、セキュリティベンダーがシグニチャを提供するまでのゼロデイ期間において攻撃が行…
Cyber Deceptionとは、組織のネットワークに対してDecoy(おとり)を仕掛けることにより、攻撃者のリソースを無駄遣いさせ、重要データに到達するまでの時間を稼ぎ、そして本来絶対にアクセスが発生しない端末・パラメータへのアクセスが発生した場合攻撃を…
以前紹介したSANSの"Cyber Threat Intelligence Consumption"では、Strategic Intelligenceとは、経営層に向けたインテリジェンスとされています。経営層(Senior Management)に対する脅威インテリジェンスについて考えてみたいと思います。 なぜ経営層にイ…
(変更履歴)Political Attributionについて付け加えました。 Cyber Threat Attributionとは、攻撃主体の帰属を特定する技術です。 攻撃者も人間である以上、アイデンティティ(攻撃の目的)、動機、攻撃手口などを持っているはずです。それらを洗い出すこと…
前回の記事では、Operational Threat IntelligenceとStrategic Threat Intelligenceの定義について取り上げた後、Threat Intelligenceの共有方法についても触れました。今回は、Cyber Threat Intelligence Analystが陥りやすいバイアスやAttributionという技…
2018/02/28 リンクを追加しました。 今回の記事では、Tactical Threat Intelligenceについて取り上げました。 今回は、SANSの"Cyber Threat Intelligence Consumption"をもとにOperational・Strategicレベルについて取り上げたいと思います。 Operational Th…
前回の記事では、Cyber Threat Intelligenceの定義などについて解説しました。 www.scientia-security.org 今回の記事では、Threat Intelligenceの中でもTactical Threat Intelligence(戦術的インテリジェンス)に焦点を当ててみたいと思います。 戦術的イ…
(修正履歴) 過去のエントリをいろいろ改善して再投稿しました。 2019年2月9日に一部更新を行いました。 今回のエントリーでは、Cyber Threat Intelligence(CTI)について解説をしていきます。 第1回では、Cyber Threat Intelligenceの概要について定義し…
(修正履歴)一部追記しました。@ 2019.02.10 現在、Cyber Threat IntelligenceやThreat Intelligenceに興味を持っていますが、脅威を検知手法について整理してみました。 時間軸による検知レイヤーモデル 色々な考え方があるますが、検知のインプットは大き…
カンファレンスでもらった"Threat Hunting for Dummies"を積読していたのですが、時間ができたので読んで見たのでメモをまとめます。EDRで有名なCarbon Black社が書いているので、クオリティも十分でした。 www.carbonblack.com Threat Huntingの定義と目的 …
Cyber Threat IntelligenceやThreat Actor Attributionの観点では、悪性ドメイン(C2ドメイン)は足が速い(すぐに変わる)のでDNSデータ分析は重要な要素となります。 例えば、マルウェア解析チームにより特定のC2通信を発生させていたと報告してきたとし…
Threat Actor Attributionという単語をきいたことはありますでしょうか? 今回は、Cyber Threat Intelligenceの分野で重要なThreat Actor Attributionについて、以下の講演をもとに勉強してみたいと思います。 www.youtube.com Threat Actor Attributionとは…
以前、SANS Cyber Threat Intelligence Summitに参加してきました(バックデートして投稿しています。) SANS Cyber Threat Intelligence Summitとは? SANS Cyber Threat Intelligence Summitとは、SANSが開催しているThreat Intelligenceに関するサミット…
過去の投稿に新しい情報等を更新して再投稿しました。 www.scientia-security.org
以前の記事では、 Sqrrl社のThreat Hunting Reference Model(Threat Hunting参照モデル)という考え方から、The Hunting Loopという考え方を紹介しました。 www.scientia-security.org 今回は、その中からThe Hunting Maturity Model(HMM)とThe Hunt Matr…
先日参加したShmooConで、Threat Intelligenceの面白い講演があったので共有します。 www.scientia-security.org Leveraging Threat Intel Disinformation Campaigns Synack社のCTOであるMark Kuhr氏はNSAの勤務経験もあり、Threat Intelligenceの専門家です…
前回は、Trailhead & Hypothesisについて取り上げました。 www.scientia-security.org Sqrrl社はThreat Huntingについては様々なことを提唱していますが、"A Framework of Cyber Threat Hunting"というレポートの中で、Threat Hunting Reference Model(Thre…
先日は、APDフレームワークについて取り上げました。 www.scientia-security.org 今回は、Trailheadというキーワードとその背後にある仮説構築について、ホワイトペーパーを読み解きながらまとめていきたいと思います。 Cyber Threat Hunting - Sqrrl Genera…
先日、Threat Huntingについて、IOCとPyramid of Painについてまとめました。 www.scientia-security.org 第2回目は、引き続きSqrrl社の記事を元に、別のキーワードを取り上げます。 A Framework for Cyber Threat Hunting Part 2: Advanced Persistent Def…
Threat Huntingという概念をご存知でしょうか? 一言で言えば、「高度な標的型攻撃を検知・対応するための方法論」ですが、2015年度ごろから米国のカンファレンス等でよく耳にする単語です。しかしながら、Threath Huntingについて体系的に学べる資料がない…