セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

Threat Hunting

Intelligence-Driven Threat Intelligenceの解説

先日、Internet Week 2019にてActive Defenseに関する講演を行ってきました。その中の一つとして、Threat Huntingについて紹介を行いました。 Internet Week 2019の公式サイトより、資料はこちらからダウンロードしてください。 www.slideshare.net 今回は、…

Threat Huntingとは何か?(2019年度版)

(変更履歴)過去のThreat Huntingに関する記事をいろいろ改善しながら執筆していたのですが、諸般の事情で執筆を中断したので、ブログに投稿しました。 Threat Huntingとは、セキュリティベンダーがシグニチャを提供するまでのゼロデイ期間において攻撃が行…

Cyber Deception技術とTime Based Security

Cyber Deceptionとは、組織のネットワークに対してDecoy(おとり)を仕掛けることにより、攻撃者のリソースを無駄遣いさせ、重要データに到達するまでの時間を稼ぎ、そして本来絶対にアクセスが発生しない端末・パラメータへのアクセスが発生した場合攻撃を…

経営層のための脅威インテリジェンス(Strategic Intelligence)

以前紹介したSANSの"Cyber Threat Intelligence Consumption"では、Strategic Intelligenceとは、経営層に向けたインテリジェンスとされています。経営層(Senior Management)に対する脅威インテリジェンスについて考えてみたいと思います。 なぜ経営層にイ…

Cyber Threat Attributionとは何か?(2019年度版)

(変更履歴)Political Attributionについて付け加えました。 Cyber Threat Attributionとは、攻撃主体の帰属を特定する技術です。 攻撃者も人間である以上、アイデンティティ(攻撃の目的)、動機、攻撃手口などを持っているはずです。それらを洗い出すこと…

Cyber Threat Intelligenceとは何か?(その4・2018年度版)

前回の記事では、Operational Threat IntelligenceとStrategic Threat Intelligenceの定義について取り上げた後、Threat Intelligenceの共有方法についても触れました。今回は、Cyber Threat Intelligence Analystが陥りやすいバイアスやAttributionという技…

Cyber Threat Intelligenceとは何か?(その3・2018年度版)

2018/02/28 リンクを追加しました。 今回の記事では、Tactical Threat Intelligenceについて取り上げました。 今回は、SANSの"Cyber Threat Intelligence Consumption"をもとにOperational・Strategicレベルについて取り上げたいと思います。 Operational Th…

Cyber Threat Intelligenceとは何か?(その2・2018年度版)

前回の記事では、Cyber Threat Intelligenceの定義などについて解説しました。 www.scientia-security.org 今回の記事では、Threat Intelligenceの中でもTactical Threat Intelligence(戦術的インテリジェンス)に焦点を当ててみたいと思います。 戦術的イ…

Cyber Threat Intelligenceとは何か?(その1・2018年度版)

(修正履歴) 過去のエントリをいろいろ改善して再投稿しました。 2019年2月9日に一部更新を行いました。 今回のエントリーでは、Cyber Threat Intelligence(CTI)について解説をしていきます。 第1回では、Cyber Threat Intelligenceの概要について定義し…

脅威の検知レイヤーモデル

(修正履歴)一部追記しました。@ 2019.02.10 現在、Cyber Threat IntelligenceやThreat Intelligenceに興味を持っていますが、脅威を検知手法について整理してみました。 時間軸による検知レイヤーモデル 色々な考え方があるますが、検知のインプットは大き…

Threat Hunting for Dummiesを読んでみた!!

カンファレンスでもらった"Threat Hunting for Dummies"を積読していたのですが、時間ができたので読んで見たのでメモをまとめます。EDRで有名なCarbon Black社が書いているので、クオリティも十分でした。 www.carbonblack.com Threat Huntingの定義と目的 …

Cyber Threat IntelligenceとDNSデータ

Cyber Threat IntelligenceやThreat Actor Attributionの観点では、悪性ドメイン(C2ドメイン)は足が速い(すぐに変わる)のでDNSデータ分析は重要な要素となります。 例えば、マルウェア解析チームにより特定のC2通信を発生させていたと報告してきたとし…

Threat Actor Attributionとは何か?

Threat Actor Attributionという単語をきいたことはありますでしょうか? 今回は、Cyber Threat Intelligenceの分野で重要なThreat Actor Attributionについて、以下の講演をもとに勉強してみたいと思います。 www.youtube.com Threat Actor Attributionとは…

SANS Cyber Threat Intelligence Summitに参加してきた!!

以前、SANS Cyber Threat Intelligence Summitに参加してきました(バックデートして投稿しています。) SANS Cyber Threat Intelligence Summitとは? SANS Cyber Threat Intelligence Summitとは、SANSが開催しているThreat Intelligenceに関するサミット…

Cyber Threat Intelligenceとは何か?(その1)

過去の投稿に新しい情報等を更新して再投稿しました。 www.scientia-security.org

Threat Huntingとは何か?(その5)

以前の記事では、 Sqrrl社のThreat Hunting Reference Model(Threat Hunting参照モデル)という考え方から、The Hunting Loopという考え方を紹介しました。 www.scientia-security.org 今回は、その中からThe Hunting Maturity Model(HMM)とThe Hunt Matr…

Cyber Attributionに対抗するCyber Disinformation技術

先日参加したShmooConで、Threat Intelligenceの面白い講演があったので共有します。 www.scientia-security.org Leveraging Threat Intel Disinformation Campaigns Synack社のCTOであるMark Kuhr氏はNSAの勤務経験もあり、Threat Intelligenceの専門家です…

Threat Huntingとは何か?(その4)

前回は、Trailhead & Hypothesisについて取り上げました。 www.scientia-security.org Sqrrl社はThreat Huntingについては様々なことを提唱していますが、"A Framework of Cyber Threat Hunting"というレポートの中で、Threat Hunting Reference Model(Thre…

Threat Huntingとは何か?(その3)

先日は、APDフレームワークについて取り上げました。 www.scientia-security.org 今回は、Trailheadというキーワードとその背後にある仮説構築について、ホワイトペーパーを読み解きながらまとめていきたいと思います。 Cyber Threat Hunting - Sqrrl Genera…

Threat Huntingとは何か?(その2)

先日、Threat Huntingについて、IOCとPyramid of Painについてまとめました。 www.scientia-security.org 第2回目は、引き続きSqrrl社の記事を元に、別のキーワードを取り上げます。 A Framework for Cyber Threat Hunting Part 2: Advanced Persistent Def…

Threat Huntingとは何か?(その1)

Threat Huntingという概念をご存知でしょうか? 一言で言えば、「高度な標的型攻撃を検知・対応するための方法論」ですが、2015年度ごろから米国のカンファレンス等でよく耳にする単語です。しかしながら、Threath Huntingについて体系的に学べる資料がない…