先日、Threat Huntingについて、IOCとPyramid of Painについてまとめました。
第2回目は、引き続きSqrrl社の記事を元に、別のキーワードを取り上げます。
キーワード3:APDフレームワーク
APD(Advanced Persistent Defense)フレームワークとは、Sqrrl社のセキュリティ・アーキテクトであるDavid Biancoが提唱した標的型攻撃に対する防御フレームワークThe Defense Chainを精緻化したモデルです。
一般に、標的型攻撃への対応フレームワークとして、Cyber Kill Chainというモデルが有名ですが、よりそれをアクティブに対応できるようにしたフレームワークだと述べています。APDフレームワークの最終的なゴールは、Pyramid of Painで提唱されていたように、一番強力なIOCであるTTP(Tactics, Technique, Procedure)を利用して高度な対応をすることにあります。
APDフレームワークは大きく3種類のフェーズ(Intelligence → Hunting → Response)で構成されており、これらを継続的に実施していうことでTPPを効率的に発見し、適用していくことを推奨しています。また、各フェーズごとに実施すべきサイクルが定義されています。(図は、Sqrrl社のブログより引用)
Intelligence Cycle
Intelligence Cycleとは、方針(Direct)→ 収集(Collect)→ 分析(Analyze)→ 配信(Disseminate)という情報分析のサイクルです。Cyber Threat Intelligenceの講義などでは、以下のようなインテリジェンス・サイクルという分析フローを学びますが、基本的には同じ考えかたです。
Hunting Cycle
Hunting Cycleとは、ネットワーク・システム内に隠れている高度な脅威を検出するために、データを積極的かつ反復的に検索することに重点を置いたサイクルです。こちらも、情勢判断(Orient)→ 検索(Query)→ 分析(Analyze)→ 修正(Revise)という4ステップで構築されています。情勢判断フェーズは、Intelligence Cycleによってもたらされたtrailhead(調査の起点)を把握するフェーズです。また、検索・分析フェーズではLinked Data Analysis(リンクデータ分析)という手法が活用されます。この手法については、別途解説します。
Response Cycle
Response Cycleとは、封じ込め(Contain)→ 調査(Investigate)→ 影響緩和(Remediate)という3つのステップで構成されています。各内容はインシデント・レスポンスで一般的な内容かと思いますので省略します。
まとめ
今回は、APD(Advanced Persistent Defense)フレームワークを紹介しましたが、いかがだったでしょうか。APT(Advanced Persistent Threat)に対してどう対応していくべきかわかりやすいグラフになっています。ただ、Sqrrl社はThreat Hunting参照モデルという概念モデルを提唱しており、そこで提唱されているThreat Hunting Loopはもっと簡素化されたモデルとなっています。このモデルについては別の機会に紹介しようと思います。
