以前、SANS Cyber Threat Intelligence Summitに参加してきました(バックデートして投稿しています。)
SANS Cyber Threat Intelligence Summitとは?
SANS Cyber Threat Intelligence Summitとは、SANSが開催しているThreat Intelligenceに関するサミットです。全体的に良いセッションでしたが、CFP(Call For Papers)のプロセスがあまり大幅に打ち出されていないためか、全体的におとなしいセッションという印象を受けました。ただし、米国でも唯一のCyber Threat Intelligenceのサミットであるため、その意味では貴重なカンファレンスだと考えられます。*1
カンファレンスのプレゼンテーションは、すべてここに公開されていますので、興味がある人は見てみてください。
いくつかの講演をピックアップ
いつも通り、いくつか講演を紹介したいと思います。
Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks
Cyber Threat Intelligenceの世界では、Cyber Attribution(攻撃者の特定)が流行しています。しかし、このプレゼンテーションでは、Cyber Attributionを実施しても実は攻撃者にだまされているのではというプレゼンテーションです。
重要なのは後半部分に展開された議論で、どのAttributionでやるべきか議論している点で、Government・Private・Mediaと分類しつつ、PrivateはAttributionなどはあまりやる必要がないと述べてた点が印象的でした。
プレゼンテーションは、別の場所で発表された内容が公開されていたのでそちらを見てください。
発表者と個別に話をしましたが、プライベート企業はCyber Attributionをやる意味はないとコメントしていました。その理由としては、「誰が攻撃してこようと、守らなければいけない事実は変わらないのであまりやってもしょうがない」とのことでした。それよりも、Cyber Threat Intelligence Analystは脅威情報や攻撃の動向を以下に収集するか、ベンダーの提供される情報をいかに効率よくやるか(Feed Comsuption)に注力すべきといった議論もなされました。
Threat Intelligence At Microsoft: A Look Inside
MicrosoftのCTI環境についてのプレゼンテーションでした。内容は普通でしたが、プロダクトごとに扱いが異なるため、12個のSOCを持ち、00人近いThreat Intelligenceの人がいることなどが話されていました。
The Threat Intel Victory Garden
Splunkの人の講演で、Splunk用にいろいろツールを作って無償で公開したという話でした。米国では、Internal Thereat Intelligence(内部のログデータから出てくるThreat Intelligence)と統合してレバレッジを利かせることがよく議論に出ますが、それを支援するツール群だと考えられます。
その他
Cyber Threat Intelligence Analystプログラムとしては、SANS以外にもいろいろあるようです。個人的には、Udemyは安価ですし、おすすめできるコンテンツなのではないかと思います。
もう一つ、DNSTwistというツールについて触れられていました。指定したドメインと似たようなドメインを探索してくれるツールの様子です。同じようなPhishing発見ツールとして、DomainTools PhishEyeもこの製品が挙げられますが、その簡易版というイメージです。ただし、DomainToolsの圧倒的な強みはクローリングにより蓄積された膨大なデータなので代替にはなりえないと思いますが、一つの選択肢としてはよいかと思いました。
まとめ
今回初めてSANS CTI Summitに参加してみました。セキュリティ研究の権威ある機関であるため信頼性の高い情報が多い一方、比較的他のカンファレンスと比較しておとなしく画期的な部分が少ない印象を受けます。個人的には、資料も公開するのでオンラインで追っていくのがよいのではと考えています。
*1:調べてみた限り、「Cyber Threat Intelligence and Incident Response」というイギリスのカンファレンスもあるようです。