あけましておめでとうございます。
ご縁があり、翻訳させていただいた『インテリジェンス駆動型インシデントレスポンス』が12/26(水)に発売されました。ぜひ書店やAmazonでお買い求めください。(公開するの忘れてた...)
この本のセールスポイントとすると、以下の3つ挙げられると思います。
- 脅威インテリジェンスとその応用については、まだ体系的な書籍がなく日本初の書籍になること
- 執筆者はSANS Instituteで脅威インテリジェンスコース(FOR578)のインストラクターとコース執筆を担当している2名であること。特にRebekah BrownはNSAなどIC(Intelligence Community)などで働いていた経験を公開していること
- 少しとっつきづらい戦略的インテリジェンスなどについてもわかりやすく触れられていること
お勧めポイント
具体的な中身はぜひ読んでいただければと思いますが、個人的には、以下のポイントは英語版で読んだときに参考になり、翻訳したいと考えたきっかけでもあります。
ポイント1:F3EADモデルの活用
この本を英語で読んだ時に一番良いと感じた点は、F3EADというモデルを使って、インシデント対応 → インテリジェンス作成 → インシデント対応(+脅威ハンティング)という継続的なサイクルを意識して書かれている点です。
F3EADの略は以下の通りです。
- Find:調査フェーズ
- Fix:決定フェーズ
- Finish:完了フェーズ
- Exploit:活用フェーズ
- Analyze:分析フェーズ
- Disseminate:配布フェーズ
ポイント2:情報の収集・分析・報告について丁寧に記述されている
脅威インテリジェンスを取り扱う点で難しい点は、情報をどのように管理するか、分析するか、報告するかという点です。この本はその点で、管理方法や分析に関する考え方、あるいはペルソナという概念を使って報告主体を意識した報告方法について具体的な議論が行っています。
もちろん、この通りにやる必要はなく各組織の実態に合わせてうまく変えていけばよいと思いますが、何を報告すればよいかわからないという担当者に一つの指針を提示してくれると考えています。
更なる参考文献
脅威インテリジェンスを学ぶ上で更なる参考文献を上げたいと思います。(紹介されていないモノを中心に挙げています。)
色々挙げていますが、あえて1冊挙げればRecodedFuture社が発表しているThreat Intelligence Handbookは特に脅威インテリジェンスの具体的な活動内容がまとまっており有益です。
INSA
この団体は比較的脅威インテリジェンスに関する定義などを積極的に出しておきます。考え方を整理する上で非常に役に立つと思います。
- Tactical Cyber Intelligence – INSA
- Operational Cyber Intelligence – INSA
- Strategic Cyber Intelligence – INSA
- Operational Levels of Cyber Intelligence – INSA
- Cyber Intelligence: Setting the landscape for an emerging discipline – INSA
- Cyber Intelligence: Preparing Today’s Talents for Tomorrow’s Threats – INSA
ThreatConnect社
ThreatConnect社は言わずと知れたTIP(脅威インテリジェンスプラットフォーム)で知られた会社で様々なホワイトペーパーを公開しています。
個人的には、以下のホワイトペーパーが参考になりました。
- Threat Intelligence Platforms: Open Source vs. Commercial
- Building a Threat Intelligence Program
- Maturing a Threat Intelligence Program
SANS
SANSも様々なリソースを公開しています。大きく参考になるプレゼンテーションは大きく二つあります。
一つは、Summit ArchivesでこれはCyber Threat Intelligence Summitなどのプレゼンテーションを見ることができます。例えば、Diamond Modelについて説明した『THE DIAMOND MODEL FOR INTRUSION ANALYSIS: A PRIMER』などもここに公開されています。
もう一つのリソースは、SANS Reading Roomです。ここでは、様々なWhite Paperが公開されていますが、特に「Analyst Paper」カテゴリーは良いものが多いと思います。脅威インテリジェンスに関係するカテゴリーとすると、「Active Defense」、「Threat Hunting」、「Threat Intelligence」、「Threats/Vulnerabilities」などのカテゴリーが該当するかと思います。
- Threat Intelligence: What It Is, and How to Use It Effectively
- The Sliding Scale of Cyber Security
- Generating Hypotheses Successful Threat Hunting
- The Who, What, Where, When, Why and How of Effective Threat Hunting
- Scalable Methods for Conducting Cyber Threat Hunt Operations
Sqrrl + Threat Hunting
Sqrrl社はThreat Huntingで有名な会社で現在はAmazonに買収されています。Threat Huntingは直接関係ないですが、脅威インテリジェンスを使って活動するという点において知っておくべき概念だと思います。残念ながら、Amazonに買収されたことにより、Threat Hunting Academyなどは閉鎖されてしまいましたが、今でも有効なリソースは存在します。
- Hunt Evil:Your Practical Guide to Threat Hunting
- https://sqrrl.com/media/huntpedia-web-2.pdf
- A Framework for Cyber Threat Hunting
その他、Threat Hunting系は以下が参考リストになるのではないかと思います。
その他
その他、以下のホワイトペーパーは一読の価値があると思います。
- The Threat Intelligence Handbook | Recorded Future
- Definitive Guide to Cyber Threat Intelligence*1
- A framework for cybersecurity information sharing and risk reduction
- The ISSA Journal December 2016(P.
37 : Fallacies in Threat Intelligence Lead to Fault Lines in Organizational Security Postures) - Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains
- Payment UK - Cyber Threat Intelligence*2
- CBEST Intelligence-Led Testing:Understanding Cyber Threat Intelligence Operations
- Applied Critical Thinking Handbook (
Formly Red Teaming Handbook v7) - ICS Threat Intelligence and Active Defense
- Psychology of Intelligence Analysis (CIA)
- Integrating Threat Intelligence:Defining an
Intelligence Driven Cyber Security Strategy - Threat Intelligence
:Collecting , Analysing, Evaluating
まとめ
脅威インテリジェンスの活用は今後あたりまえになってくる分野の一つだと思いますのでぜひご活用ください。