CNDの勉強67 ~サイバー脅威インテリジェンス~
こんにちは!
CNDの勉強をしていきます
これでラストです♡
本記事では「脅威インテリジェンス」についてまとめていきます!
サイバー脅威インテリジェンス(CTI)
サイバー脅威インテリジェンス(CTI)は、様々なサイバー攻撃に対する準備、予防、対応に関する情報に基づいた意思決定を行う上で、脅威や敵に関する情報を収集や分析をすることと定義されています。
CTIのタイプ
戦略的なCTI
サイバーセキュリティ態勢、脅威、それらのビジネスへの影響などに関して高度な情報を取得します。
戦術的なCTI
攻撃を実行するために脅威アクター(攻撃者)が使用する戦術、技術、手順に関する情報(TTPs)を提供します。
運用的なCTI
組織に対する特定の脅威に関する情報を提供します。
侵略シンジケータ
侵略シンジケータ(IoCs)は、組織のインフラにおける潜在的な侵入や悪意のある活動を示す手がかり、アーチファクト、エビデンスです。脅威の技術的指標であり、将来的な防御と保護を改善するため、収集に使用されます。
攻撃シンジケータ
攻撃シンジケータ(IoAs)は、攻撃者の意図、最終目標や目的、攻撃を成功させる前に取らなければならない一連の行動を通して発見される戦略的指標です。
攻撃者のなぜに焦点をあて、攻撃者が計画の初期段階で潜在的な悪用やセキュリティホールを探索しようとしたとき、新しく変更された脅威を組織が発見するのに役立ちます。
脅威インテリジェンスの層
ソース
ソースは、オープンに入手可能なソース、内部ソース、または商業ソースから入手できる生データです。
内部インテリジェンス
過去のインシデントとネットワーク監視に関するデータからの情報
オープンソースインテリジェンス
インターネットからの情報
カウンターインテリジェンス
ハニーポット、ダークウェブなどを介して攻撃者から直接得られる情報
ヒューマンインテリジェンス
探索による脆弱性の発見、マルウェア処理の理解、悪用と攻撃、悪意のあるエンティティの発見により得られる情報
TIフィード
TIフィードは、組織に対する潜在的脅威または現在の脅威に関連する、パッケージ化されたデータの連続ストリームです。
公開フィード
インターネットで簡単に入手できます。
商業フィード
政府や商業ベンダから購入する必要があります。
プラットフォーム
プラットフォームは、リアルタイムで複数のソースから複数のフィードを保存、分析、整理、比較するプロセスを自動化するのに役立ち、組織にとって重要なセキュリティツールとなっています。
ツールとしては、「TC Complete」等があります。
専門サービス
専門サービスは、フィードの提供に加え、脅威のインテリジェンスデータの入手に役立つIT専門家にサービスを提供します。
まとめ
今日はここまでです。
セキュリティに関する色々な情報やソースを公開してくれているものがあるということを学ぶことができました。一から何かを実装するより、提供しているものを使った方がはるかに効率がいいです。学んでおいて損なしです!
これでCNDのまとめが終了しました。
長かったです。本当に。。
これまでうまくまとめられたなんて思ってません!ただ、ここまで続けられたのは誇っていいのかなと感じてます。
ここまで読んでいただき本当にありがとうございました。
また、別の記事でお会いできたらうれしいです♪
CNDの勉強66 ~攻撃対象分析による脅威評価~
こんにちは!
CNDの勉強をしていきます
本記事では、「攻撃対象分析による脅威評価」についてまとめていきます。
攻撃対象領域分析
攻撃対象領域とは、情報システムに存在し攻撃者による組織の資産への不正なアクセスを可能にする、すべてにおけるセキュリティの弱点の総称です。
攻撃対象領域を知ることは、情報システムの脆弱性を可視化し、低減するのに役に立ちます。
また、カテゴリは「ネットワーク攻撃対象領域」「ソフトウェア攻撃対象領域」「物理的な攻撃対象領域」「人的な攻撃対象領域」「システムの攻撃対象領域」に分けられます!
分析の手順は、下記となります。
理解
攻撃対象領域を可視化します
特定
IOEsを特定します
シュミレーション
攻撃をシュミレーションします
縮小
攻撃対象領域を縮小します。
攻撃対象領域の理解と可視化
攻撃対象領域を理解するには、組織の資産、トポロジ、ポリシーを特定します。
資産は、攻撃者が関心を持つ最終的なターゲットを指します。
トポロジは、脆弱な資産への潜在的な経路を指します。
ポリシーは、潜在的な攻撃を離れた場所から情報システムの機能を視覚化することができる場合があります。
攻撃経路の可視化ツールは、「ThreatPath」「securiCAD」「Skybox」があります。
IOE
IOE(Indicators of Exposure)とは、攻撃者が組織のセキュリティを侵害するために使用できる潜在的なリスクスポージャを指します。「情報システム内の脆弱性の存在」や「セキュリティコントロールの欠如」、「セキュリティコントロールの安全でない設定」を表すことができます。
ツールをしては下記あります。
システムの特定では「Attack Surfave Analyzer」「Windows Sandbox Attack」
アプリケーションの特定では「OWASP Attack Surface」「TreatModeler」
ネットワークの特定では「AttackSurfaceMapper」「Amass-Automated Attack」
人的な攻撃の特定では「Phishing Framework」があります。
攻撃シュミレーション
攻撃シュミレーションは、特定されたIOEがどのように悪用されるかをネットワーク防御者が認識するのに役立ちます。具体的には、仮想ペネトレーションテストを実施し、サイバー攻撃のシナリオを発見します。
ツールとしては「BAS」や「Infection Monkey」、「Cymulate」があります!
攻撃対象領域の縮小
システムの攻撃対象領域
システムの実行中の不要なサービス、アプリケーション、コンポーネントを無効にするか、アンインストールをします。
アプリケーションの攻撃対象領域
アプリケーションのアーキテクチャ内で、不必要な機能、エントリポイント、API、コード、不必要な複雑さを取り除きます。
人的な攻撃領域
従業員を訓練するため、定期的なセキュリティの意識向上や研修プログラムを実施します。
物理的な攻撃領域
物理的に保護する必要のある資産に強力な物理的なセキュリティを実施します。
まとめ
ここまでです。
攻撃を防ぐということは大前提なのですが、何が狙われるのかやどんな攻撃があるかを分析しておくことが大事であるということを学べました。そして、この前学んだリスクとも合わせて、余計なリスクを保持しないという選択も大事です。セキュリティは色々な視点を持たなきゃなんですね。。
ここまで読んでいただきありがとうございました。
CNDの勉強65 ~リスク~
こんばんは
今日もCNDの勉強をしていきます
本記事では「リスク」について学んでいきます!
リスク管理
リスク管理とは、リスクを適切に定義し、有効なセキュリティプログラムにより許容可能なレベルに低減し、維持することです。リスク管理はシステムセキュリティのライフサイクル全体を通して重要な位置を占めています。
リスク管理の役割と責任は下記となります。
上級管理者
効果的なリスク管理のためにサポートと関与を行います。
CIO
リスク管理プログラムに基づくITの計画、予算管理、パフォーマンスに対する責任があります。
情報保持者
情報システムの機密性、完全性、可用性を維持するための適せるなセキュリティ制御に対する責任があります。
マネージャ
リスク管理プロセスにおけるトレードオフの決定に対する責任があります。
ISSO
組織の情報セキュリティプログラムに対する責任があります。
ITセキュリティプラクティショナ
セキュリティ正業の実装に対する責任があります。
意識向上トレーナ
リスク管理プロセスに関する適切なトレーニングを開発し、提供する責任があります。
また、効果的なリスク管理プロセスの重要な要素で、アクティビティのリスクの度合いを示すのに役立つKRIというものがあります。これにより、「イベントの悪影響の識別」「リスクのしきい値レベル通知」「リスクイベントの回顧的ビュー」の実行を支援します。
リスクの特定
リスクの特定は、組織のセキュリティに影響を及ぼす内部や外部のリスクの起点、原因と結果などを識別します。「コンテキスト(現在状況)の確立」と「リスクの定量化」を行います。
リスク評価
リスク評価では、組織のリスクを評価し、リスクの可能性と影響を見積ります。「リスク分析」と「リスク優先順位付け」を行います。リスクのレベルを定めたり、マトリックスにまとめたりすることが行われたりしています。
リスク対処
リスク特定では、特定されたリスクに対して適切な制御を選択し、実装するプロセスです。リスク評価の結果に基づくものとなります。
プロセスは下記があります。
リスク除去
脆弱性の悪用脅威をゼロに低減する対策です
リスク転移
リスク対処の責任を別の関係者や組織に転移します
リスク低減
直接的、競合的な対策を実施することにより、脅威や脆弱性に関与するリスクを低減します。
リスク所有
リスクの受容とは、特定のリスクが組織にとって許容可能な範囲内であると判断することです。
リスク回避
リスクの原因と結果を排除します。
リスクトラッキングとレビュー
リスクトラッキングは、新しいリスクの発生の可能性を特定し、対処するために適切な制御が実装されていることを保証するためのフェーズです。
また、レビューは、実装されたリスク管理戦略のパフォーマンスを評価します。
リスク管理フレームワーク
ERM
情報セキュリティ及びリスク管理アクティビティを統合する構造化プロセスを備えています。
NIST管理フレームワーク
情報セキュリティとリスク管理活動をシステム開発ライフサイクルに統合する、構造化された継続的なプロセスを提供します。
COSO ERMフレームワーク
必須のコンポーネントを定義し、共通の言語を提案し、ERMの明確な指導とガイダンスを提示します。
COBITフレームワーク
管理者が制御の要件、技術的な問題、ビジネスのリスク間のがっぷを埋めることができるツールセットをサポートします。
脆弱性管理
脆弱性管理は継続的な情報セキュリティのリスクプロセスで、脆弱性の識別、評価、分類、修正、軽減が対象となります。
脆弱性評価
検知された脆弱性はセキュリティチーム、監視者、管理者に報告します。
軽減
脆弱性が悪用されるのを防ぐためのアクションです。
改善
検知された脆弱性を解決するプロセスです。
検証
脆弱性が解決しているかどうかを確認するために別スキャンを行います。
まとめ
今日はここまでです。
リスクは、セキュリティだけでなくいろんな分野に役立つものだと思うので、知っておいて損はないかと思います。事前に起こりえることを考え対策するってことができるようになるともし損害を受けても、他の人より一歩早く対策できると思いますので!
ここまで読んでいただきありがとうございました。