CNDの勉強67 ~サイバー脅威インテリジェンス~
こんにちは!
CNDの勉強をしていきます
これでラストです♡
本記事では「脅威インテリジェンス」についてまとめていきます!
サイバー脅威インテリジェンス(CTI)
サイバー脅威インテリジェンス(CTI)は、様々なサイバー攻撃に対する準備、予防、対応に関する情報に基づいた意思決定を行う上で、脅威や敵に関する情報を収集や分析をすることと定義されています。
CTIのタイプ
戦略的なCTI
サイバーセキュリティ態勢、脅威、それらのビジネスへの影響などに関して高度な情報を取得します。
戦術的なCTI
攻撃を実行するために脅威アクター(攻撃者)が使用する戦術、技術、手順に関する情報(TTPs)を提供します。
運用的なCTI
組織に対する特定の脅威に関する情報を提供します。
侵略シンジケータ
侵略シンジケータ(IoCs)は、組織のインフラにおける潜在的な侵入や悪意のある活動を示す手がかり、アーチファクト、エビデンスです。脅威の技術的指標であり、将来的な防御と保護を改善するため、収集に使用されます。
攻撃シンジケータ
攻撃シンジケータ(IoAs)は、攻撃者の意図、最終目標や目的、攻撃を成功させる前に取らなければならない一連の行動を通して発見される戦略的指標です。
攻撃者のなぜに焦点をあて、攻撃者が計画の初期段階で潜在的な悪用やセキュリティホールを探索しようとしたとき、新しく変更された脅威を組織が発見するのに役立ちます。
脅威インテリジェンスの層
ソース
ソースは、オープンに入手可能なソース、内部ソース、または商業ソースから入手できる生データです。
内部インテリジェンス
過去のインシデントとネットワーク監視に関するデータからの情報
オープンソースインテリジェンス
インターネットからの情報
カウンターインテリジェンス
ハニーポット、ダークウェブなどを介して攻撃者から直接得られる情報
ヒューマンインテリジェンス
探索による脆弱性の発見、マルウェア処理の理解、悪用と攻撃、悪意のあるエンティティの発見により得られる情報
TIフィード
TIフィードは、組織に対する潜在的脅威または現在の脅威に関連する、パッケージ化されたデータの連続ストリームです。
公開フィード
インターネットで簡単に入手できます。
商業フィード
政府や商業ベンダから購入する必要があります。
プラットフォーム
プラットフォームは、リアルタイムで複数のソースから複数のフィードを保存、分析、整理、比較するプロセスを自動化するのに役立ち、組織にとって重要なセキュリティツールとなっています。
ツールとしては、「TC Complete」等があります。
専門サービス
専門サービスは、フィードの提供に加え、脅威のインテリジェンスデータの入手に役立つIT専門家にサービスを提供します。
まとめ
今日はここまでです。
セキュリティに関する色々な情報やソースを公開してくれているものがあるということを学ぶことができました。一から何かを実装するより、提供しているものを使った方がはるかに効率がいいです。学んでおいて損なしです!
これでCNDのまとめが終了しました。
長かったです。本当に。。
これまでうまくまとめられたなんて思ってません!ただ、ここまで続けられたのは誇っていいのかなと感じてます。
ここまで読んでいただき本当にありがとうございました。
また、別の記事でお会いできたらうれしいです♪