サイバー脅威インテリジェンス
From Wikipedia, the free encyclopedia
CERT-UKによると、サイバー脅威インテリジェンス(サイバーきょういインテリジェンス、CTI: Cyber Threat Intelligence)は「掴みどころのない」[1]概念である。サイバーセキュリティは、ITセキュリティ専門家を採用し、組織にとって不可欠なインフラまたは知的財産を保護するための技術的手段を導入することで構成される。一方、CTIはオープンソースインテリジェンス (OSINT)、ソーシャルメディアインテリジェンス (SOCMINT)、ヒューマンインテリジェンス (HUMINT)、そしてテクニカルインテリジェンス (技術情報) または深層Webとダークウェブからのインテリジェンス (情報) を用いた情報収集を基礎に置く。CTIの主要ミッションは、以下の3つの領域における動向と技術開発の調査と分析である。
- サイバー犯罪
- ハクティビズム
- サイバーエスピオナージ (持続的標的型攻撃 (APT)、サイバースパイ活動とも)
調査や分析に基づいて蓄積されたデータにより、国家は予防策を事前に考え出すことが可能になる。サイバー脅威の深刻な影響を考慮すると、CTIは国際安全保障を維持するための効率的なソリューションとして発展しているといえる。
種類
英国国家サイバーセキュリティセンター (NCSC) は脅威インテリジェンスを4種類に分類している[2]。
- 戦術的 (タクティカル): 攻撃者の手法、ツール、戦略——潜入を試みる潜在的危険アクターに対抗するために十分なリソースに依拠し、何らかの措置を必要とする
- 技術的: 特定のマルウェアのインジケーター
- 運用上: 特定の攻撃の詳細、組織が未来のサイバー脅威を判定する能力を評価
- 戦略的 (ストラテジック): 変動するリスク (戦略の変更) に関する高度な情報——脅威の批判的評価を行うよう完全に決定するのに上層部が必要[誰によって?]
金融業界を見ると、イングランド銀行のCBEST[3]フレームワークではペネトレーションテストはセンシティブな商業部門 (銀行業界等) を保護するのに適当ではなくなっていると想定されている。これを受けて、英国金融当局 (イングランド銀行、大蔵省、金融行動監督機構) は、金融機関をサイバー脅威から守るためのいくつかの手段を推奨している。これには「英国政府内で活動している脅威インテリジェンスプロバイダーからの勧告」を受けること等が含まれている[4]。
戦術サイバーインテリジェンス
サイバー脅威インテリジェンスの価値に関する課題と論争
サイバー脅威インテリジェンス調査が直面している課題もある。これには脅威インテリジェンスの価値と、脅威インテリジェンスが本当に機能するのかということに関するいくつかの論争が含まれる。現状の脅威インテリジェンスが本当に効果的かどうかに関して、様々な専門家が懸念を表明している[6][7][8]。一方で、脅威インテリジェンスは脆弱性とその解決方法の特定に役立ち得ると主張している者もいる[9]。
要因分析
サイバー脅威には、コンピューター、ソフトウェア、そしてネットワークの使用が絡む。サイバー攻撃の最中または後、攻撃者と被害者間の該当するネットワークとコンピューターに関する技術情報は収集することができる。しかし、攻撃に関与した人物、動機、または攻撃の最終的なスポンサーを特定することは困難である。脅威インテリジェンスに関する近年の取り組みでは、敵のTTP (戦術、技術、プロシージャ) を理解することが重視されている[10]。
APT要因分析の研究
- APT1
- APT28
- APT 29
- Blackvine Cyber Espionage group
- Dragonfly
- ESG Solution Showcase - Cavirin Hybrid Cloud Security
- Joint FBI and DHS report on the DNC hack
- Waterbug Group
- Seedworm
CTIと政治的リスク
発展資料
- Anca Dinicu, "Nicolae Bălcescu" Land Forces Academy, Sibiu, Romania, Cyber Threats to National Security.Specific Features and Actors Involved - Bulletin Ştiinţific No 2(38)/2014
- Zero Day: Nuclear Cyber Sabotage, BBC Four - the Documentary thriller about warfare in a world without rules - the world of cyberwar.It tells the story of Stuxnet, self-replicating computer malware, known as a 'worm' for its ability to burrow from computer
- What is threat intelligence?- Blog post providing context and adding to the discussion of defining threat intelligence.
- Threat hunting explained - Short article explaining cyber threat intelligence.
- A known actor in cyber threat intelligence - Site dedicated to threat intelligence.