Webrootの最高マーケティング責任者(CMO)David Duncan氏によれば、脅威インテリジェンスの目的は、ネットワークとエンドポイントでサイバー脅威をただちにブロックすること、そして攻撃の始点を予測することだ。
同氏はインタビューの中で、「警告メッセージを増やすことしかできないのなら、脅威インテリジェンスに意味はない」と述べている。同氏によれば、「脅威インテリジェンスはリアルタイムで脅威を検知できる必要があり、その唯一の目的は、ネットワーク、または直接特定のエンドポイントを襲う脅威を正確に検知し、未然にブロックする」ことだ。
WebrootのCMO David Duncan氏
提供:Webroot
Duncan氏はさらに、「より重要なのは、脅威インテリジェンスが企業に対する次の攻撃の始点を予測する能力を持つことだ」と付け加えた。
1997年に設立され、米国コロラド州に本社を置くWebrootは、2012年にエンドポイントデバイスにサイバーセキュリティを提供するクラウドベースの脅威インテリジェンスソリューションの提供に主軸を移した。Duncan氏によれば、Webroot独自の技術である「BrightCloud」アーキテクチャは、「世界で3000万人のユーザーを抱える、悪質なウェブサイト、URL、IPアドレス、アプリケーションなどの、さまざまな脅威の原因に関する最新の情報を用いた、大規模な脅威インテリジェンスクラウド」だ。
このインタビューでDuncan氏は、脅威インテリジェンスが企業に提供すべき機能に加え、IoTデバイスの普及によるサイバー脅威の増加、金融機関セキュリティエコシステムに重要な要素、Webrootが出資し、Ponemon Instituteが単独で実施した調査のレポートである「Cyber Threat Intelligence Report」(PDF)の要点などについて語った。
--現在のサイバー脅威の環境で、脅威インテリジェンスが企業に提供すべき機能は何ですか。
David Duncan氏:警告メッセージを増やすことしかできないのなら、脅威インテリジェンスに意味はありません。企業は警告メッセージやログファイルの山に埋もれています。企業は、リスクの低い脅威の中から、本当の脅威をフィルタリングし、発見することを求めています。しかし、問題の中心は、脅威が防御をすり抜けていることです。多くの場合、これは組織が依存している悪質なウェブサイト、URL、IPアドレスのブラックリストが古すぎることが原因です。これらの脅威は、毎日変化しています。フィッシング攻撃の90%以上では、使用されているウェブサイトは、作成から24時間以内にダウンします。ブラックリストが配布された時には、攻撃は違うウェブサイトに移っており、リストは古くなっているのです。
脅威インテリジェンスは、脅威をリアルタイム、またはできる限りリアルタイムに近い状態で検出する必要があります。その唯一の目的は、ネットワーク、または直接特定のエンドポイントを襲う脅威を正確に検知し、未然にブロックすることです。さらに、ネットワーク保護デバイス、SIEM(セキュリティ情報およびイベント管理の仕組み)、エンドポイントに対して、検知可能な対象と、その情報を提供できる対象の間にギャップがない形で、すべての脅威の発信源を検知し、未然にブロックする必要があります。これは、リアルタイム(ミリ秒単位から秒単位)またはリアルタイムに近い状態(数分以内)で行わなければなりません。
より重要なのは、脅威インテリジェンスが企業に対する次の攻撃の始点を予測する能力を持っていることです。ネットワークに今日接触してきた疑わしいIPアドレス、URL、アプリケーションなどは、明日特定の脆弱性を突くために設計されたサイバー攻撃戦略の偵察行為かもしれないのです。脅威インテリジェンスは、未然にこの行為を検知し、将来攻撃の起点となる可能性のある脅威リスト(IPアドレス、URL、アプリ、ファイルなど)を自動的に更新する必要があります。サイバー攻撃はハイペースで増加しています。サイバーセキュリティを改善し、セキュリティスタッフが受け取る警告メッセージを減らすことができるのは、新たな脅威に関する情報をデバイスに伝えて未然にブロックする、集合的モデルまたは共有モデルによるリアルタイムの脅威インテリジェンスだけです。
提供:iStock