さて、ここまで一般的なスレットインテリジェンスを収集・蓄積するための一連の流れを示した。では、実際の例を挙げて説明する。例えば、Mandiant(FireEye)のAPT1レポートなどが、スレットインテリジェンス情報の代表的な例といえよう。
当該レポートは標的型攻撃グループの特定や分析することを目的の一つとし、さまざまな情報を人やセンサなどを利用して収集し、分析することで作成されている。
この他にも、世の中のDoS(DDoS)攻撃などのネットワークを介した攻撃の兆候を俯瞰して把握したいといった目的の場合は、情報の収集手法としてダークネット(使用されていないアドレス空間)でセンサを配置し、当該センサから得られる情報を収集、適宜分析することで目的のスレットインテリジェンスを得ることができる。ここでは詳細は割愛するが、他にもセンサとして各種ハニーポットを準備することで、別のスレットインテリジェンスを得ることも可能である。
場合によっては、収集した複数の情報を突合させることで、今まで把握できていなかった新たなスレットインテリジェンスを導出できることもある。
スレットインテリジェンスの活用
では、蓄積したスレットインテリジェンスはどのように利用されているのだろうか。これには、以下のように大きく分けて2つの活用方法がある。
- セキュリティ対策製品で脅威検出するためのデータフィードとして利用
- セキュリティインシデントの現象や傾向を把握するための利用
データフィード利用としては、アンチウィルスの定義ファイル、マルウェアの振る舞いの痕跡を表す「IoC(Indicator of Compromise)」や、IPアドレスのブラックリストなどが一例としてあげられる。これらの情報は、各種セキュリティ製品で脅威を検出するための入力情報として用いられる。
一方、セキュリティインシデントの現象や傾向を把握するための利用では、前述のAPT1レポートのようにセキュリティベンダー各社が発表するレポートやブログなど、セキュリティ業務に携わる担当者が、現状や傾向を把握するための情報として用いられる。
以上、収集した情報を分析してスレットインテリジェンスを蓄積し、活用するまでの簡単な流れについて解説した。次にスレットリサーチラボが実際に行っている情報の収集と分析の一例としてDNSシンクホールの観測について紹介する。