コンピュータフォレンジックの専門家らは、現在のセキュリティ脅威検知技術の向かう先に、サイバー脅威のハンティングという考え方があることを示唆している。本記事では、サイバー脅威のハンティングの特徴について解説する。
セキュリティ分野のアナリストは、「侵入を検出しました」という通知を受け取るまで座して待つのではなく、脅威となるアクティビティの証拠を求めて企業のインフラを精査するという、サイバー脅威のハンティングという考え方に従って行動している。このことは、SANS InstituteのRobert M. Lee氏とRob Lee氏が著したホワイトペーパー「The Who, What, Where, When, Why and How of Effective Threat Hunting」(効果的な脅威のハンティングにおける5W1H)にも記されている。
サイバー脅威のハンティングとは何か?
Sqrrl Data(米国のサイバー情報コミュニティーをルーツに持ち、先進的なサイバーセキュリティとビッグデータに多大な投資をしている企業)のホワイトペーパー「A Framework for Cyber Threat Hunting」(サイバー脅威のハンティングに向けたフレームワーク)では、サイバー脅威のハンティングを以下のように定義している。
ネットワークを積極的に何度も反復して検索し、既存のセキュリティソリューションによる網の目をかいくぐるような先進的脅威を検知し、隔離するためのプロセス。
また、同ホワイトペーパーには「脅威のハンティングは、SIEM(Security Information and Event Management)のような自動化されたシステムにのみ頼るのではなく、手作業と、マシンによって支援されるテクニックで構成されている。アラートは重要であるとはいえ、検知プログラムにおいてアラートのみに焦点を当てることはできないのだ」とも記されている。
SANS Instituteの著者らは、サイバー脅威のハンティングを、積極的な防御戦略に以下の要素を加えたものだと定義している。
- インテリジェンス:データを収集するとともに、使用可能な情報に変え、その情報と競合する可能性のある情報源を分析し、有益な知識を導き出す。
- 対抗策:サイバー攻撃、特にAdvanced Persistent Threat(APT)攻撃に対する防御として、法に触れない範囲で組織が取り得る対抗手段を実施する(民間組織による実施は推奨されていない)。
提供:iStock