サイバー脅威のハンティング方法
脅威のハンティングを実施する際には、組織の弱点と、ハンティングに最適な場所、敵が検出を避けるために使用しそうな方法を見極めることが最も重要となる。一例を挙げると、組織のネットワーク上に存在する最も貴重な資産やデータを洗い出せば、最優先でそれを守るという判断を下せるようになるとともに、その資産に対して敵がどのような攻撃を仕掛けてくるのかを仮定できるようになるわけだ。
ホワイトペーパーの著者らによると、ハンティングを実施するにあたってのアドバイスとしては、以下のようなものがあるという。
ハンティングに必要なデータとはデータは多い方がよい。SANS Instituteのホワイトペーパーによると「ハンターには、個々のデータを軸にしてそのつながりや関連を導き出すことで、最終的に脅威を暴けるようなデータが必要となる。スキルのある要員や高価なツールをどれだけ用意しても、フローレコードやログ、アラート、システムイベント、デジタルイメージ、メモリダンプ、組織全体から収集されたその他の情報といった、環境から収集されるデータの欠落を埋め合わせることなどできない」と記されている。
- TechRepublic Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
- “マグニチュード”で危険度を数値化するSIEMのインテリジェンス--日本IBM
- セキュリティ対策をライフサイクルで捉えるこれからのSIEM--マカフィー
データ科学の活用は、データ量と、迅速かつ徹底した分析へのニーズを考えると必要不可欠だ。このためSANS Instituteの著者らは、「セキュリティ侵害の痕跡(IOC)やアラート、その他の情報は役に立つものの、腕の立つハンターは機械学習とアナリティクスのためのツールを使用し、視覚的な表示機能を活用してその情報を把握し、疑問に対する答えを探求するとともに、大規模データセットをまたがる不審な振る舞いをピンポイントで見つけ出す」という点を示唆している。
焦点を当てる方法分析が最も効果的な手法となるのは、個々のアラートにとらわれず、全体的なパターンと異常を洗い出せる場合だ。これは経験から見ても明らかだろう。SANS Instituteのホワイトペーパーの著者らは、「こういったことはカスタマイズされたアナリティクスと機械学習によって可能になり、自動化によっても支援される。また、ツールが提供するリンク分析の可視化といった機能によって、膨大な量のデータセットをふるいにかける必要があったとしても、さらにネットワーク内のノイズが邪魔になる場合であっても、組織内における犯罪者グループの企てを特定するためにアナリストを支援できるようになる」と示唆している。
