サイバー脅威インテリジェンス プログラムの作成
サイバー脅威インテリジェンス プログラムとは
Cyber Threat Intelligenceプログラムは、サイバー脅威イベントの一貫した特性化と分類、およびサイバー敵の活動の傾向や変化の識別を可能にするため、何千もの脅威情報フィードを個別に見るのではなく単一のフィードに統合する。 このプログラムは、効率的な情報共有と脅威分析を可能にする方法で、サイバー脅威の活動を一貫して記述しています。 このプログラムは、フィードと内部の遠隔測定を比較し、アラートを作成することにより、脅威インテリジェンスチームを支援します。
測定可能な価値を提供する脅威インテリジェンス機能を構築する
どのようにしてサイバー脅威インテリジェンスを実装するか?
脅威データから関連するサイバー脅威情報を抽出したら、必要なテクノロジーとテクニックを使って徹底的に分析し構造化処理するプロセスを経て、必要な関係者と共有して、セキュリティ管理を強化して将来のサイバー攻撃を防止します。 保護する必要のあるデータ、資産、およびビジネス・プロセスは、そうした資産を失った場合の影響分析とともに明確に定義する必要があります。
脅威インテリジェンスライフサイクルにおける脅威アナリストの役割
「サイバー脅威アナリスト」とも呼ばれるサイバーインテリジェンスアナリストは、スキルと背景知識を使用して脅威データを収集および分析し、レポートの形でインテリジェンスを作成して各部門と共有する情報セキュリティの専門家です。
脅威インテリジェンス戦略と能力
脅威インテリジェンス戦略には、ツール、テクニック、および方法論を適用した健全な計画と、その後の計画の有効性をチェックするためのレビューが必要です。
サイバー脅威と高度持続的脅威(APT)
サイバー脅威と高度持続的脅威を理解することは、脅威情報プログラムにとって最も重要な側面である。
高度持続的脅威(APT)とは何ですか?
高度持続的脅威とは、権限のないユーザーがネットワーク システムへのアクセスを獲得し、検出されずに長期間そこにとどまる攻撃のことです。 攻撃者は企業のデータに継続的にアクセスできるため、高度な持続的脅威は組織にとって非常に脅威となります。 Advanced persistent threats は、ネットワークのハッキング、できるだけ多くの情報にアクセスするための潜伏、攻撃の計画、組織の情報システムの調査、機密データへの容易なアクセスの検索、およびそのデータの流出などの段階を経て実行されます。
Understanding Cyber Kill Chain & IOCs
The cyber kill chain is a series of steps that trace stages of a cyberattack from the early reconnaissance stages to the exfiltration of data.It will provide an actional plan to mitigate the attacks by collected latest threat source information and create threat models.The systemは、サイバー攻撃に対する脅威を軽減するための行動計画を提供します。 キルチェーンは、ランサムウェア、セキュリティ侵害、および高度持続的攻撃 (APT) の理解と対策に役立ちます。
サイバー キルチェーンは、初期の偵察からデータ流出のゴールまでのサイバー攻撃の段階を特定し、組織のセキュリティを改善するツールとして使用されました。
侵害の指標 (IOC) とは、URL、IP アドレス、システム ログ、マルウェア ファイルなどの証拠で、侵入検知システム (IDS) やアンチウイルス ソフトウェアを使用して将来の侵害の試みを検知するために使用できるものです。
要件分析
要件分析とは、組織の理想的な目標状態のマッピング、サイバーインテリジェンスのニーズと要件の特定、要件とカテゴリーの定義、ビジネスユニット、ステークホルダー、サードパーティの要件の調整、インテリジェンス要件の優先付け、サイバー脅威情報プログラムの範囲、関与ルール、非開示合意、サイバー脅威情報プログラムへの一般リスクなどがすべてです。
マネジメントサポートの確立
プログラムを開始するために方針に従ってプロジェクト計画を作成し文書化し、マネジメントのサポートを確保する戦略を網羅して、プログラムの成果や目的、ビジネス目標がどう並んでいるかを詳細に説明します。
Building a Threat Intelligence Team
Cyber threat intelligence analystsのチームを作り、コアコンピテンシーとスキルセットに基づいて役割と責任を定義する。
脅威インテリジェンスプログラムのレビュー
脅威インテリジェンスプログラムの構造を見直し、成功や失敗にアクセスする。
脅威インテリジェンスデータ収集&処理
サイバー脅威インテリジェンスデータ収集と取得
分析と処理のために関連する脅威データを収集することは、サイバー脅威インテリジェンスの作成に重要なステップである。 データは、事前に定義された TTP (戦術、技術、手順) を使用して、さまざまなソースから収集されます。 データソースには、ネットワークログ、過去のサイバーインシデント、セキュリティランドスケープなど、内部的なものはほとんどありません。 外部ソースとしては、脅威のフィード、コミュニティ、フォーラム、オープンウェブ、ダークウェブなどがあります。