脅威ハンティング：サイバーセキュリティの次なる進化

企業では増え続けるサイバー攻撃の脅威から身を守るために、終わりのない投資を強いられています。ますます巧妙化し狙いすましたサイバー犯罪のために、企業は状況を正しく見定めることができなくなっています。サイバーセキュリティをけん引するシスコでは、脅威ハンティングを当社のオファーに統合しました。これにより、攻撃が顕在化する前に阻止できるようになります。シスコの脅威ハンティングを導入すれば、先手を打ってサイバー脅威を追跡し、発見し、阻止することができます。

サイバーセキュリティに不可欠の脅威ハンティング従来のサイバーセキュリティ戦術は、悪意のあるアクティビティが動き出してから対処します。Endpoint Protection Platform（EPP）と Endpoint Detection and Response（EDR）はセキュリティが皆無な状態と比べれば効果的と言えるものの、サイバー攻撃を検知してから阻止するのでは手遅れです。そのため攻撃の発生を抑える防衛策頼みではもはや通用しないところまで来ているのです。脅威ハンティングはサイバー犯罪が害を振りまく前にその存在を突き止めるという方法で、企業の自衛のあり方を変えます。

脅威ハンティングの特徴
脅威ハンターは多様な不確定要素を取り込んで仮説を組み立て、過去にカタログ化された情報を活用する反復処理にその仮説をあてはめることで、検出をすり抜けたデータ侵害の痕跡を見つけ出します。
脅威ハンティングは旧式のサイバーセキュリティ戦術の代わりとなるのではなく、今ある対策を強化するために開発されました。

従来のサイバーセキュリティと脅威ハンティングの差

旧式のセキュリティツールでは高度な脅威は阻止できない
狡猾な攻撃者の存在が攻撃の検出をきわめて困難にしている
人工知能や機械学習を駆使してもあらゆる攻撃を阻止するには手が足りない可能性がある

仕組み

脅威ハンティングのアナリストが用いる仮説を元にした手法。

アナリストはまず技法が MITRE の分類を元にしたものか、あるいはインシデント対応における観測や調査の結果によるものかを明確化します。次に計画の策定と範囲の限定を行うとアクション計画を実行に移し、データを得ます。データは自動化された分析とアナリティクスに利用され、最後は仮説に調整を加えるか、問題がなければ仮説の妥当性を認めます。後はこの繰り返しです。

通常は見られないような挙動や悪意のあるアクティビティが確認されると社内のセキュリティチームに報告されます。これによってチームは対策を講じ、攻撃を阻止できます。

脅威ハンティングのカテゴリ

高度な分析と機械学習による調査

強力なデータ分析と機械学習を組み合わせることで膨大な情報を精細に調査し、攻撃の可能性が疑われる不正な動きを検知します。

既知の IOC と IOA に基づく調査

戦術的な脅威インテリジェンスを活用することで新たな脅威に関連する既知の侵害の痕跡（IOC）および攻撃の痕跡（IOA）をカタログ化し、そのカタログ（MITRE ATT&CK™ など）を利用して悪意のある攻撃や潜伏しているアクティビティを発見します。

仮説を元にした調査

脅威ハンターは、クラウドを情報源とする大規模な攻撃データのプールを利用することで特定された新たな脅威をトリガーとして、攻撃者の一定の挙動が管理下の環境内で発見されるかどうかを探ります。

MITRE ATT&CK™：脅威ハンティングを支える屋台骨

効果的な脅威ハンティングは一度限りの偶然でもなければ、無から生まれるものでもありません。

脅威ハンティングは分析による検出機能から構築された、確かなインテリジェンスを支えとする継続的かつプロアクティブな仕組みであり、ともすれば複雑になりやすく膨大な時間を要します。そのため MITRE では 2013 年以来、企業のサイバーセキュリティ上の問題に取り組むための実用的な情報を脅威ハンターに提供すべく、情報収集を続けてきました。MITRE が開発した ATT&CK™（敵対的な戦術と手法、共通知識）はサイバー犯罪に関する情報の収集、解釈、共有を促進する、実証本位のフレームワークです。

ATT&CK を活用することで、攻撃者の行動を明確かつ体系的に理解できます。脅威ハンターはこの敵対的グループに関する情報にアクセスしてインテリジェンスを分析することで攻撃の検出、緩和が可能になり、脅威を軸とする脆弱性を把握し、その理解に基づいて防御体制を調整できます。

大幅な改善をもたらす脅威ハンティング

サイバー脅威に対する自衛策を求める企業にとって、脅威ハンティングが不可欠であることはデータを見れば明らかです。脅威ハンティング戦術を導入した企業の多くで、測定可能な目標値に改善が見られたことが報告されています。

脅威ハンティングによる効果として測定可能な改善点	ある程度の改善が見られる	大幅な改善が見られる
検出されたインシデントの件数に基づく侵害数	54.2%	28.3%
脅威にさらされている攻撃対象領域/ 強化されたネットワークおよびエンドポイント	48.3%	47.5%
感染拡大に至る時間（最初の不正アクセスから水平展開）	44.2%	30.8%
滞留時間（感染から検出）	45.0%	40.0%
データ漏えいの検出（自社から流出したことが検出されたデータ）	45.0%	31.7%
マルウェアの感染頻度または件数	45.8%	37.5%
修復に要したリソース（例：スタッフチーム、費用）	49.2%	25.8%
封じ込めに要した時間（拡散や水平展開の検出または防止）	55.8%	32.5%

脅威ハンティング導入の障壁と
なっている 5 大要素

限られたリソース

企業では優秀な脅威ハンターの調達に苦労しています。そればかりでなく限定的な機能や旧式のインフラストラクチャ、アーキテクチャも悩みの種です。

アラートの優先順位付け

日々大量のアラートが発生し、脅威の発生源を特定することの困難さも相まって調査に優先順位を付けるのが難しくなっています。

インテリジェンスの効果的な利用

脅威インテリジェンスを運用可能にすることは容易でなく、情報源の多くは信頼性と鮮度に難があります。

インターネット全体に及ぶ脅威の可視化

企業は攻撃者がどこで攻撃準備を整え、そこに IP、ASN、マルウェアがどのように関わってくるかを特定するのに苦労しています。

一朝一夕では得られない脅威ハンティングの効果

脅威ハンティングは低レベルの IOC を特定することから始め、そこから高いレベルへと引き上げていく必要があるため、取り組むには時間がかかります。