脅威分析の歴史 | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > 脅威分析の歴史

脅威インテリジェンス

Anomali

Cyber Intelligence

Intelligence

脅威分析の歴史

Tamura

Tamura

2023.01.11

 

2016年9月13日、Joe Franscella)サイバーセキュリティ・インテリジェンスという分野は、侵入前にパターンを特定するための自動化された手段を追求することによって進歩する。このマーケットを産んだのは、直接的な攻撃やウイルス、インサイダー脅威から身を守りたいという、個人や大企業からの強いニーズであった。

サイバーセキュリティを支える哲学は、インターネットが登場する以前から存在していた。暗号化による情報の保護は、初期の社会で使用されていた古来の技術だ。侵入者はこれらの防御を突破しようとし、防御は強化される。このサイクルは、古代社会から世界大戦を経て、現代の個人による国境を越えたハッキングの企みに至るまで、ずっと続いている。

最初、危険はフロッピーディスクを通じて配布された。ほとんどのコンピューターは、リンクされていなかったからだ。インターネットが普及し始めて間もなく、その力を悪用する方法が発見された。最初のウイルスは自己複製を行い、のちにデータのコピー、破壊、漏洩を行うようになった。

1990年代には、金銭絡みの大規模なハッキングがニュースの見出しを飾った。2千万ドル規模の金銭絡みのハッキング危機は、世界各地で反響を呼んだ。データ保有者とハッカーの双方が、ハッカーが持つ力と与え得る損害を認識した。マルウェアやフィッシングによるハッキングはより一般的になり、セキュリティプラットフォームのメーカーは自らの取り組みを強化した。

ファイアウォールとSIEMツールは、問題の兆候をユーザーに知らせる防御線を作る。これらのツールは、未知のソースや不審なソースからのトラフィックをブロックできる。定義ファイルを用意しておけば、既知のマルウェアプログラムを特定してコンピュータから「駆除(scrub)」することができる。これらのツールは定義ファイルだけでなく、トラフィックログも利用する。ハッカーは、システムの脆弱性の発見と有害ツールの開発を続けたほか、先述のアラートを踏まないよう攻撃の間隔を空けるようになった。この直後、プラットフォームはより長いログを保持するようになった。このサイクルは続いている。

かつて、ネットワークの周囲に侵入不可能な防御線を持つことは、ネットワーク・セキュリティの模範だった。ハッカーが脆弱なパスワードを破ったり、フィッシング活動を成功させたりすることは簡単だと判明し、このモデルは流行らなくなった。脅威を特定する何種類かの方法が、従来の調査戦術と的確なプログラミングを掛け合わせることにより開発された。脅威インテリジェンスプラットフォームは、複数のデータソースを分析に使うことで有益かつ実用的なアラートを生成する。

ハニーポットを初めて概念化したのは、1人の研究者だった。このデジタルの罠は、ハッカーが悪用できる環境の見た目をしているが、実際には、ハッカーに時間を浪費させ、不正の証拠を知らず知らずのうちに残すように仕向けるためのものだ。これは非常に強力なツールで、現在ではオープンソースプロジェクト「Modern Honey Network」(MHN)として無料でダウンロードできる。ハッカーとその活動を正確に表現した情報を収集するには、ハニーポットを適切に展開する必要がある。MHNは、脅威データを共有しやすいものにし、脅威分析をより多くのユーザーが利用できるものにするために作成された。分析の質は根拠となるデータの質で決まるため、IoC(Indicators of Compromise)の共有を促進するための取り組みが行われている。

脅威分析を可能にするのは、収集された大量のデータだ。紋切り型の定義ファイルではない痕跡(signs)が、ハッキング成功の前触れとして認識されるようになっている。IoCは、証拠に基づく推論と実際のハッカーからの情報によって特定することができる。これらのアラートの有用性は、自組織の資産、脆弱性、敵を念頭に脅威分析プラットフォームをセットアップすることで、さらに高まる。

初期のセキュリティソフトウェアは、こうしたデータをすべてローカルに保持し、ベンダーからの改訂された定義ファイルによって定期的に最新の状態へと更新されていた。参照データの量が増えれば、脅威分析の処理は各コンピューターにとってますます大仕事となる。新しいモデルは、クライアントのトラフィックログを既知の脅威から成るリストと比較するほか、リストにない異常がトラフィックパターンに見られないかを分析する。クライアントのログを中央のコンピューターにアップロードするか、脅威定義ファイルのライブラリをクラウドベースで提供することが可能だ。

ハッキング行為に関する研究と分析が辿った歴史を見ると、課題は絶えないということが分かる。脅威分析から何かを学び取れるとすれば、それは大局を客観的に見る方法と、あらゆることに備える方法だ。

サイバーセキュリティの専門家と専門家を頼る人々の課題は、今後もなくならないだろう。もしまだであれば、難局を乗り切ることのできるダイナミックな脅威分析プラットフォームを見つけるとよい。

 

本記事は、弊社マキナレコードが提携するAnomali社のブログ記事“A Brief History of Threat Analytics”(2016年9月13日付)を翻訳したものです。当時と比べて日本でも普及が進んだ脅威インテリジェンスについての理解を深める手助けとなると考え、翻訳しました。

Anomali社は文中で登場する脅威インテリジェンスプラットフォーム(Threat Intelligence Platform)を提供しています(関連ページ:Anomali – 脅威インテリジェンスプラットフォーム | 株式会社マキナレコード)。

なお、日本でのAnomaliに関するお問い合わせは、弊社マキナレコードにて承っております。

ご興味をお持ちの方は是非、以下のフォームからお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ