SlideShare a Scribd company logo
C12:脅威インテリジェンスの実践的活用法
2020年11月24日
東京海上ホールディングス株式会社
IT企画部 リスク管理グループ
石川 朝久, Ph.D., CISSP, CSSLP, CISA, CISM, CFE, PMP
Internet Week 2020 - Day4 Session
今日のテーマとお話したいこと
1
テーマ:脅威インテリジェンスの活用
• 攻撃者へのプロアクティブな対応のため、脅威インテリジェンスが必要不可欠!
• 一方、脅威インテリジェンスも具体的活用に悩む企業も多い。
• 本講演では、「脅威インテリジェンス」の活用方法について解説する。
アジェンダ
• 1 : 脅威インテリジェンスとは?
• 2 : Tactical Intelligence
• 3 : Operational Intelligence
• 4 : Strategic Intelligence
• 5 : まとめ
自己紹介:石川 朝久
2
• 所属 :東京海上ホールディングス株式会社 IT企画部 リスク管理グループ
• 専門 :不正アクセス技術・インシデント対応・セキュリティ運用・グローバルセキュリティ戦略 etc.
• 資格 :博士(工学), CISSP, CSSLP, CISA, CISM, CFE, PMP
• GIACs(GSEC, GSNA, GPEN, GWAPT, GREM, GCIH, GCFA, GWEB)
• 経歴 :
• 2009.04 – 2019.03 :某セキュリティ企業
• 侵入テスト(Red Team)・インシデント対応・脆弱性管理・セキュア開発、セキュリティ教育 etc.
• 1年間、米国金融機関セキュリティチームに所属した経験あり
• 2019.04 – 現在 :東京海上ホールディングス株式会社
• 国内外グループ企業のセキュリティ支援・CSIRT運用・グローバルセキュリティ戦略 etc.
• 対外活動(抜粋):
– SANSFIRE 2011 Speaker(2011)
– DEFCON 24 SE Village Speaker (2016)
– Internet Week 2018 & 2019 (2018-2019)
– IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員(2018~)
– IPA 「10大脅威執筆者会」メンバー(2010~2014, 2019~)
– 『脅威インテリジェンスの教科書』執筆(2020)
– オライリー社『インテリジェンス駆動型インシデントレスポンス』翻訳・監訳
– オライリー社『初めてのマルウェア解析』翻訳
12月15日に『初めてのマルウェア解析』が発売されます!
3
注意・ご連絡
4
• 本プレゼンテーションの内容は、全て講演者個人の見解であり、所属企業、部門、
その他所属組織の見解を代表するものではありません。
• 講演の内容については、講演者の研究、グループ会社などの取り組みなどを参考に
しながら作成しています。
• 製品名・ベンダー名などが登場した場合、講演者にて推奨しているわけではありま
せん。利用については各組織にて判断をお願いします。
5
1:脅威インテリジェンスとは?
• 脅威インテリジェンスは、以下のように分類可能である。
脅威インテリジェンス = 脅威 + インテリジェンス
• 要素1:脅威とは?
– 脅威インテリジェンスとは、この3要素に関連する情報を集めること
• 各要素の説明(SANSの定義)
– 意図 :どんな攻撃者が、どんな動機で自社を狙うのか?
• 自社の「資産」に基づいて、動機や意図が決定される
– 能力 :攻撃者はどのような攻撃手法を使うのか?
• 自社の「環境」や「脆弱性」により、利用する攻撃手法が決定される
– 機会 :攻撃を実現する環境・条件が整っているか?
• 自社の環境において攻撃可能な脆弱性が公開されているか?
1-1 : 脅威インテリジェンスの定義
6
1-1 : 脅威インテリジェンスの定義
7
• 脅威インテリジェンスは、以下のように分類可能である。
脅威インテリジェンス = 脅威 + インテリジェンス
• 要素2:インテリジェンスとは?
– 情報・データを以下の要件を満たすように分析・加工したもの
– 分析プロセス:インテリジェンス・サイクル
図の出典:『インテリジェンス駆動型インシデントレスポンス』
1-1 : 脅威インテリジェンスの定義
8
• 脅威インテリジェンスは、以下のように分類可能である。
脅威インテリジェンス = 脅威 + インテリジェンス
• 要素2:インテリジェンスとは?
– 情報・データを以下の要件を満たすように分析・加工したもの
– 良いインテリジェンスの4要件:4A
• Accurate(正確な)
• Audience Focused(利用者/消費者目線である)
• Actionable(アクショナブル)
• Adequate Timing(適切なタイミング)
1-2 : 脅威インテリジェンスの目的・必要性
9
• なぜ脅威インテリジェンスが必要なのか?
– より高度(効率的・効果的)な「セキュリティリスク管理」のため
• リスク = 脅威 × 脆弱性 × 資産
コントロールできない領域
脅威 脆弱性 資産
(Crown Jewel)
(理論) 自社でコントロールできる領域
1-2 : 脅威インテリジェンスの目的・必要性
10
• なぜ脅威インテリジェンスが必要なのか?
– より高度(効率的・効果的)な「セキュリティリスク管理」のため
• リスク = 脅威 × 脆弱性 × 資産
コントロールできない領域
脅威 脆弱性 資産
(Crown Jewel)
(理論) 自社でコントロールできる領域
(現実) 膨大な管理労力
(投入できる)リソースの限界
クラウド・サプライチェーンなど難しい管理領域
1-2 : 脅威インテリジェンスの目的・必要性
11
• なぜ脅威インテリジェンスが必要なのか?
– より高度(効率的・効果的)な「セキュリティリスク管理」のため
• リスク = 脅威 × 脆弱性 × 資産
脅威 脆弱性 資産
(Crown Jewel)
「リスク管理」の優先度をつけるため、「脅威」に注目する。(=敵を知る)
• 結局、サイバーリスクのドライバー(起点)となるのは、「脅威」である。
• セキュリティリソース(人・モノ・金・時間)は限られるため、全方位に十分な対策を行う
ことが難しい。そのため、具体的な脅威へ対応することを優先する。
1-3 : 脅威インテリジェンスの活用と分類
12
• 脅威インテリジェンス活用は、種類・目的を理解する点にある。(誰に価値を提供するか?)
– DoDモデル:米国国防総省の3分類を採用し、筆者研究に基づき対象者・役割を定義している。
LongTerm
Strategic Intelligence
• 経営層・リーダ向け
• リスク変化に対するハイレベルな情報を提供することで、セキュリティに関する適切な意思決
定・投資判断のインプットとする。
Operational Intelligence
• セキュリティアーキテクト・管理者・SOC担当者向け
• 攻撃者のプロファイル、攻撃手法(TTPs)など攻撃者の手法を理解し、短期~中
期的なセキュリティ改善活動に活用する。
ShortTerm
Tactical Intelligence
• SOC担当者向け
• 日々のセキュリティ運用において、(セキュリティ製品に反映される
前の)攻撃シグニチャ(IOC)を取得・設定することでインシデント
を未然に防ぐ。
13
2:Tactical Intelligence
2-1 : IOC活用による予防・検知・対応
14
• IOCとは?(Indicator of Compromise・侵害指標)
– 実際に発生した脅威・攻撃手法を特定するための技術的特性情報(=シグニチャ)
• 例)ハッシュ値・IPアドレス・ドメイン名・マルウェアがPC上に残る痕跡(例:レジストリ)
• IOCの分類:Network Indicator × Host Indicator
<Network Indicator>
IPアドレス
ドメイン名
<Host Indicator>
ハッシュ値
ファイルのパス
レジストリ
2-1 : IOC活用による予防・検知・対応
15
• IOCの活用方法:
– (予防)将来、同様の攻撃が行われた場合に備え、Deny Listへ登録する。
– (検知)現在・過去の時点で、自分の組織が同様の攻撃を受けていないことを確認する。
– (対応)攻撃を受けていた場合、IOCを調査の起点として分析する。
• IOCの有効性と制約:
– IOC活用により、シグニチャ化していない業界固有の脅威を予防・発見できる。
– 但し、こうした脅威情報は製品ベンダーも収集しており、時間が経過すればシグニチャとして提供される。
そのため、IOC活用の意義は、ゼロデイ期間(=シグニチャ化されるまでの期間)に攻撃を予防・検知する
ことにある。IOCの鮮度は、数時間~数日程度だと考えられる。
– IOCの利用には不確実性が伴う。(確実に悪性であることが判明した場合、IOCとしての価値は低くなる)
また、IOCは時間経過とともに性質・判断が変わっていくため、継続的評価も必要となる。
– 実運用の観点では、情報量とスピードが重要のため、SOARなどを活用した自動化が望ましい!!
16
3:Operational Intelligence
3-1:TTPs
17
• Operational Intelligenceとは、「攻撃者のプロファイル、攻撃手法(TTPs ・Capability)など
攻撃者を理解し、短期~中期的なセキュリティ改善に活用すること」と定義される。
• TTPs(Tactics, Techniques and Procedures)
– 攻撃者が使う攻撃手法のこと。 MITRE社のATT&CKフレームワークで体系化されている。
– ATT&CK:Adversarial Tactics, Techniques, and Common Knowledge
• TTPsを体系化した攻撃手法ナレッジ集
• https://attack.mitre.org/
Tactics
Techniques(技術)を用いて、攻撃者が達成したい目的(=What?)
例)Credential Access(認証情報へのアクセス)、Privilege Escalation(権限昇格)
Techniques
Tactics(戦術)を達成するために、攻撃で実際に使われる技術(=How?)
例)(Tactics)Credential Access → (Techniques)Credential Dumping
Procedures
Tactics・Techniquesを実現するための一連のアクション
例)(Techniques)Credential Dumping
→ Mimikatzを使い、SAM(Security Account Manager)のハッシュ値をダンプする。
3-1:TTPs
18
• MITRE ATT&CKフレームワーク
– Adversarial Tactics, Techniques, and Common Knowledge
– TTPsを体系化した攻撃手法ナレッジ集(Common Knowledge = 前述のProceduresに相当する)
– 活用に当たり、以下のドキュメントを推奨する。
• MITRE社 :『MITRE ATT&CK : DESIGN AND PHILOSOPHY』
• MITRE社 :『Getting Started with ATT&CK』
• SANSFIRE 2019:『Leveraging MITRE ATT&CK - Speaking the Common Language』
3-1:TTPs
19
• MITRE ATT&CKフレームワーク
– MITRE ATT&CKを読み解くキーワードは大きく3種類ある。
– (1)Tactics(戦術) :(既に述べた通り)攻撃者の目的
– (2)Techniques(技術) :(既に述べた通り)攻撃に実際に利用する技術
– (2’)Sub-Techniques : (2)Techniquesのさらに詳細な技術
(1)Tactics(戦術)
(2)Techniques(戦術)
(2’)Sub-Techniques
3-1:TTPs
20
• MITRE ATT&CKフレームワーク
– MITRE ATT&CKを読み解くキーワードは大きく3種類ある。
– (3)Common Knowledge(手順) :各Techniquesの詳細・具体的手順
• 当該ページに、当該Techniquesに関連する(4)Group(5)Software(6)Mitigation、あるいは
検知する手法なども記載されている。
3-1:TTPs
21
• Operational Intelligenceの観点から、MITRE ATT&CK(TTPs)をどのような活用を行うか、実務
に即した活用が重要となる。
→ 具体的な、事例を1つピックアップしてご紹介します!
No. 分類 担当者 応用方法 内容
A
予防
GRC担当
リスク評価
(Risk Assessment)
リスク評価において、新しい攻撃手法・シナリオ(TTPs)を利用して評価を行うこ
とで、最新の攻撃シナリオへの対応を可視化できる。
B SOC担当者
侵入テスト
(Adversary Emulation)
実際の攻撃シナリオに基づいて侵入テストを実施し、脅威を防ぐ態勢(予防・検知・
対応)を確認する手法。攻撃シナリオ構築に攻撃者のプロファイル・攻撃手法
(TTPs)を利用する。
C
セキュリティ
アーキテクト
アーキテクチャの改善
(Defensive Architecture)
Defensive Architectureとは、攻撃を予防・検知・対応できるアーキテクチャである。
攻撃手法(TTPs)を活用し、セキュリティ態勢(製品・プロセス・人)の改善検討
へ利用する。
D 検知 SOC担当者
脅威ハンティング
(Threat Hunting)
既存のセキュリティ対策を回避する高度な脅威を検知・隔離するため、能動的・再帰
的にネットワーク内を探索するプロセス。既存の知見(TTPs)を起点に、新しい脅
威を見つけ出す。
E 対応 SOC担当者
インシデント対応
(Incident Response)
インシデント対応を行う際、攻撃手法(TTPs)を活用して効率的な対応を行う手法。
Internet Week 2018
丸ごとわかるペネトレーションテストの今
Internet Week 2019
攻撃者をあぶりだせ!! プロアクティブなアプローチ
ご参考:
22
• 侵入テスト(Adversary Emulation)、脅威ハンティング(Threat Hunting)については、過去のInternet
Week の講演で紹介していますので、そちらを参照してください。
https://www.nic.ad.jp/ja/materials/iw/2018/proceedings/d2/ https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d2/
23
3:Operational Intelligence
~ Threat Intelligence for Defensive Architecture ~
3-2:Threat Intelligence for Defensive Architecture
24
• Defensive Architectureとは?
– 新しい攻撃手法(TTPs)に対し、柔軟に予防・検知・対応ができる技術アーキテクチャのこと。
– そのためには、現行の防御アーキテクチャの有効性がいつでも評価できる仕組みが必要となる。
• BAS:Breach & Attack Simulation
– 攻撃手法のシミュレーション(Adversary Emulation)をすることで、セキュリティコントロールの有効
性を検証し、セキュリティ態勢(Security Posture)を把握するツール。
– MITRE ATT&CKフレームワークの活用方法として、@Cyb3rWard0g などが提案した「検知能力の可視
化」(Detection Capability)が挙げられ、複数のプロジェクトが存在する。
3-2:Threat Intelligence for Defensive Architecture
25
BAS:Breach & Attack Simulation
– 一般的な展開と挙動は以下の通り。
• BASは、Control ServerとAgent(Network・Endpoint)で構成されている。
• 基本的には、Agent間で悪意のある挙動(Malicious Activity)を実行し、その予防・検知状況をSIEM
と突合して検証するメカニズムで動いている。
Internal Segment DMZ Segment
Workstation Segment
3-2:Threat Intelligence for Defensive Architecture
26
AV&EDR
IDS
Network Agent
Network Agent
SIEM
Endpoint
Agents
Internet Agent
Firewall
Proxy
BAS Control Server
BAS:Breach & Attack Simulation
– 一般的な展開と挙動は以下の通り。
• BASは、Control ServerとAgent(Network・Endpoint)で構成されている。
• 基本的には、Agent間で悪意のある挙動(Malicious Activity)を実行し、その予防・検知状況をSIEM
と突合して検証するメカニズムで動いている。
Internal Segment DMZ Segment
Workstation Segment
3-2:Threat Intelligence for Defensive Architecture
27
AV&EDR
IDS
Network Agent
Network Agent
SIEM
Endpoint
Agents
Internet Agent
Firewall
Proxy
BAS Control Server
(1) 攻撃実行を指示(例:C2通信)
(2) 悪性のC2通信をAgent間で実行
(3) ログ同期
(4) SIEMへ集約されたログと攻撃内容を突き合わせ、予防・検知の有無を検証
3-2:Threat Intelligence for Defensive Architecture
28
BAS:Breach & Attack Simulation
– BASで達成できるゴールは大きく2種類に分類される。
• 脅威インテリジェンスの活用(ゴール2)の具体的な活用は以下の通り。
• (1) 新しい攻撃手法(脅威インテリジェンス)として入手し、テストケースとしてインプットする。
• (2) テストケースを実施し、どのセキュリティコントロール(製品)で予防・検知・対応ができるか検証する。
• (3) 検知できない攻撃手法については、チューニングを行ったり、新しい対策導入を検討していく。
• (4) MITRE ATT&CKのカバー率をもとに、セキュリティコントロールの有効性をKPI化していく。
こうした取り組みを行うことにより、特定の攻撃グループ・攻撃手法がニュースなどに取り上げられ、
経営層による「うちって大丈夫だよね?」という柔らかい質問にも根拠をもって対応することができる。
ゴール1 ゴール2
ゴール 既知の攻撃手法・攻撃グループの活動が検知できるか? 新しい攻撃手法/IOCが登場した場合、対応可能か?
詳細
• BASを利用し、SOC/センサーの検知能力を評価・検証する。
• 必要な追加施策を打っていくことで成熟度を高めていく。
• 脅威インテリジェンス経由で、新しい攻撃手法・IOC攻撃者
が登場してきた場合、適切に検知できるか確認する。
3-2:Threat Intelligence for Defensive Architecture
29
BAS:Breach & Attack Simulation
– 攻撃手法のシミュレーション(Adversary Emulation)をすることで、セキュリティコントロールの有効
性を検証し、セキュリティ態勢(Security Posture)を把握するツール。
• 分類軸:既存の取り組みとの違い
– 既存の仕組みとの違いは、以下のように整理される。
VA
(脆弱性スキャン)
PT
(侵入テスト)
Control Audit
(監査)
BAS
(有効性確認)
Adversary Emulation
(レッドチーム演習)
検査対象 各PC・サーバ単位 システム全体
セキュリティコントロール
存在確認
セキュリティコントロール
有効性検証
サイバーレジリエンス
の確認
一般的な
頻度
日次~年次 年次 年次 日次~年次 年次
検査
フェーズ
予防 予防・検知 - 予防・検知 予防・検知・対応
報告内容
(既知の)脆弱性
(既知の)脆弱な設定
特定の攻撃手法の悪用可否
フレームワーク等に基づく
コントロールの存在有無
特定の攻撃手法の
検知可否
サイバーレジリエンスの
有効性
ツール
• Qualys
• Nessus
• Rapid7 Nexpose
• Core Impact
• Rapid7 Metasploit
• Immunity CANVAS
- • 次ページを参照のこと。 -
3-2:Threat Intelligence for Defensive Architecture
30
BAS:Breach & Attack Simulation
– BAS製品としては、商用・オープンソース共に存在する。
COTS : Commercial Product Open-Source Alternatives
Invoke-Adversary Network Flight Simulator
METTA
APT Simulator
31
4:Strategic Intelligence
4-1:Strategic Intelligence
32
経営層・リーダに、セキュリティリスクの意思決定・投資判断を行うためには、以下の3点を適切に
伝える必要がある。
• (1)サイバー攻撃に関する傾向・トレンド
– Ex)Zoom-Bombingや、リモートワークにおけるセキュリティについて
– Ex)他社・他業種における攻撃動向について
• (2)外部マクロ環境に関する情報
– 経営者が意思決定する一つの基準として、同業他社の動向、法的規制、世間動向などには非常に敏感とな
る。そのため、適切な情報のインプットを行うことで、判断基準を形成していく必要がある。
• Ex)規制・新しい技術動向・他社の取り組みなど
• Ex)Zero-Trust Architectureについて
– PESTLEフレームワークを応用すると整理しやすい(もともとは、マーケティング用語)
• (3)内部環境に関する情報(= KPI/KRI)
– Strategic Intelligenceを提供し、投資・意思決定の必要性を理解していると、次は必ず「うちはどうなっ
ているんだ?」と質問されるはずである。そのため、KPI・KRIを使い、自社のセキュリティリスク(内部
情報)をインプットしておく必要がある。
– KPI作成例:BAS(Breach & Attack Simulation)
4-1 : Strategic Intelligence
33
(A)PESTLEフレームワーク:外部マクロ環境を構成する6つの観点
Political
政治的要因とは、自社に関連する政治的醸成(訴訟・特定の国・組織・団体とのトラブ
ル)を分析し、必要なリスクを訴求する。
Economic
経済的要因とは、他社事例の被害額、自社データの価値などを算出しながら、必要な投
資やリスクを訴求する。
Social
社会的要因とは、セキュリティに対する世論の考え方・反応・意見、および同業他社・
異業種の取り組みを参考にしながら、自社のセキュリティ状況と比較し、投資やリスク
を訴求する。
Technological
技術的要因では、新しい技術動向・トレンド情報から、必要なセキュリティ投資やリス
クを訴求する。
Legal
法的要因(政府方針・業界団体による規制・ガイドライン)などをトリガーに、必要な
セキュリティ投資やリスクを訴求する。
Environmental
環境要因では、他社攻撃情報・脅威動向をもとに、必要なセキュリティ投資やリスクを
訴求する。
34
5:まとめ
5:脅威インテリジェンス活用の目的
35
• 「脅威インテリジェンス」の目的(再掲)
– 「より高度(効率的・効果的)なセキュリティリスク管理」のため
– 一方、脅威は所詮「管理できない要素」である。そのため、敵を知ることは大事だが、「リスク管理」の
高度化という目的から外れないように注意する必要がある。
– 「誰にとって役立つ情報を提供するか?」、「満たすべき要件は何か?」を確認する。
• Strategic・Operational・Tactical
• 4A条件(Accurate・Audience-Focused・Actionable・Adequate Timing)
5:脅威インテリジェンス活用に向けた組織の成熟度
36
• 脅威インテリジェンスの最大活用には、一定の成熟度が必要!
– Cyber Hygiene(サイバー公衆衛生)+ “Passive Defense”ができる程度の成熟度は必要
• Cyber Hygiene(サイバー公衆衛生):セキュリティ基本対策の徹底
– 定義:CIS Controlsの1~6を実装すること(by CIS CSC)
• CIS Control 01:ハードウェア資産のインベントリとコントロール
• CIS Control 02:ソフトウェア資産のインベントリとコントロール
• CIS Control 03:継続的な脆弱性管理
• CIS Control 04:管理権限のコントロールされた使用
• CIS Control 05:ハードウェアおよびソフトウェアのセキュアな設定
• CIS Control 06:監査ログの保守、監視および分析
5:脅威インテリジェンス活用に向けた組織の成熟度
37
• 脅威インテリジェンスの最大活用には、一定の成熟度が必要!
– Cyber Hygiene(サイバー公衆衛生)+ “Passive Defense”ができる程度の成熟度は必要
• Sliding Scale of Cybersecurity:サイバーセキュリティ態勢の成熟度モデル
– SANS InstructorのRobert M. Leeにより、2015年に提唱されたモデル
– Architecture :セキュリティを念頭にシステム計画・構築・維持を行う態勢があること
– Passive Defense :人が継続的に関与せず、一貫性のある防御メカニズムを有している状態
⇒ シグニチャベース(+一部の振る舞い検知)の検知・対応
効果的に利用できる成熟度
38
Thank You!

More Related Content

What's hot

Cybersecurity Awareness Training for Employees.pptx
Cybersecurity Awareness Training for Employees.pptxCybersecurity Awareness Training for Employees.pptx
Cybersecurity Awareness Training for Employees.pptx
Mustafa Amiri
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Information security
Information securityInformation security
Roadmap to security operations excellence
Roadmap to security operations excellenceRoadmap to security operations excellence
Roadmap to security operations excellence
Erik Taavila
 
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
MITRE ATT&CK
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
EyesOpen Association
 
Knowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CKKnowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CK
MITRE ATT&CK
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory Forensics
IIJ
 
ATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat Intelligence
MITRE - ATT&CKcon
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat Intelligence
Dhruv Majumdar
 
Cyber kill chain
Cyber kill chainCyber kill chain
Cyber kill chain
Ankita Ganguly
 
Social Engineering Attacks & Principles
Social Engineering Attacks & PrinciplesSocial Engineering Attacks & Principles
Social Engineering Attacks & Principles
LearningwithRayYT
 
CompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examCompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the exam
Infosec
 
Ethical hacking : Its methodologies and tools
Ethical hacking : Its methodologies and toolsEthical hacking : Its methodologies and tools
Ethical hacking : Its methodologies and tools
chrizjohn896
 
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability AssessmentCyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
Panji Ramadhan Hadjarati
 
HDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティングHDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティング
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
MandyDentzer
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
Sqrrl
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
Digit Oktavianto
 
Putting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You ArePutting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You Are
Katie Nickels
 

What's hot (20)

Cybersecurity Awareness Training for Employees.pptx
Cybersecurity Awareness Training for Employees.pptxCybersecurity Awareness Training for Employees.pptx
Cybersecurity Awareness Training for Employees.pptx
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Information security
Information securityInformation security
Information security
 
Roadmap to security operations excellence
Roadmap to security operations excellenceRoadmap to security operations excellence
Roadmap to security operations excellence
 
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
 
Knowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CKKnowledge for the masses: Storytelling with ATT&CK
Knowledge for the masses: Storytelling with ATT&CK
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory Forensics
 
ATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat IntelligenceATTACKers Think in Graphs: Building Graphs for Threat Intelligence
ATTACKers Think in Graphs: Building Graphs for Threat Intelligence
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat Intelligence
 
Cyber kill chain
Cyber kill chainCyber kill chain
Cyber kill chain
 
Social Engineering Attacks & Principles
Social Engineering Attacks & PrinciplesSocial Engineering Attacks & Principles
Social Engineering Attacks & Principles
 
CompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the examCompTIA PenTest+: Everything you need to know about the exam
CompTIA PenTest+: Everything you need to know about the exam
 
Ethical hacking : Its methodologies and tools
Ethical hacking : Its methodologies and toolsEthical hacking : Its methodologies and tools
Ethical hacking : Its methodologies and tools
 
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability AssessmentCyberOps Associate Modul 23 Endpoint Vulnerability Assessment
CyberOps Associate Modul 23 Endpoint Vulnerability Assessment
 
HDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティングHDC2022:Track A - 脅威ハンティング
HDC2022:Track A - 脅威ハンティング
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
How to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your NetworkHow to Hunt for Lateral Movement on Your Network
How to Hunt for Lateral Movement on Your Network
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
 
Putting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You ArePutting MITRE ATT&CK into Action with What You Have, Where You Are
Putting MITRE ATT&CK into Action with What You Have, Where You Are
 

Similar to Internet Week 2020:C12 脅威インテリジェンスの実践的活用法

セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
Nobukazu Yoshioka
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
Amazon Web Services Japan
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
Certified network defender
Certified network defenderCertified network defender
Certified network defender
Trainocate Japan, Ltd.
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
Takayoshi Takaoka
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
Hiroaki Kuramochi
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)
 
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
オラクルエンジニア通信
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
 
「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン
Toshi Aizawa
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
Tokai University
 
1-コンテナセキュリティの勘所
1-コンテナセキュリティの勘所1-コンテナセキュリティの勘所
1-コンテナセキュリティの勘所
KotaSato3
 
【Interop tokyo 2014】 サイバー攻撃シミュレーション シスコ サイバーレンジ
【Interop tokyo 2014】 サイバー攻撃シミュレーション シスコ サイバーレンジ【Interop tokyo 2014】 サイバー攻撃シミュレーション シスコ サイバーレンジ
【Interop tokyo 2014】 サイバー攻撃シミュレーション シスコ サイバーレンジ
シスコシステムズ合同会社
 

Similar to Internet Week 2020:C12 脅威インテリジェンスの実践的活用法 (20)

セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチInternet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
 
Certified network defender
Certified network defenderCertified network defender
Certified network defender
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン「開発者とセキュリティのお付き合い」5パターン
「開発者とセキュリティのお付き合い」5パターン
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
 
1-コンテナセキュリティの勘所
1-コンテナセキュリティの勘所1-コンテナセキュリティの勘所
1-コンテナセキュリティの勘所
 
【Interop tokyo 2014】 サイバー攻撃シミュレーション シスコ サイバーレンジ
【Interop tokyo 2014】 サイバー攻撃シミュレーション シスコ サイバーレンジ【Interop tokyo 2014】 サイバー攻撃シミュレーション シスコ サイバーレンジ
【Interop tokyo 2014】 サイバー攻撃シミュレーション シスコ サイバーレンジ
 

More from Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE

CISO Mind Map v10(日本語版)
CISO Mind Map v10(日本語版)CISO Mind Map v10(日本語版)
CISO Mind Map v10(日本語版)
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
The Social-Engineer Village at DEF CON 24 : Does Cultural Differences Become ...
The Social-Engineer Village at DEF CON 24 : Does Cultural Differences Become ...The Social-Engineer Village at DEF CON 24 : Does Cultural Differences Become ...
The Social-Engineer Village at DEF CON 24 : Does Cultural Differences Become ...
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
ニューヨーク州金融サービス局 金融サービス企業に対するサイバーセキュリティ規制
ニューヨーク州金融サービス局 金融サービス企業に対するサイバーセキュリティ規制ニューヨーク州金融サービス局 金融サービス企業に対するサイバーセキュリティ規制
ニューヨーク州金融サービス局 金融サービス企業に対するサイバーセキュリティ規制
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 

More from Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE (6)

CISO Mind Map v10(日本語版)
CISO Mind Map v10(日本語版)CISO Mind Map v10(日本語版)
CISO Mind Map v10(日本語版)
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
 
[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?
 
米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)米国のペネトレーションテスト事情(ssmjp)
米国のペネトレーションテスト事情(ssmjp)
 
The Social-Engineer Village at DEF CON 24 : Does Cultural Differences Become ...
The Social-Engineer Village at DEF CON 24 : Does Cultural Differences Become ...The Social-Engineer Village at DEF CON 24 : Does Cultural Differences Become ...
The Social-Engineer Village at DEF CON 24 : Does Cultural Differences Become ...
 
ニューヨーク州金融サービス局 金融サービス企業に対するサイバーセキュリティ規制
ニューヨーク州金融サービス局 金融サービス企業に対するサイバーセキュリティ規制ニューヨーク州金融サービス局 金融サービス企業に対するサイバーセキュリティ規制
ニューヨーク州金融サービス局 金融サービス企業に対するサイバーセキュリティ規制
 

Recently uploaded

論文紹介:Task-aligned Part-aware Panoptic Segmentation through Joint Object-Part ...
論文紹介:Task-aligned Part-aware Panoptic Segmentation through Joint Object-Part ...論文紹介:Task-aligned Part-aware Panoptic Segmentation through Joint Object-Part ...
論文紹介:Task-aligned Part-aware Panoptic Segmentation through Joint Object-Part ...
Toru Tamaki
 
Matsuo-Iwasawa Lab. | Research unit Introduction
Matsuo-Iwasawa Lab. | Research unit IntroductionMatsuo-Iwasawa Lab. | Research unit Introduction
Matsuo-Iwasawa Lab. | Research unit Introduction
Matsuo Lab
 
Imitation learning for robotics 勉強会資料(20240701)
Imitation learning for robotics 勉強会資料(20240701)Imitation learning for robotics 勉強会資料(20240701)
Imitation learning for robotics 勉強会資料(20240701)
Natsutani Minoru
 
【AI論文解説】LLMの事前学習をvisionに適用する手法Autoregressive Image Models
【AI論文解説】LLMの事前学習をvisionに適用する手法Autoregressive Image Models【AI論文解説】LLMの事前学習をvisionに適用する手法Autoregressive Image Models
【AI論文解説】LLMの事前学習をvisionに適用する手法Autoregressive Image Models
Sony - Neural Network Libraries
 
Matsuo-Iwasawa Lab. Research unit Introduction
Matsuo-Iwasawa Lab. Research unit IntroductionMatsuo-Iwasawa Lab. Research unit Introduction
Matsuo-Iwasawa Lab. Research unit Introduction
Matsuo Lab
 
"ros2rapper", Hardware implimentation of ROS2 communication Protocol without ...
"ros2rapper", Hardware implimentation of ROS2 communication Protocol without ..."ros2rapper", Hardware implimentation of ROS2 communication Protocol without ...
"ros2rapper", Hardware implimentation of ROS2 communication Protocol without ...
たけおか しょうぞう
 
【AI論文解説】クラスタリングベースアプローチによる大規模データセット自動キュレーション
【AI論文解説】クラスタリングベースアプローチによる大規模データセット自動キュレーション【AI論文解説】クラスタリングベースアプローチによる大規模データセット自動キュレーション
【AI論文解説】クラスタリングベースアプローチによる大規模データセット自動キュレーション
Sony - Neural Network Libraries
 
Kyndryl Developer Services のご紹介 2024年7月
Kyndryl Developer Services のご紹介  2024年7月Kyndryl Developer Services のご紹介  2024年7月
Kyndryl Developer Services のご紹介 2024年7月
Takayuki Nakayama
 
論文紹介:BAM-DETR: Boundary-Aligned Moment Detection Transformer for Temporal Sen...
論文紹介:BAM-DETR: Boundary-Aligned Moment Detection Transformer for Temporal Sen...論文紹介:BAM-DETR: Boundary-Aligned Moment Detection Transformer for Temporal Sen...
論文紹介:BAM-DETR: Boundary-Aligned Moment Detection Transformer for Temporal Sen...
Toru Tamaki
 
LoRaWAN AI Image Sensorエンドデバイス AIG01カタログ
LoRaWAN AI Image Sensorエンドデバイス AIG01カタログLoRaWAN AI Image Sensorエンドデバイス AIG01カタログ
LoRaWAN AI Image Sensorエンドデバイス AIG01カタログ
CRI Japan, Inc.
 
最速の組織を目指して全社で大規模スクラムを導入してみた話 #dxd2024 #medicalforce
最速の組織を目指して全社で大規模スクラムを導入してみた話 #dxd2024 #medicalforce最速の組織を目指して全社で大規模スクラムを導入してみた話 #dxd2024 #medicalforce
最速の組織を目指して全社で大規模スクラムを導入してみた話 #dxd2024 #medicalforce
chisatotakane
 
Matsuo-Iwasawa lab. Research Unit Introduction
Matsuo-Iwasawa lab. Research Unit IntroductionMatsuo-Iwasawa lab. Research Unit Introduction
Matsuo-Iwasawa lab. Research Unit Introduction
Matsuo Lab
 

Recently uploaded (12)

論文紹介:Task-aligned Part-aware Panoptic Segmentation through Joint Object-Part ...
論文紹介:Task-aligned Part-aware Panoptic Segmentation through Joint Object-Part ...論文紹介:Task-aligned Part-aware Panoptic Segmentation through Joint Object-Part ...
論文紹介:Task-aligned Part-aware Panoptic Segmentation through Joint Object-Part ...
 
Matsuo-Iwasawa Lab. | Research unit Introduction
Matsuo-Iwasawa Lab. | Research unit IntroductionMatsuo-Iwasawa Lab. | Research unit Introduction
Matsuo-Iwasawa Lab. | Research unit Introduction
 
Imitation learning for robotics 勉強会資料(20240701)
Imitation learning for robotics 勉強会資料(20240701)Imitation learning for robotics 勉強会資料(20240701)
Imitation learning for robotics 勉強会資料(20240701)
 
【AI論文解説】LLMの事前学習をvisionに適用する手法Autoregressive Image Models
【AI論文解説】LLMの事前学習をvisionに適用する手法Autoregressive Image Models【AI論文解説】LLMの事前学習をvisionに適用する手法Autoregressive Image Models
【AI論文解説】LLMの事前学習をvisionに適用する手法Autoregressive Image Models
 
Matsuo-Iwasawa Lab. Research unit Introduction
Matsuo-Iwasawa Lab. Research unit IntroductionMatsuo-Iwasawa Lab. Research unit Introduction
Matsuo-Iwasawa Lab. Research unit Introduction
 
"ros2rapper", Hardware implimentation of ROS2 communication Protocol without ...
"ros2rapper", Hardware implimentation of ROS2 communication Protocol without ..."ros2rapper", Hardware implimentation of ROS2 communication Protocol without ...
"ros2rapper", Hardware implimentation of ROS2 communication Protocol without ...
 
【AI論文解説】クラスタリングベースアプローチによる大規模データセット自動キュレーション
【AI論文解説】クラスタリングベースアプローチによる大規模データセット自動キュレーション【AI論文解説】クラスタリングベースアプローチによる大規模データセット自動キュレーション
【AI論文解説】クラスタリングベースアプローチによる大規模データセット自動キュレーション
 
Kyndryl Developer Services のご紹介 2024年7月
Kyndryl Developer Services のご紹介  2024年7月Kyndryl Developer Services のご紹介  2024年7月
Kyndryl Developer Services のご紹介 2024年7月
 
論文紹介:BAM-DETR: Boundary-Aligned Moment Detection Transformer for Temporal Sen...
論文紹介:BAM-DETR: Boundary-Aligned Moment Detection Transformer for Temporal Sen...論文紹介:BAM-DETR: Boundary-Aligned Moment Detection Transformer for Temporal Sen...
論文紹介:BAM-DETR: Boundary-Aligned Moment Detection Transformer for Temporal Sen...
 
LoRaWAN AI Image Sensorエンドデバイス AIG01カタログ
LoRaWAN AI Image Sensorエンドデバイス AIG01カタログLoRaWAN AI Image Sensorエンドデバイス AIG01カタログ
LoRaWAN AI Image Sensorエンドデバイス AIG01カタログ
 
最速の組織を目指して全社で大規模スクラムを導入してみた話 #dxd2024 #medicalforce
最速の組織を目指して全社で大規模スクラムを導入してみた話 #dxd2024 #medicalforce最速の組織を目指して全社で大規模スクラムを導入してみた話 #dxd2024 #medicalforce
最速の組織を目指して全社で大規模スクラムを導入してみた話 #dxd2024 #medicalforce
 
Matsuo-Iwasawa lab. Research Unit Introduction
Matsuo-Iwasawa lab. Research Unit IntroductionMatsuo-Iwasawa lab. Research Unit Introduction
Matsuo-Iwasawa lab. Research Unit Introduction
 

Internet Week 2020:C12 脅威インテリジェンスの実践的活用法

  • 2. 今日のテーマとお話したいこと 1 テーマ:脅威インテリジェンスの活用 • 攻撃者へのプロアクティブな対応のため、脅威インテリジェンスが必要不可欠! • 一方、脅威インテリジェンスも具体的活用に悩む企業も多い。 • 本講演では、「脅威インテリジェンス」の活用方法について解説する。 アジェンダ • 1 : 脅威インテリジェンスとは? • 2 : Tactical Intelligence • 3 : Operational Intelligence • 4 : Strategic Intelligence • 5 : まとめ
  • 3. 自己紹介:石川 朝久 2 • 所属 :東京海上ホールディングス株式会社 IT企画部 リスク管理グループ • 専門 :不正アクセス技術・インシデント対応・セキュリティ運用・グローバルセキュリティ戦略 etc. • 資格 :博士(工学), CISSP, CSSLP, CISA, CISM, CFE, PMP • GIACs(GSEC, GSNA, GPEN, GWAPT, GREM, GCIH, GCFA, GWEB) • 経歴 : • 2009.04 – 2019.03 :某セキュリティ企業 • 侵入テスト(Red Team)・インシデント対応・脆弱性管理・セキュア開発、セキュリティ教育 etc. • 1年間、米国金融機関セキュリティチームに所属した経験あり • 2019.04 – 現在 :東京海上ホールディングス株式会社 • 国内外グループ企業のセキュリティ支援・CSIRT運用・グローバルセキュリティ戦略 etc. • 対外活動(抜粋): – SANSFIRE 2011 Speaker(2011) – DEFCON 24 SE Village Speaker (2016) – Internet Week 2018 & 2019 (2018-2019) – IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員(2018~) – IPA 「10大脅威執筆者会」メンバー(2010~2014, 2019~) – 『脅威インテリジェンスの教科書』執筆(2020) – オライリー社『インテリジェンス駆動型インシデントレスポンス』翻訳・監訳 – オライリー社『初めてのマルウェア解析』翻訳
  • 7. • 脅威インテリジェンスは、以下のように分類可能である。 脅威インテリジェンス = 脅威 + インテリジェンス • 要素1:脅威とは? – 脅威インテリジェンスとは、この3要素に関連する情報を集めること • 各要素の説明(SANSの定義) – 意図 :どんな攻撃者が、どんな動機で自社を狙うのか? • 自社の「資産」に基づいて、動機や意図が決定される – 能力 :攻撃者はどのような攻撃手法を使うのか? • 自社の「環境」や「脆弱性」により、利用する攻撃手法が決定される – 機会 :攻撃を実現する環境・条件が整っているか? • 自社の環境において攻撃可能な脆弱性が公開されているか? 1-1 : 脅威インテリジェンスの定義 6
  • 8. 1-1 : 脅威インテリジェンスの定義 7 • 脅威インテリジェンスは、以下のように分類可能である。 脅威インテリジェンス = 脅威 + インテリジェンス • 要素2:インテリジェンスとは? – 情報・データを以下の要件を満たすように分析・加工したもの – 分析プロセス:インテリジェンス・サイクル 図の出典:『インテリジェンス駆動型インシデントレスポンス』
  • 9. 1-1 : 脅威インテリジェンスの定義 8 • 脅威インテリジェンスは、以下のように分類可能である。 脅威インテリジェンス = 脅威 + インテリジェンス • 要素2:インテリジェンスとは? – 情報・データを以下の要件を満たすように分析・加工したもの – 良いインテリジェンスの4要件:4A • Accurate(正確な) • Audience Focused(利用者/消費者目線である) • Actionable(アクショナブル) • Adequate Timing(適切なタイミング)
  • 10. 1-2 : 脅威インテリジェンスの目的・必要性 9 • なぜ脅威インテリジェンスが必要なのか? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 コントロールできない領域 脅威 脆弱性 資産 (Crown Jewel) (理論) 自社でコントロールできる領域
  • 11. 1-2 : 脅威インテリジェンスの目的・必要性 10 • なぜ脅威インテリジェンスが必要なのか? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 コントロールできない領域 脅威 脆弱性 資産 (Crown Jewel) (理論) 自社でコントロールできる領域 (現実) 膨大な管理労力 (投入できる)リソースの限界 クラウド・サプライチェーンなど難しい管理領域
  • 12. 1-2 : 脅威インテリジェンスの目的・必要性 11 • なぜ脅威インテリジェンスが必要なのか? – より高度(効率的・効果的)な「セキュリティリスク管理」のため • リスク = 脅威 × 脆弱性 × 資産 脅威 脆弱性 資産 (Crown Jewel) 「リスク管理」の優先度をつけるため、「脅威」に注目する。(=敵を知る) • 結局、サイバーリスクのドライバー(起点)となるのは、「脅威」である。 • セキュリティリソース(人・モノ・金・時間)は限られるため、全方位に十分な対策を行う ことが難しい。そのため、具体的な脅威へ対応することを優先する。
  • 13. 1-3 : 脅威インテリジェンスの活用と分類 12 • 脅威インテリジェンス活用は、種類・目的を理解する点にある。(誰に価値を提供するか?) – DoDモデル:米国国防総省の3分類を採用し、筆者研究に基づき対象者・役割を定義している。 LongTerm Strategic Intelligence • 経営層・リーダ向け • リスク変化に対するハイレベルな情報を提供することで、セキュリティに関する適切な意思決 定・投資判断のインプットとする。 Operational Intelligence • セキュリティアーキテクト・管理者・SOC担当者向け • 攻撃者のプロファイル、攻撃手法(TTPs)など攻撃者の手法を理解し、短期~中 期的なセキュリティ改善活動に活用する。 ShortTerm Tactical Intelligence • SOC担当者向け • 日々のセキュリティ運用において、(セキュリティ製品に反映される 前の)攻撃シグニチャ(IOC)を取得・設定することでインシデント を未然に防ぐ。
  • 15. 2-1 : IOC活用による予防・検知・対応 14 • IOCとは?(Indicator of Compromise・侵害指標) – 実際に発生した脅威・攻撃手法を特定するための技術的特性情報(=シグニチャ) • 例)ハッシュ値・IPアドレス・ドメイン名・マルウェアがPC上に残る痕跡(例:レジストリ) • IOCの分類:Network Indicator × Host Indicator <Network Indicator> IPアドレス ドメイン名 <Host Indicator> ハッシュ値 ファイルのパス レジストリ
  • 16. 2-1 : IOC活用による予防・検知・対応 15 • IOCの活用方法: – (予防)将来、同様の攻撃が行われた場合に備え、Deny Listへ登録する。 – (検知)現在・過去の時点で、自分の組織が同様の攻撃を受けていないことを確認する。 – (対応)攻撃を受けていた場合、IOCを調査の起点として分析する。 • IOCの有効性と制約: – IOC活用により、シグニチャ化していない業界固有の脅威を予防・発見できる。 – 但し、こうした脅威情報は製品ベンダーも収集しており、時間が経過すればシグニチャとして提供される。 そのため、IOC活用の意義は、ゼロデイ期間(=シグニチャ化されるまでの期間)に攻撃を予防・検知する ことにある。IOCの鮮度は、数時間~数日程度だと考えられる。 – IOCの利用には不確実性が伴う。(確実に悪性であることが判明した場合、IOCとしての価値は低くなる) また、IOCは時間経過とともに性質・判断が変わっていくため、継続的評価も必要となる。 – 実運用の観点では、情報量とスピードが重要のため、SOARなどを活用した自動化が望ましい!!
  • 18. 3-1:TTPs 17 • Operational Intelligenceとは、「攻撃者のプロファイル、攻撃手法(TTPs ・Capability)など 攻撃者を理解し、短期~中期的なセキュリティ改善に活用すること」と定義される。 • TTPs(Tactics, Techniques and Procedures) – 攻撃者が使う攻撃手法のこと。 MITRE社のATT&CKフレームワークで体系化されている。 – ATT&CK:Adversarial Tactics, Techniques, and Common Knowledge • TTPsを体系化した攻撃手法ナレッジ集 • https://attack.mitre.org/ Tactics Techniques(技術)を用いて、攻撃者が達成したい目的(=What?) 例)Credential Access(認証情報へのアクセス)、Privilege Escalation(権限昇格) Techniques Tactics(戦術)を達成するために、攻撃で実際に使われる技術(=How?) 例)(Tactics)Credential Access → (Techniques)Credential Dumping Procedures Tactics・Techniquesを実現するための一連のアクション 例)(Techniques)Credential Dumping → Mimikatzを使い、SAM(Security Account Manager)のハッシュ値をダンプする。
  • 19. 3-1:TTPs 18 • MITRE ATT&CKフレームワーク – Adversarial Tactics, Techniques, and Common Knowledge – TTPsを体系化した攻撃手法ナレッジ集(Common Knowledge = 前述のProceduresに相当する) – 活用に当たり、以下のドキュメントを推奨する。 • MITRE社 :『MITRE ATT&CK : DESIGN AND PHILOSOPHY』 • MITRE社 :『Getting Started with ATT&CK』 • SANSFIRE 2019:『Leveraging MITRE ATT&CK - Speaking the Common Language』
  • 20. 3-1:TTPs 19 • MITRE ATT&CKフレームワーク – MITRE ATT&CKを読み解くキーワードは大きく3種類ある。 – (1)Tactics(戦術) :(既に述べた通り)攻撃者の目的 – (2)Techniques(技術) :(既に述べた通り)攻撃に実際に利用する技術 – (2’)Sub-Techniques : (2)Techniquesのさらに詳細な技術 (1)Tactics(戦術) (2)Techniques(戦術) (2’)Sub-Techniques
  • 21. 3-1:TTPs 20 • MITRE ATT&CKフレームワーク – MITRE ATT&CKを読み解くキーワードは大きく3種類ある。 – (3)Common Knowledge(手順) :各Techniquesの詳細・具体的手順 • 当該ページに、当該Techniquesに関連する(4)Group(5)Software(6)Mitigation、あるいは 検知する手法なども記載されている。
  • 22. 3-1:TTPs 21 • Operational Intelligenceの観点から、MITRE ATT&CK(TTPs)をどのような活用を行うか、実務 に即した活用が重要となる。 → 具体的な、事例を1つピックアップしてご紹介します! No. 分類 担当者 応用方法 内容 A 予防 GRC担当 リスク評価 (Risk Assessment) リスク評価において、新しい攻撃手法・シナリオ(TTPs)を利用して評価を行うこ とで、最新の攻撃シナリオへの対応を可視化できる。 B SOC担当者 侵入テスト (Adversary Emulation) 実際の攻撃シナリオに基づいて侵入テストを実施し、脅威を防ぐ態勢(予防・検知・ 対応)を確認する手法。攻撃シナリオ構築に攻撃者のプロファイル・攻撃手法 (TTPs)を利用する。 C セキュリティ アーキテクト アーキテクチャの改善 (Defensive Architecture) Defensive Architectureとは、攻撃を予防・検知・対応できるアーキテクチャである。 攻撃手法(TTPs)を活用し、セキュリティ態勢(製品・プロセス・人)の改善検討 へ利用する。 D 検知 SOC担当者 脅威ハンティング (Threat Hunting) 既存のセキュリティ対策を回避する高度な脅威を検知・隔離するため、能動的・再帰 的にネットワーク内を探索するプロセス。既存の知見(TTPs)を起点に、新しい脅 威を見つけ出す。 E 対応 SOC担当者 インシデント対応 (Incident Response) インシデント対応を行う際、攻撃手法(TTPs)を活用して効率的な対応を行う手法。
  • 23. Internet Week 2018 丸ごとわかるペネトレーションテストの今 Internet Week 2019 攻撃者をあぶりだせ!! プロアクティブなアプローチ ご参考: 22 • 侵入テスト(Adversary Emulation)、脅威ハンティング(Threat Hunting)については、過去のInternet Week の講演で紹介していますので、そちらを参照してください。 https://www.nic.ad.jp/ja/materials/iw/2018/proceedings/d2/ https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d2/
  • 24. 23 3:Operational Intelligence ~ Threat Intelligence for Defensive Architecture ~
  • 25. 3-2:Threat Intelligence for Defensive Architecture 24 • Defensive Architectureとは? – 新しい攻撃手法(TTPs)に対し、柔軟に予防・検知・対応ができる技術アーキテクチャのこと。 – そのためには、現行の防御アーキテクチャの有効性がいつでも評価できる仕組みが必要となる。 • BAS:Breach & Attack Simulation – 攻撃手法のシミュレーション(Adversary Emulation)をすることで、セキュリティコントロールの有効 性を検証し、セキュリティ態勢(Security Posture)を把握するツール。 – MITRE ATT&CKフレームワークの活用方法として、@Cyb3rWard0g などが提案した「検知能力の可視 化」(Detection Capability)が挙げられ、複数のプロジェクトが存在する。
  • 26. 3-2:Threat Intelligence for Defensive Architecture 25
  • 27. BAS:Breach & Attack Simulation – 一般的な展開と挙動は以下の通り。 • BASは、Control ServerとAgent(Network・Endpoint)で構成されている。 • 基本的には、Agent間で悪意のある挙動(Malicious Activity)を実行し、その予防・検知状況をSIEM と突合して検証するメカニズムで動いている。 Internal Segment DMZ Segment Workstation Segment 3-2:Threat Intelligence for Defensive Architecture 26 AV&EDR IDS Network Agent Network Agent SIEM Endpoint Agents Internet Agent Firewall Proxy BAS Control Server
  • 28. BAS:Breach & Attack Simulation – 一般的な展開と挙動は以下の通り。 • BASは、Control ServerとAgent(Network・Endpoint)で構成されている。 • 基本的には、Agent間で悪意のある挙動(Malicious Activity)を実行し、その予防・検知状況をSIEM と突合して検証するメカニズムで動いている。 Internal Segment DMZ Segment Workstation Segment 3-2:Threat Intelligence for Defensive Architecture 27 AV&EDR IDS Network Agent Network Agent SIEM Endpoint Agents Internet Agent Firewall Proxy BAS Control Server (1) 攻撃実行を指示(例:C2通信) (2) 悪性のC2通信をAgent間で実行 (3) ログ同期 (4) SIEMへ集約されたログと攻撃内容を突き合わせ、予防・検知の有無を検証
  • 29. 3-2:Threat Intelligence for Defensive Architecture 28 BAS:Breach & Attack Simulation – BASで達成できるゴールは大きく2種類に分類される。 • 脅威インテリジェンスの活用(ゴール2)の具体的な活用は以下の通り。 • (1) 新しい攻撃手法(脅威インテリジェンス)として入手し、テストケースとしてインプットする。 • (2) テストケースを実施し、どのセキュリティコントロール(製品)で予防・検知・対応ができるか検証する。 • (3) 検知できない攻撃手法については、チューニングを行ったり、新しい対策導入を検討していく。 • (4) MITRE ATT&CKのカバー率をもとに、セキュリティコントロールの有効性をKPI化していく。 こうした取り組みを行うことにより、特定の攻撃グループ・攻撃手法がニュースなどに取り上げられ、 経営層による「うちって大丈夫だよね?」という柔らかい質問にも根拠をもって対応することができる。 ゴール1 ゴール2 ゴール 既知の攻撃手法・攻撃グループの活動が検知できるか? 新しい攻撃手法/IOCが登場した場合、対応可能か? 詳細 • BASを利用し、SOC/センサーの検知能力を評価・検証する。 • 必要な追加施策を打っていくことで成熟度を高めていく。 • 脅威インテリジェンス経由で、新しい攻撃手法・IOC攻撃者 が登場してきた場合、適切に検知できるか確認する。
  • 30. 3-2:Threat Intelligence for Defensive Architecture 29 BAS:Breach & Attack Simulation – 攻撃手法のシミュレーション(Adversary Emulation)をすることで、セキュリティコントロールの有効 性を検証し、セキュリティ態勢(Security Posture)を把握するツール。 • 分類軸:既存の取り組みとの違い – 既存の仕組みとの違いは、以下のように整理される。 VA (脆弱性スキャン) PT (侵入テスト) Control Audit (監査) BAS (有効性確認) Adversary Emulation (レッドチーム演習) 検査対象 各PC・サーバ単位 システム全体 セキュリティコントロール 存在確認 セキュリティコントロール 有効性検証 サイバーレジリエンス の確認 一般的な 頻度 日次~年次 年次 年次 日次~年次 年次 検査 フェーズ 予防 予防・検知 - 予防・検知 予防・検知・対応 報告内容 (既知の)脆弱性 (既知の)脆弱な設定 特定の攻撃手法の悪用可否 フレームワーク等に基づく コントロールの存在有無 特定の攻撃手法の 検知可否 サイバーレジリエンスの 有効性 ツール • Qualys • Nessus • Rapid7 Nexpose • Core Impact • Rapid7 Metasploit • Immunity CANVAS - • 次ページを参照のこと。 -
  • 31. 3-2:Threat Intelligence for Defensive Architecture 30 BAS:Breach & Attack Simulation – BAS製品としては、商用・オープンソース共に存在する。 COTS : Commercial Product Open-Source Alternatives Invoke-Adversary Network Flight Simulator METTA APT Simulator
  • 33. 4-1:Strategic Intelligence 32 経営層・リーダに、セキュリティリスクの意思決定・投資判断を行うためには、以下の3点を適切に 伝える必要がある。 • (1)サイバー攻撃に関する傾向・トレンド – Ex)Zoom-Bombingや、リモートワークにおけるセキュリティについて – Ex)他社・他業種における攻撃動向について • (2)外部マクロ環境に関する情報 – 経営者が意思決定する一つの基準として、同業他社の動向、法的規制、世間動向などには非常に敏感とな る。そのため、適切な情報のインプットを行うことで、判断基準を形成していく必要がある。 • Ex)規制・新しい技術動向・他社の取り組みなど • Ex)Zero-Trust Architectureについて – PESTLEフレームワークを応用すると整理しやすい(もともとは、マーケティング用語) • (3)内部環境に関する情報(= KPI/KRI) – Strategic Intelligenceを提供し、投資・意思決定の必要性を理解していると、次は必ず「うちはどうなっ ているんだ?」と質問されるはずである。そのため、KPI・KRIを使い、自社のセキュリティリスク(内部 情報)をインプットしておく必要がある。 – KPI作成例:BAS(Breach & Attack Simulation)
  • 34. 4-1 : Strategic Intelligence 33 (A)PESTLEフレームワーク:外部マクロ環境を構成する6つの観点 Political 政治的要因とは、自社に関連する政治的醸成(訴訟・特定の国・組織・団体とのトラブ ル)を分析し、必要なリスクを訴求する。 Economic 経済的要因とは、他社事例の被害額、自社データの価値などを算出しながら、必要な投 資やリスクを訴求する。 Social 社会的要因とは、セキュリティに対する世論の考え方・反応・意見、および同業他社・ 異業種の取り組みを参考にしながら、自社のセキュリティ状況と比較し、投資やリスク を訴求する。 Technological 技術的要因では、新しい技術動向・トレンド情報から、必要なセキュリティ投資やリス クを訴求する。 Legal 法的要因(政府方針・業界団体による規制・ガイドライン)などをトリガーに、必要な セキュリティ投資やリスクを訴求する。 Environmental 環境要因では、他社攻撃情報・脅威動向をもとに、必要なセキュリティ投資やリスクを 訴求する。
  • 36. 5:脅威インテリジェンス活用の目的 35 • 「脅威インテリジェンス」の目的(再掲) – 「より高度(効率的・効果的)なセキュリティリスク管理」のため – 一方、脅威は所詮「管理できない要素」である。そのため、敵を知ることは大事だが、「リスク管理」の 高度化という目的から外れないように注意する必要がある。 – 「誰にとって役立つ情報を提供するか?」、「満たすべき要件は何か?」を確認する。 • Strategic・Operational・Tactical • 4A条件(Accurate・Audience-Focused・Actionable・Adequate Timing)
  • 37. 5:脅威インテリジェンス活用に向けた組織の成熟度 36 • 脅威インテリジェンスの最大活用には、一定の成熟度が必要! – Cyber Hygiene(サイバー公衆衛生)+ “Passive Defense”ができる程度の成熟度は必要 • Cyber Hygiene(サイバー公衆衛生):セキュリティ基本対策の徹底 – 定義:CIS Controlsの1~6を実装すること(by CIS CSC) • CIS Control 01:ハードウェア資産のインベントリとコントロール • CIS Control 02:ソフトウェア資産のインベントリとコントロール • CIS Control 03:継続的な脆弱性管理 • CIS Control 04:管理権限のコントロールされた使用 • CIS Control 05:ハードウェアおよびソフトウェアのセキュアな設定 • CIS Control 06:監査ログの保守、監視および分析
  • 38. 5:脅威インテリジェンス活用に向けた組織の成熟度 37 • 脅威インテリジェンスの最大活用には、一定の成熟度が必要! – Cyber Hygiene(サイバー公衆衛生)+ “Passive Defense”ができる程度の成熟度は必要 • Sliding Scale of Cybersecurity:サイバーセキュリティ態勢の成熟度モデル – SANS InstructorのRobert M. Leeにより、2015年に提唱されたモデル – Architecture :セキュリティを念頭にシステム計画・構築・維持を行う態勢があること – Passive Defense :人が継続的に関与せず、一貫性のある防御メカニズムを有している状態 ⇒ シグニチャベース(+一部の振る舞い検知)の検知・対応 効果的に利用できる成熟度