セキュリティ監視システムに侵入し続ける脅威をどのように軽減すればよいですか?
私たちは、すべての新しいCVE、新しいマルウェアのバリエーションなどを提供するさまざまなソースから毎日SOCに届くサイバーセキュリティ脅威フィードを継続的に持っています。これらのアラートを正しい方法で処理する方法がわからないだけでなく、それらの脅威に対して実行するアクションを選択することに迷っています。大きな財務上の制約がないと想定できる場合、銀行がこれらの脅威をフォローアップするための適切なプロセスは何でしょうか?
ああ!つまり、あなたは カートを手に入れたが馬を忘れた !!!!古典的な間違い-あなたの組織は問題を抱えているようですが、あなただけではありません!他の誰もがあなたのようなので、質問をするのに良いです。
もちろん、答えは人とプロセスから始まります。手順のセットごとに次のタスクを入力するには、次の知識、スキル、および能力を持つ人が必要です。
- すべてのソースのアナリスト
- ミッションアセスメントスペシャリスト
- エクスプロイトアナリスト
- 多分野言語アナリスト
- ターゲット開発者
- ターゲットネットワークアナリスト
- 脅威/警告アナリスト
- すべてのSource-Collection Manager
- すべてのSource-Collection Requirements Manager
- サイバーインテルプランナー
- サイバーオプスプランナー
- サイバー演算子
答えはそれだけではありません。ええ、あなたの問題に対する技術的解決策はありますが、それらは明確ではありません。収集戦略、収集標準フォーマット、処理要件、および分析生成を含むオールソース分析手順のようなものを実装したほとんどの組織(銀行など)は、インフラストラクチャ、社会、個人、およびプログラムを開始するには、教育資本が必要です。
上記に対して受け取ったテクノロジープラットフォームの答えは、特定のパラダイムに従っています。誰もいない、簡単な答え。ほとんどの場合、ITとR&Dのその場しのぎの性質を回避する厳格さによって開発されています。しかし、同時に、それは統合パイプラインを介してランダムな方法で接続されたランダムユーティリティの集まりにすぎません。これは、非常に乱雑なガレージにツールボックスがないツールチェーンです。
(順不同):
- https://github.com/TheHive-Project/Cortex-Analyzers
- https://www.circl.lu/doc/misp/automation/
- https://github.com/MISP/misp-modules
- https://www.circl.lu/doc/misp/pymisp/
- https://github.com/PUNCH-Cyber/stoq-plugins-public
- https://github.com/InQuest/ThreatIngestor
- https://splunkbase.splunk.com/app/2646/
- https://github.com/facebookincubator/nvdtools
- https://github.com/CIRCL/AIL-framework
- https://github.com/certtools/intelmq/ ( csirt-kit.org ゲストVMでも利用可能!)
- など(NB、これは短いリストにすぎません!)
まとめると何も見えませんが、おそらく OSINT with Scrumblr ポストのようなものです。実際、多分それはこのように見えます OSINT結論へのジャンプ Hunchly投稿。または両方。またはどちらでもない。
このようなプログラムの目標と目的は、実際には、多くの場合、悪夢のシナリオから逆方向に働き、段階的にいくつかの強化制御を実装することでそれを防ぎ、組織が一度に機会コストをすべて消費するのではなく、徐々にできるようにします投資(いわば車輪をつけたまま)。したがって、事前にGoodがどのように見えるかを確認したい場合は、次のリソースを確認してください。
さらに、上記で説明した4つの主要コンポーネントの経験則があります。
収集戦略
可能なすべてのデータを絶え間なく詳細に監視することは、技術的に実現可能ではありません。インテリジェンス機能は、次の要素に従って収集戦略を形成する必要があります。1)幅と深さ。詳細だが狭いが、広いが浅いのバランス。 2)監視頻度。劣化する前に修正できるように十分に短い間、不必要な費用や過度の遅延を招かないように十分長い。
-定期的な監視:数分または数か月以上かかる可能性のある定期的な頻度で環境を検査する
-イベント駆動型モニタリング:発生する、または発生が予想される特定のイベントによって駆動されるアドホックメソッドで環境を検査する
-分析主導の監視:現在の分析状態によって決定されるアドホックな方法で環境を監視または検査
コレクション標準フォーマット
MISP Galaxy は、コレクション作業成果物に関する継続的、1日の終わり、および/または1週間の終わりのレポートのための標準形式を提供します。通常、これらはモジュール(STRUM)を使用した標準テクニカルレポート、またはソースから収集されたすべてのインテリジェンスの詳細を示す1日の終わりの形式のレポートと呼ばれます。過去には、共有するための標準としてSTIXが提案されましたが、 STIX 2 が最近登場し、MISP Galaxyおよび ATTACK-Python-Client で使用できます。 [〜#〜] veris [〜#〜] は、MISP Galaxyでも使用できるもう1つの大きな標準です。ツールにその仕事を任せますが、それ以外の場合、組織が選択する標準に関する具体的なガイダンスはありません。
処理要件
SIEMとTIP(Threat Intelligence Platforms)の両方が、サイクルのこのフェーズで重要な役割を果たします。おそらく最も重要で時間のかかるフェーズでもあります(ただし、重い作業は自動化されているのが理想的です)。 SIEMは、多くの変数とパラメーターの相関を支援できますが、すべてを単独で相関させることはできません。特に、インテルアナリストに関連するすべてのデータタイプを関連付けることはできません。 SIEMに入力できるデータの厳密なフレームワークは、自動分析に使用できるこれらのタイプのデータを制限します。 TIPは、機械可読脅威インテリジェンス(MRTI)データの取り込みと処理に関して、これらのギャップを埋めるのに役立ちます。 TIPは複数のタイプのインテリジェンスソースを集約するため、SIEMよりもデータ構造が柔軟になる傾向があります。これにより、分析者は、脅威のインテリジェンスをさまざまな形式で取り込むことができます。プラットフォームに入力されるデータの構造化されていない性質にもかかわらず、TIPは構造化された方法で結果を生成し、SIEMまたは他のプラットフォームに配信してコンテキストと実用的な結果を提供できます。
処理サイクルの自動化
価値のあるデータ処理機能には、解析、フィルタリング、相関、重複排除、および集計が含まれます。ポイントソリューションでは処理できない処理は、代わりにSplunk SPL、Splunk MLTK、Python Pandas、Apache Drillなどのデータサイエンスパイプラインを通じて処理できます。
分析生産
分析フェーズでは、生データがトレンド、パターン、シーケンス、クラスターなどの形で情報に変換されます。これは、選択、カタログ化、抽象化、仕様、評価、マッチング、インスタンス化、相関、変換などの一連の基本的な推論によって実現されます。分析フェーズ中に生成された情報が脅威を回避または抑止する(または有害なイベントを軽減する)ための十分な理解を提供する場合、それはインテリジェンスと呼ぶことができます。
分析は、調査の要素を定義し、イベントと結果の評価と予測を可能にする事実、調査結果、および予測で構成されます。分析は、タイムリーで客観的で、大部分が重要で正確でなければなりません。客観的にインテリジェンスを生成するために、アナリストは4種類の推論を適用します-推論、帰納、拉致、および科学的方法。分析ステージには、分析者が処理済みデータに意味を与え、既知の要件に対して優先順位を付けることを可能にする、十分にトレーニングされた専門的なスキルも必要です。
インテリジェンスサイクル作業のこの時点まで、議論は生データを中心に展開されてきました。プラットフォームに取り込まれたサードパーティの脅威インテリジェンスでさえ、現時点では単なるデータです。インテリジェンスサイクルの生成フェーズでは、機械可読脅威インテリジェンス(MRTI)だけでなく、生データが実際の脅威インテリジェンスになります。生産とは、収集された生データ(MRTIが含まれる場合と含まれない場合があります)を完成したインテリジェンス(FINTEL)に変換するプロセスです。
制作にはさまざまな形態があり、それぞれに特定の目的と対象者が含まれます。従来、制作フェーズでは、配布とフィードバックフェーズの一部として顧客に配信できるレポートの作成が含まれていました。レポートの作成は、依然としてインテリジェンスサイクルの重要な部分であり、脅威インテリジェンスチームの重要な機能です。
このインテリジェンスサイクル作業の全体の要点は、要件フェーズから処理、生産、まとまりのある方法での配布に至ることです。
分析要件
FFIECには、サイバーインテリジェンス組織が複数のインテリジェンスソース、相関ログ分析、アラート、内部トラフィックフロー、および地政学的イベントを使用して、潜在的な将来の攻撃と攻撃傾向を予測するという要件があります。その他 規制 サイバー脅威インテリジェンスの周辺では、その範囲と具体性が浮上しています。
今日、脅威インテリジェンスには共通の問題があります。大量のデータが生成され、消費するエンタープライズITセットアップに送信されます。脅威インテリジェンスフィードバンドルには、3つの異なる使用法があります。
- 脅威インテリジェンスデータを使用して、リスクと不要な接続をブロックし、企業のセットアップへの通信に接続します。
- 脅威インテリジェンスデータを使用して、セキュリティ生成およびSIEMを含む脅威監視ソリューションに新しいルールセットを作成します。
- 脅威インテリジェンスを使用すると、企業内の既存の隠れた脅威の存在を発見できます。
- 脅威インテリジェンスデータを使用して、企業に適用される脅威の状況を分析および視覚化する
これら4つの使用法にはそれぞれ、実行する必要のある独自のアクションのセットがあります。銀行などの組織にとって、脅威インテリジェンスデータは、適切にコンテキスト化されていれば、ゼロデイの脅威を救うことができます。
脅威インテリジェンスデータのコンテキスト化は、脅威インテリジェンス消費の次の段階であり、機能するには新しいプロセス、新しいテクノロジー、および組織の協力が必要です。