従来の脅威インテリジェンスは通常、攻撃の最終段階(約5%)しか把握できず、そのほとんどは事後に届きます。キャンペーンが開始され、侵害の痕跡(IOC)が表面化してから、セキュリティチームはツールの更新とアラート対応に追われます。しかしその時点では、残念ながら行動を取るための機会はすでに失われています。
Silent Push の コンテキストグラフは、行動すべき時間の前にある窓のために設計されています。先日のウェビナー「“SIEMシグナルを将来の攻撃防御に転換する“」では、私たちのソリューションエンジニアリングチームが、実際のセキュリティスタック内でどのように機能するかを詳しく説明し、従来の脅威インテリジェンスでは決してわからないことを共有しました。
特に際立った5つのことを以下にご紹介します:
1. 攻撃者は攻撃前に数週間かけてインフラを構築する — そしてその準備は可視化されている。
フィッシングキャンペーンが受信トレイに届く前、あるいはコマンド&コントロール(C2)サーバーが最初のコールバックを受け取る前に、攻撃者はドメインの登録、サーバーの設定、インフラのエージングで忙しく動いています。このプロセスには時間がかかります。そして一貫した運用パターンに従うため、痕跡を残します。
コンテキストグラフはその痕跡を追跡します。トラフィックが解決レコードを生成するのを受動的に待つのではなく、Silent Push独自のPassive-Aggressive DNS(PADNS)は毎日すべてのホスト名を積極的に再解決します。WHOISデータ、ホストスキャンデータ、SSL証明書、ハニーポットとのインタラクション、ASN情報と組み合わせることで、これらの変化シグナルにより、攻撃が開始される前の準備段階で攻撃者のインフラを特定することが可能になります。
Salt Typhoonの事例がこれを具体的に示しています。DarkTraceが2025年10月にSalt Typhoonインフラに関する調査結果を発表し、7月まで遡る活動を指摘した時、私たちのチームはすでに5月に同じクラスターを特定していました。これは攻撃の2か月以上前、公開開示の5か月前です。これが大規模な体系的インフラ監視で達成できることです。平均して、私たちは攻撃者のステージングインフラを武器化される104日前に表面化させています。
2. 将来の攻撃インジケーターはIOCの代替ではない。表裏一体のものだ。
IOCは依然として重要です。業界での情報共有、遡及ハンティング、インシデント発生時に何が起きたかを理解するために不可欠です。しかしIOCは、すでに過去のものとなったタイムラインの部分しか説明できません。
私たちの将来の攻撃インジケーター®(IOFA)は、今まさに構築されているもの、そして次にどこを狙う可能性があるかを説明します。ドメイン年齢に基づくリスクスコアとは異なり、IOFAはインフラが積極的にどのように構築・管理されているかに基づいており、攻撃者が毎回使用する同じ運用TTPs(戦術・技術・手順)を特定します。ホスティングプロバイダーを変更したりサブネットを変えたりしても、プロセス自体は一貫しています。
IOCとIOFAを組み合わせて使用することで、セキュリティチームは攻撃者の活動をより完全に把握できます。一方は過去を見る。もう一方は未来を見る。両方が必要です。
3. コンテキストグラフはチームがすでに使用しているツールに直接接続できる。
インテリジェンスは行動を促進できる時に最も有用です。コンテキストグラフは、SIEM、SOARプラットフォーム、データパイプラインツールに統合するよう設計されています。付随的な機能としてではなく、これらのツールの応答方法を変えるライブフィードとして機能します。
実際には、IOFAフィードはブロッキング用のエンドポイント検出リスト(EDL)に自動的に流れ込みます。SIEMの相関ルールは検証済みのインフラコンテキストで強化されます。SOARプレイブックは、アラートが追跡されたクラスターと一致した場合に自動応答をトリガーできます。私たちのThreat Check APIは、あらゆるインジケーターに対して高スループットの真偽判定を提供し、エンリッチメントキューを短縮し、手動手順を追加することなくトリアージを加速します。
アラートが発火し、それがすでに既知のインフラクラスターと一致している場合、アナリストはエンリッチメントキューを完全にスキップできます。より迅速なエスカレーション、より迅速な封じ込め、そしてプレッシャー下での意思決定の削減が実現します。
4. 自組織のテレメトリーがインテリジェンス構築の最良の出発点となる。
ベンダーの脅威フィードは、あなたの優先事項ではなく、ベンダーの優先事項に基づいて構築されています。あなたの組織を特定して狙うインフラは、共有フィードに現れないかもしれません。
コンテキストグラフは、内部アラートデータを独自のインテリジェンスループの出発点に変えることでこの問題に対処します。アラートを発火させたIPアドレスやドメインを取り上げ、Silent Pushに関連するすべてのコンポーネントを照会します:DNSの履歴、WHOISレコード、スキャンデータ、インフラパターン。元のインジケーターに接続されているすべてを表面化させます。結果をSIEMに返して遡及ハンティングを行い、同じクラスター内で新たに起動するものを継続的に監視するためにSOARに送り込みます。
私たちはこれをセキュリティ無限ループと呼んでいます:検出、コンテキスト化、ハンティング、対応、防止、学習、そして繰り返し。これは一度限りの演習ではありません。サイクルを重ねるごとに向上する、継続的に強化されるポスチャーです。そしてほとんどのチームが想定するよりも少ないデータで機能し始めます。ウェビナーの一例では、外部IPアドレスとドメイン10,000件でループを開始し、関連インフラを表面化させるのに十分でした。
5. 決定論的データがAI支援セキュリティを実際に機能させる。
AIによるワークフローは、それに供給されるシグナルと同程度の信頼性しかありません。確率スコアや未検証の脅威フィードは、アナリストの時間を浪費する偽陽性を伴うノイズの多い自動化、誤ったシグナルによってトリガーされる自動応答、そして明確な出所のないデータから誤った結論を導き出すAIエージェントを生み出します。
私たちのデータは決定論的です。あるIPがドメインに解決するか、しないかのどちらかです。証明書の設定が既知の攻撃者パターンに一致するか、しないかのどちらかです。そのような確実なデータ、つまりDNSの関係性、証明書の設定、WHOIS登録パターン、行動コンテンツのフィンガープリントは、AIエージェントが実際に推論するための基盤を提供します。
実際の違い:モデルにIOCのフラットなリストを評価させると、不確かな出力が生まれます。コンテキストグラフにエージェント型ワークフローを向け、確認済みインジケーターに関連するすべてを見つけるよう指示すると、信頼性の高いクラスター列挙、インフラのピボット、そして迅速な調査レポートが生成されます。この転換は漸進的なものではありません。ノイズを生成する自動化と、チームが信頼できるアクションを生成する自動化の違いです。
結論:理論ではなく、測定可能なものだ
コンテキストグラフは、すでに保有するセキュリティスタックを置き換えるために設計されたものではありません。むしろ、従来のスタックがカバーするよう設計されていなかったギャップを埋めます:準備段階、つまり攻撃者がインフラの構築を開始してから実際に攻撃を仕掛けるまでの窓です。
ウェビナーの議論が強調しているのは、このギャップが理論的なものではなく測定可能であるということです。攻撃が開始される前に私たちが表面化させるリードタイムの数週間、共有フィードには決して現れないクラスター、そしてコンテキストグラフからIOFAがブロッキングを行うツールに流れ込み始めることで縮小するアラートキューに、それは表れています。
はじめに
Silent Pushを使えば、侵害される前に無力化できます。コンテキストグラフの実際の動作を確認するには専門家とデモを予約するか、無料のコミュニティエディションに登録してプラットフォーム上でデータの探索を始めてください。
よくある質問
IOFAとは何ですか?IOCとどう違うのですか?
IOCは攻撃ですでに使用されたインフラを記録します。これは遡及ハンティングや業界での情報共有に価値があります。IOFAは積極的にステージングされているが、まだ武器化されていないインフラを特定し、キャンペーンが開始される前にブロックする機会をセキュリティチームに提供します。両者は補完的です:IOCは何が起きたかを伝え、IOFAは何が来るかを伝えます。
コンテキストグラフはどのようにして、使用される前の攻撃者インフラを特定するのですか?
コンテキストグラフは、DNS、WHOIS、証明書、ホストスキャン、ハニーポットデータ、ASN情報にわたって、インフラがどのように構築・管理されているかを継続的に分析します。管理パターンが既知の攻撃者TTPs(一貫した登録ウィンドウ、共有サーバー設定、繰り返されるホスティング行動など)と一致すると、それらのクラスターはIOFAとしてフラグが立てられます。シグナルは運用プロセスであり、単に既知の悪意あるリストへの存在ではありません。
開始するために必要な内部テレメトリーはどれくらいですか?
ほとんどのチームが想定するよりも少ない量です。ウェビナーで実証されたように、企業ネットワークを通過していることが観測された外部IPとドメインの10,000件のセットで、インテリジェンスループを開始し、関連インフラを表面化させ、継続的な監視を始めるのに十分でした。データが多いほど結果は向上しますが、プロセスは利用可能なテレメトリーから価値を提供するよう設計されています。
翻訳元: https://www.silentpush.com/blog/five-things/
