サイバーセキュリティの専門家、あるいはサイバー愛好家や内部告発者が、新たな悪意のあるサイバー活動のクラスターを匿名で報告でき、長くて形式的なサイバー報告開示プロセスを経る必要がない世界を想像してください。
これは、ヨーロッパを拠点とするサイバーセキュリティの実践者グループが、オープンソースのサイバー脅威インテリジェンス(CTI)共有プラットフォームであるMalware Information Sharing Platform(MISP)上に構築された新しい匿名脅威報告プラットフォーム「Draugnet」で達成しようとしているミッションです。
アクセンチュア・ベルギーのシニアセキュリティマネージャーであるトレイ・ダーリー氏と、ルクセンブルクのコンピュータインシデントレスポンスセンター(CIRCL)の責任者であるアレクサンドル・デュラヌイ氏は、6月24日にコペンハーゲンで開催されるFIRSTCONでDraugnetを発表し、デモンストレーションを行います。
最初は「Abracadabra」と呼ばれ、その使いやすさを伝えるために、Draugnetは、アカウントを登録したりログインしたりすることなく、脅威インテリジェンスの一部(いくつかの侵害指標から脆弱性報告、包括的な脅威インテリジェンス報告まで)を誰でも報告し、シンプルな機械可読なJSON形式で提出して誰でも利用できるようにします。
サイバー脅威インテリジェンス報告の民主化
そのミッションステートメントによれば、Draugnetは「静かな防御者、ローテーションする信頼グループ、責任ある管理と管理不能なリスクの間に挟まれた誰にでも」向けたものです。
公式発表前にInfosecurityに語ったダーリー氏は、「例えば、私が接続されたコーヒーメーカー製品の脆弱性報告を収集したいとしましょう。Draugnetを使えば、研究者が脆弱性を提出できるシンプルなウェブフォームを提示できます。匿名化された脆弱性報告を私のMISP環境に通してアナリストがトリアージし、提出者にはフォローアップトークンを提供します。」と説明しました。
このトークンは、ランダムな文字列で、ローカルブラウザのキャッシュに保存され、ユーザーがそれを再利用して続行したり、誰かと共有して脆弱性報告を更新したりすることができます。
彼は、Draugnetのバックエンドとフロントエンドが分離されているため、バックエンドにアクセスできる人が報告者を特定することはできないと付け加えました。
Draugnetの背後にあるアイデアは、サイバー脅威インテリジェンス報告を民主化し、プロのサイバーセキュリティ実践者だけでなく、「セキュリティエコシステムの外にいる人々、例えばジョギング中にDarknet Diariesのポッドキャストを聞いていて、さらに関与することなく貢献したい品質保証の専門家」にもアクセス可能にすることです。
「さらに、脆弱性報告が急速に増加している一方で、私たちはオープンな社会に向かっているのではなく、ますます共有が減少する方向に進んでいるようです」とダーリー氏は嘆きました。
Draugnetのミッションは、サイバー脅威報告をより簡素化し、プロセスを重くしないことで、より多くの共有を促進することです。
Draugnetの課題と潜在的な使用例
プロジェクトに対する彼の野心にもかかわらず、ダーリー氏はDraugnetのミッションを達成するには限界があることを認めました。
まず、インターネット上で完全な匿名性を保証することは非常に難しいと彼は言いました。「オンラインで完全に匿名であることはなく、何かと何かが接触する(例:ユーザーとシステム)と痕跡が残ります」と彼は言いました。
第二に、現在のところ、Draugnet内での虚偽または悪意のある報告を防ぐ方法はないと彼は認めました。
しかし、彼はDraugnetをサイバー防御者のツールボックスのもう一つのレゴブロックと見なし、どの組織でも信頼できる環境で使用できると提案しています。
「これをインターネット全体に公開するのではなく、情報共有分析センター(ISAC)や他の信頼グループのような制約されたアクセス環境で使用することをお勧めします。また、Intel Software Guard Extensions(SGX)を使用してホストし、どのトークンがどのイベントにアクセスできるかを示すインメモリルックアップテーブルの機密性を確保することもできます」と彼は言いました。
「例えば、私が国家サイバーセキュリティ機関であれば、国内のトップ数百人のサイバーセキュリティ研究者の大まかなリスト、いわゆる『友人と家族』リストを持っているかもしれません。私は彼らにDraugnet対応の報告プラットフォームへのアクセスを提供し、機密計算環境でホストし、シンプルで書類作業のない方法でサイバー脅威インテリジェンスに貢献させることができます。」
翻訳元: https://www.infosecurity-magazine.com/news/cyber-intel-report-threats/