出典:sleepyfellow(Alamy Stock Photo経由)
急速に変化する地政学情勢は脅威の性質を常に変化させており、CISOは新たなリスクやインテリジェンスの情報源に迅速に対応する必要があります。
高品質な脅威インテリジェンスの必要性は否定できませんが、この分野は制御不能に広がる可能性があり、的を絞った対応が求められます。Frost & Sullivanの業界アナリストは、試算によれば、2023年に組織は世界全体で16億ドルを脅威インテリジェンスおよび脅威インテリジェンスプラットフォームに費やし、この数字は2028年まで年平均32.8%の割合で増加すると予測されています。
CISOの脅威インテリジェンスプログラムは継続的かつ明確に定義されている必要があります。誰でも4つのTIドメイン(戦略的、戦術的、運用的、技術的)にわたるデータを購入または収集できますが、実際にその組織にとって有用な洞察を得ることが目標でなければなりません。
「現在市場に出回っているTIの多くは、実際の脅威インテリジェンスではなく、セキュリティデータの自動分析に過ぎないことが多いと感じます」と、ロンドンのグレシャム・カレッジIT教授のヴィクトリア・ベインズ氏は語ります。
ベストプラクティスには継続性、洞察、協力が必要
脅威インテリジェンスを内製する場合でも外部委託する場合でも、セキュリティチームは単なるデータの提供ではなく、必要な成果を得ることに集中しなければなりません。
CISOは、脅威インテリジェンスプログラムが他のサイバーセキュリティ戦略やビジネス目標と整合した明確な目標を持つようにすべきです。このプログラムはコンプライアンス要件に対応しつつ、それを超える必要があります。継続的な改善を促進するフィードバックループも設けるべきです。
「3つの質問があります。価値やROIをどう測るか?自分にとって関連性のある情報をどう得るか?その脅威をどうリスクに変換するか?」と、NCCグループのグローバル脅威インテリジェンス責任者マット・ハル氏は語ります。2番目と3番目の質問が重なる部分こそ、CISOが自社に特有の脅威を理解できるポイントだと彼は付け加えます。
関連性は極めて重要です。重要インフラの運用者と小売業者や製薬メーカーでは、必要とされる脅威インテリジェンスは大きく異なります。
「まず要件定義を行いましょう。自分の業界にとってどんな脅威があるのか?」とOptivのセキュリティオペレーション担当副社長ベン・ラドクリフ氏は言います。「それに合わせて要件を調整し、特定の脅威フィードを取り入れましょう。」
この内部データと外部データの組み合わせは非常に価値があります。データには脆弱性情報や侵害の兆候(IoC)を含めるべきですが、脅威アクターやその戦術・技術・手順(TTP)に関する豊富なデータも利用可能です。脅威インテリジェンスの専門家は、ディープウェブやダークウェブ、またソーシャルメディアやインターネットフォーラムなどの公開情報源からも関連情報を見つけ出すことに長けています。
特に金融サービスなどの各業界には、業界固有の情報共有グループ(ISAC)が存在し、国や地域の政府機関も自らの保護対象となる企業グループに特定のインテリジェンスを共有しています。こうしたコミュニティは積極的に活用する価値があります。
地政学は極めて大きな影響力を持つ
地政学は脅威の状況を形成するだけでなく、CISOの対応にも影響を与えています。ある組織は政治的な出来事のために直接標的にされることもあれば、他の組織も巻き添えになる可能性があるため注意が必要です。また、物理的リスクはCISOの責任範囲外かもしれませんが、組織のセキュリティ態勢に影響を及ぼすため、把握しておくべきです。
特にグローバルに事業展開している場合は、世界的な出来事が組織にどのような影響を及ぼすかを理解することが重要だと、Microsoftの脅威インテリジェンス戦略ディレクター、シェロッド・デグリッポ氏は述べています。
ロシア・ウクライナ戦争は、脅威アクターのTTPや標的を変えた明白な例ですが、地政学は非常に複雑であり、小さな出来事でも特定の組織のリスクプロファイルや最適な対応策に大きな変化をもたらすことがあります。
この地政学的な混乱はサイバーセキュリティ業界に「深刻な影響」を与え、脅威インテリジェンスへの支出パターンを変化させると、Frost & Sullivanのサイバーセキュリティアナリスト、マーティン・ナイデノフ氏は主張します。ウクライナ戦争や経済制裁のような紛争は、緊張と国家主導のスパイ活動のエスカレートするサイクルを生み出していると彼は説明します。
「この混乱はTI業界に二重の影響を与えています。組織は絶え間ない脅威に直面し、TIソリューションへの需要が高まる一方で、制裁や不信感が業界の発展を制約しています」と彼は述べています。
二手先を読む
自動化は大量の脅威インテリジェンスから有用なデータを抽出する上で重要ですが、人間の要素も依然として不可欠です。セキュリティチームは自組織についての知識を深め、脅威アクターよりも速く考える能力を高めるべきだとデグリッポ氏は主張します。
「チームには、脅威インテリジェンスだけでなく自社ビジネスにも精通した真のスペシャリストを配置しましょう」と彼女は言います。「装備の整った脅威アクターが特定の企業を狙う場合、時には従業員以上にその企業について知っていることもあります。」
先を読む能力は脅威インテリジェンスで最も重要な要素であり、それに続くのは「正確性を確保し、他にどんなインテリジェンスが必要かを見極めるために、必要に応じて待つ規律と厳格さ」だとデグリッポ氏は言います。
CISOは犯罪市場の動向や行動に関するスキルと知識を進化させる必要があるとベインズ氏は述べます。しかし最も重要なのは、常に「火消し」に追われるのではなく、攻撃を予測し未然に防ぐためのより積極的なマインドセットを育てることだと彼女は言います。
リソースの制約を克服する
ナイデノフ氏は、セキュリティ専門家の不足により、組織がTIの活用や脅威状況の監視を十分に行えないと警告しています。企業はTIソリューションが生み出す情報量に苦しみ、脅威の検知や対応にギャップが生じ、新たな脅威への対応が遅れると彼は説明します。
内部リソースが限られているCISOは、ベンダーの脅威インテリジェンスプラットフォームを利用してより豊富なデータを得たり、ベンダーサービスで人員やスキルセットを拡充することができます。プラットフォームやサービスの選択肢は増加し、時に混乱を招くほど多様で、手法にも大きな違いがあります。専門サービス会社が提供する脅威ハンターを追加することで、非常に個別化されたスキルセットによってリスクを軽減し、脅威を積極的に特定することが可能です。
インテリジェンスの落とし穴を回避する
CISOに情報セキュリティやリスク管理の指針を提供するInformation Security Forumは、無関係な情報や誤情報が脅威インテリジェンスフィードに入り込む危険性を警告しています。ソーシャルメディアから収集したオープンソースインテリジェンス(OSINT)への依存を減らし、「少数の信頼できる情報源」からの脅威インテリジェンスに注力することを推奨しています。
ISFは、CISOが情報源の信頼度に基づいてTIソースに重み付けを行い、特に無料の情報源については行動の変化を監視することを提案しています。もしCISOがある情報源が誤情報を共有し始めたと判断した場合、その情報源は除外すべきです。
適切な質問をする
「脅威モデルや攻撃対象領域について、時に誇張しがちな傾向があります」とデグリッポ氏は付け加えます。CISOは本当に何が露出しているのか、何を知る必要があるのかを現実的に把握し、特に手元にないデータを探す必要があります。業界や地域で活動している脅威アクターは誰か、彼らが使うTTPは何か、そして組織がそれらにどう備えているかを調べるべきだと彼女は勧めています。
「自分の本当の脅威プロファイルがどのようなものかをしっかり理解する必要があります。その情報が得られたら、さらに深掘りしていきましょう」と彼女は言います。この作業では犯罪者と国家アクターを区別する必要はないと彼女は言います。「セキュリティはセキュリティです。」
翻訳元: https://www.darkreading.com/threat-intelligence/what-makes-great-threat-intelligence