長年にわたり、サイバー防御はバックミラーを見ながら前進する運転のようなものでした。
セキュリティチームは主に過去の痕跡、すなわち侵害指標(IOC)に基づいて運用しています。既知の悪性IPやファイルハッシュといった汎用的なデータポイントは、何が起きたかの記録です。フォレンジックには有用ですが、いま形成されつつある攻撃を防ぐうえではほとんど役に立ちません。
過去を振り返るデータへの依存は、組織を常に後追いにし、SOCを絶え間なく消耗する対応状態へと追い込みます。可視性のギャップを埋めるには、対応から先制へ移行しなければなりません。
すでに発射された弾丸ではなく、装填されている武器にもっと注目する必要があります。
「知ることが戦いの半分だというなら、なぜ敵がすでに放棄した戦場に焦点を当てるのでしょうか? いま敵がどこに陣取り、どのルートを取り、次にどんな戦術を使うつもりなのかに焦点を当てるほうが、はるかに効率的です。」
— John Jensen, Silent Push 共同創業者兼CTO
成果:攻撃前データがもたらす現実世界でのインパクト
従来のIOCから将来攻撃指標(IOFA™)へ移行することで、セキュリティチームの運用上の現実は根本的に変わります。
敵対者がインフラを構築する段階における行動(TTP)をモデル化することで、「爆発の左側」に存在する重要データを提供します。このアプローチは、セキュリティ態勢を直接強化する、具体的で測定可能な成果をもたらします。以下の動画では、これが何を意味するのか、そしてどのような種類のデータが関与するのかをさらに掘り下げています。
攻撃前検知へ切り替えることで、チームが得られるものは次のとおりです:
1. シームレスな統合と運用化
成果:洞察とアクションのギャップを埋める
データは運用できて初めて価値があります。IOFA™データは、組織のセキュリティツールに自動的に取り込める、完成された実行可能な防御データとして明確に設計されています。
| APIファーストのアーキテクチャ | 私たちは接続性を最優先します。250以上のエンドポイントにより、先制データが摩擦なくセキュリティ基盤へ直接流れ込むことを保証します。 |
| オーケストレーションされた防御 | Splunk、Tines、Cortex XSOARなどのSIEMおよびSOARプラットフォームへ直接投入することで、組織は戦術的対応を自動化できます。これにより、人の役割は手作業のデータ処理から、高付加価値の戦略立案と意思決定へと移行します。 |
2. 最適化されたセキュリティ運用(SOC/IR)
成果:トリアージと迅速な意思決定による対応を加速
現代のSOCは、ノイズからシグナルをどれだけ速く選別できるかで定義されます。セキュリティ運用およびインシデント対応チームにとって、先制データは防御側に優位性を取り戻します。
| コンテキスト不足を解消 | アナリストが未知の指標に直面すると、トリアージは遅くなります。IOFA™は即時のリスクスコアリングとコンテキストを提供し、自動検証を可能にします。これにより誤検知が大幅に減り、アナリストの注意をそらす前にノイズを止めることでアラート疲れを軽減します。 |
| 対応を加速 | 平均検知時間(MTTD)と平均対応時間(MTTR)の短縮には、単にツールを高速化するのではなく、より良い可視性が必要です。インシデント発生時、IRチームは関連する敵対者インフラを即座にマッピングし、横展開の動きを追跡できます。この高信頼データにより、チームは脅威を迅速に封じ込め、滞留時間を大幅に削減できます。 |
3. 重要なブランドと資産の保護
成果:自社アイデンティティの武器化を未然に防ぐ
攻撃前の行動フィンガープリンティングは、外部のブランド脅威と内部の脆弱性に直接対処します。Silent Pushは、組織のアイデンティティを模倣する悪性インフラをインターネット上で継続的に監視します。この機能は、次のような攻撃から防御することで、金銭的損失と評判被害を能動的に防ぎます:
| フィッシングとドメインなりすましによる被害を防止 | 不正な証明書の取得や、設定段階でのメールスプーフィング構成における、タイプスクワットドメインや偽装MXレコードを無力化します。 |
| コンテンツおよびブランドの偽装を検知 | 特定のHTML、ロゴ、信頼マーカーの再利用を追跡することで、偽のログインポータルやクローンサイトを即座に特定します。 |
| インフラおよびDNSの脆弱性を特定・緩和 | 攻撃者が高い信頼性を装った攻撃を仕掛ける前に、ぶら下がりDNSレコードなど、悪用可能な誤設定を先回りして発見します。 |
4. 強化されたプロアクティブ脅威ハンティング(CTI)
成果:敵対者キャンペーンの全体像を明らかにする
攻撃前データにより、サイバー脅威インテリジェンス(CTI)チームは、Silent Pushプラットフォームを活用して新たに出現する脅威を追跡し、敵対者のキャンペーンを開始前にマッピングする、本当の意味でのプロアクティブな脅威ハンティングを実施できます。
この能力は、たとえばFIN7が使用した4,000以上のフィッシングドメインを発見したり、単一の不審ドメインからピボットしてLazarus Groupに関連する機微な詳細を暴いたりするなど、敵対者インフラの全容を露出させるうえで有効であることが証明されています。このアプローチにより、脅威ハンターは残存する隠れた活動を発見し、ブロックできます。
| 高精度な攻撃者フィンガープリントを構築 | Passive DNS、HTML、SSLを含む200以上のパラメータを相関させる効率的なクエリを作成し、既知の指標だけでなく行動に基づいて、武器化前の資産を特定します。 |
| APTおよび新興脅威キャンペーンを大規模にマッピング | FIN7、Lazarus、Scattered Spiderのような既知グループや新興グループのインフラ全体を追跡します。これにより、生のハンティングデータが、実行前にキャンペーン全体を遮断するキュレーション済みIOFA™フィードへと変換されます。 |
Silent Pushで「爆発の左側」へ
後追いに疲れているなら、交戦ルールを変える時です。
攻撃前検知は、既知のグループ(Scattered Spiderなど)と、新たに出現する未命名の脅威の双方に対して態勢を強化し、明確な競争優位をもたらします。侵害が起きてから穴の場所を教えてもらうのをやめましょう。
翻訳元: https://www.silentpush.com/blog/pre-attack-detection/
