サイバーセキュリティに携わる私たちの多くは、ちょっとした罠にはまってしまっています。過去を見ることでネットワークを守るよう教えられてきました。私たちは侵害指標(IOC)に頼っています。悪意のあるIPやファイルハッシュのようなものです。これらを主要な防御として使うのは、実際には戦略とは言えません。ただ後追いしているだけです。
IOCとは、すでに起きた犯罪の記録です。それが画面に表示される頃には、あなたはすでに「爆発後(right of boom)」の状態にいます。攻撃者が望んだことをすでに達成した後で、あなたは後始末に追われているのです。これは防御ではなく、フォレンジックです。
最初の被害者問題
私は何年も、人々が「何でもできる」と約束して何も成果を出さなかった過大評価の技術を導入し、そして撤去するのを見てきました。IOCベースのセキュリティは、それに少し似ています。これは反応的なサイクルで、よく見ると実に陰鬱です。そのモデルでインテリジェンスが存在するためには、誰か別の人が先に被害を受けなければなりません。ドメインは、企業への攻撃に成功して初めて指標になります。
こうした「既知の悪性」資産のリストが更新されるのを待っている間に、犯罪者は自動化を使って数秒で新しいインフラを立ち上げます。fast fluxのような手法でIPをローテーションしたり、AWSやAzureのような大手プロバイダーの背後に意図を隠したりします。多くのセキュリティツールは、これらのグループが行っていることの大半に対して実質的に盲目です。
なぜ私たちは困難な作業をするのか
John Jensenと私がSilent Pushを構築したとき、起きたことを見るのをやめ、構築されつつあるものを見る必要があると分かっていました。それを正しく行うには、サードパーティのフィードや使い回しのデータに頼ることはできません。データの収集と文脈化は、自分たちで管理しなければなりません。
私たちは、世界を混じり気なく見渡す唯一の方法として、あらゆるインターネットインフラとその変化する関係性を監視する、最も攻めたデータ収集プラットフォームの構築に取り組みました。脅威アクターが誰かを攻撃するのを待ちません。彼らがまだ準備段階にいる間に残す指紋を探します。
指紋を見つける
私は、現在のサイバー犯罪の状況を私掠船の時代になぞらえるのが好きです。これらのグループは、金が本国に戻り、国内の被害者が出ない限り犯罪を行ってよいという、母国政府からの暗黙の了解を得ています。しかし彼らは習慣の生き物です。DNSレコードやWebサーバーの設定方法に、特徴的な痕跡を残します。
すべてのインターネットシグナルを一か所で追跡することで、攻撃が準備されている様子を把握できます。駐車されていたドメインが突然、攻撃者が管理するサーバーへ切り替わる「アクティベーション」イベントを見つけます。これにより、私たちが「将来攻撃指標(IOFA)」と呼ぶものが得られます。平均すると、このアプローチは104日というリードタイムを提供します。攻撃が開始される何か月も前に警告できるのです。
もう推測はいらない(可能です)
「たぶん怪しい」といったアラートや、曖昧な確率スコアを出すツールに付き合っている時間はありません。それはアラート疲れを招き、チームを疲弊させるだけです。焦点は決定論的なデータに置かなければなりません。それが攻撃者のインフラであるか、そうでないかです。
そのレベルの明確さがあれば、推測する必要はありません。脅威アクターの意図が組織化されていく最中にそれを見抜き、遮断できます。「最初の被害者」モデルから離れ、ついに相手の一歩先を行くことが重要なのです。
翻訳元: https://www.silentpush.com/blog/looking-for-fingerprints-instead-of-footprints/
