大量のインジケーター、アラート、レポートは、完全な可視性が得られているという印象を与えるかもしれません。ですが現実には、これはしばしば幻想であり、SOCの重要なリソース――時間、エネルギー、集中力――を消耗させます。
なぜ 脅威インテリジェンスを備えていても、それが自動的に より良い状況把握や高い効率に結びつかないのでしょうか?
残念ながら、多くの場合(ほとんどと言ってよいほど)、脅威インテリジェンスの情報源は悪意あるキャンペーンの進行に後れを取っています。攻撃の開始から関連するIOCが公開されるまでに、数週間、場合によっては数か月が経過します。インジケーターがフィードに届く頃には、脅威は進化しているか、あるいは消滅している可能性があります。
その結果、このインテリジェンスは基本的に役に立たないどころか、有害にさえなり得ます。アナリストは依然としてアラートを処理しなければならず、もはや関連性のないデータの処理に時間を浪費します。確認すべきアラートが無限に増えることで注意が分散し、アラート疲れにつながります。
強力なSOCチームの主要な目的の一つは、可能な限り盲点を少なくしながら脅威カバレッジを維持することです。時代遅れの脅威インテリジェンスは、これをより困難にします。情報として参考になることはあっても、古いインジケーターの多くは、業界ですでに広く知られていることを説明しているに過ぎません。
一方で、新たなキャンペーンが出現し、数時間のうちに運用を混乱させることもあります。誰もが話題にしている頃に新たな脅威を知るのでは、知るのが遅すぎます。
脅威インテリジェンスフィードの大部分は、他の情報源からデータを単に集約しているだけです。そのためデータは鮮度が落ち、独自性も低く、検証されていないことも少なくありません。これはオープンソースのフィードだけでなく、有料ツールにも当てはまります。
独自性のないTIに費用を払っても、チームの検知や対応能力はほとんど向上しません。むしろ逆効果となり、予算を含むリソースを消耗させる可能性があります。
脅威インテリジェンスがSOCワークフローの中核であるにもかかわらず、期待していた結果が得られていないなら、それは危険信号です。問題はデータの品質にあるかもしれません。
解決策は、アナリストを圧倒することなく、実際に力を与えるフィードを探すことです。高品質な脅威インテリジェンスフィードは、独自で検証済みのインジケーターで継続的に更新されます。これにより、迅速な対応や広範なカバレッジといった強力な成果につながります。
TIフィードは、ライブ攻撃データを用いて、タイムリーで検証可能かつ実行可能なインテリジェンスを提供し、具体的な成果をもたらすように構築されています。業界を問わず企業・組織の15kのSOCチームによるライブ攻撃調査から得られた脅威データとコンテキストに基づき、このソリューションはインフラに99%の独自脅威インテリジェンスをもたらすことで、プロアクティブな防御を強化します。
時代遅れのTIはSOCのワークフローを乱し、アナリストを圧倒します。さらに、攻撃を見逃した場合のコストは非常に高くつく可能性があります。独自性があり、新鮮で、検証済みのインジケーターを備えたフィードだけが、広範な脅威カバレッジとノイズのないアラートを確保することで、検知、トリアージ、脅威ハンティングを改善します。
高品質な脅威インテリジェンスを統合することで、アナリストの負荷を下げつつ効率を高め、運用をさらに合理化できます。
翻訳元: https://cyberpress.org/outdated-threat-intelligence-draining-soc/