アクティブなインシデント中に、敵対的インフラを統合するのにどのくらい時間がかかるかをSOCアナリストに聞いてみてください。正直な答えは心強くありません。SIEMデータ、脅威フィード、パッシブDNS検索、WHOISレコード、および証明書の透明性ログ全体での手動ピボットは、シート全体、時には以上の時間を消費する可能性があります。そしてそれはIRがスコープを検証するために導入される前です。
ほとんどのセキュリティチームは技術不足ではありません。むしろ情報不足であり、常に間違ったタイミングにいます。
従来のセキュリティオペレーションは、脅威が行動した後に検出と対応を行うように設計されたツール上に構築されています。SIEMプラットフォームはログを取り込み、アラートを表示します。EDRはエンドポイントでの実行をキャッチします。脅威インテリジェンスフィードは既知の悪いIOC(IPアドレス、ドメイン、ファイルハッシュ)を提供します。これらのツールの各々はそれが設計されたとおりに正確に機能します。しかし、それらのいずれもが敵対者が今構築しているものをあなたに教えません、それがあなたに対して武器化される前に。
このギャップがほとんどの侵害の始まりです。
反応的なサイクルの定義
反応的なサイクル
今日の手動ピボット
70分
SIEM、パッシブDNS、WHOIS、証明書ログ全体で単一のアラートを完全に調査するための平均時間。SANS、2025
コンテキストグラフを使用
1クエリ
完全なキャンペーンコンテキスト、リンクされたIP、ドメイン、証明書、およびASNパターンは、アナリストが2番目のタブを開く前に解決されます。
新しいインジケータがキューに到達したときのSIEM駆動のワークフローの典型的な状況を以下に示します。
SOCアナリストは疑わしいIPに関連するアラートを受け取ります。彼らは脅威インテルフィードにピボットして評判を確認します。マッチなし。パッシブDNSをクエリして、関連するドメインを見つけます。次に、彼らは関連するインフラストラクチャの証明書の透明性を確認します。その後、WHOIS登録パターンを相互参照します。45分後、彼らは数か月間ステージングされている可能性があるキャンペーンの部分的な図を持っています。
SOCチームの66%は、彼らが受け取るアラートの量に対応できないと言っています。
SANS 2024 SOC調査
これは注意の問題ではありません。これはデータ品質の問題です。すべてのアラートが既に存在すべきコンテキストの手動再構築を必要とする場合、ボリュームはヘッドカウントに関係なく管理不可能になります。
IOCベースの調査がなぜあなたを取り残すのか
侵害のインジケータ(IOC)、既知の悪いIP、ハッシュ、およびドメインは、過去の活動の確認された証拠を表します。彼らはすでに武器化されているインフラストラクチャを記録し、ほとんどの場合、すでに使用されています。IOCが脅威フィードに入る時間までに、敵対者は移動しています。
IOCから調査することは、履歴を再構築することです。それはあなたに何が起こったかを教えます。それは準備されているものをあなたに教えません。
FIN7、Lazarus、Sapphire Sleetなどの高度な脅威アクターは、キャンペーンインフラストラクチャを数週間または数か月前に構築します。彼らはドメインを登録し、ホスティングを構成し、SSLの証明書を取得し、ターゲットに対して何かを向ける前に長くまで管理パターンを確立します。そのステージングフェーズは指紋を残します。侵害後の検出の周りに構築されたツールはそれを読むように設計されていません。
IOCはドキュメント
何がすでに起こったか。
侵害のインジケータが脅威フィードに入る時間までに、敵対者は移動しています。IOC、既知の悪いIP、ハッシュ、およびドメインは、過去の活動の確認された証拠を表します。彼らはあなたに何が起こったかを教えます。準備されているものではありません。
高度な脅威アクターは、キャンペーンインフラストラクチャを数週間または数か月前に構築します。そのステージングフェーズは行動の指紋を残します。侵害後の検出の周りに構築されたツールはそれを読むように設計されていません。
事前相関は出発点を変えます
先制的なサイバー防御はあなたのSIEMやEDRを置き換えません。それはあなたの調査が始まる場所を変えます。
Silent Push Context Graphは、グローバルインターネットデータセットを継続的にマップし、アクティブなDNSレコード、WHOIS登録履歴、SSL証明書データ、ASNパターン、およびスケールでのWebコンテンツ全体の関係を分析します。それはフィードではありません。それはIPv4/IPv6アドレス空間全体に対して継続的に実行され、.onionインフラストラクチャを含む自動相関エンジンです。
01
収集
パッシブではなくアクティブ
02
コンテキストの構築
生のデータではなく関係
03
IOFA®
具体的で、検証済みで、実用的
01
収集
パッシブではなくアクティブ
02
コンテキストの構築
生のデータではなく関係
03
IOFA®
具体的で、検証済みで、実用的
Context Graphが敵対者がキャンペーンを構築および運営する方法と一致する管理パターンを検出すると、それは将来の攻撃のインジケータ®(IOFA)を生成します。これらは確率スコアではありません。それらは既存のインフラストラクチャに関連付けられた確認済みシグナルであり、既知の脅威アクターの行動指紋と一致します。
SOCアナリストの場合、これはトリアージを「このIPは悪意がありますか?」から「このIPはどのキャンペーンに属し、すでに持っているインフラストラクチャの量はどのくらいですか?」に変更します。
人間とエージェント的なワークフロー向けに構築
セキュリティチームはもはやこれらのワークフローを介して人間のアナリストだけを実行していません。SIEMおよびSOARプラットフォーム内のエージェント的およびAI支援トリアージは、SOCチームがアラートボリュームをスケールで処理する方法がますます多くなっており、これらの自動化されたワークフローの品質は、それらにフィードするデータの品質に完全に依存します。
確率的なリスクスコアとノイズの多い脅威フィードは信頼できない自動化を作ります。エージェント的なワークフローがスコアではなく検証済みシグナルから推論している場合、偽陽性が生成され、チームが信頼できないアクションを実行し、最終的に無効化またはオーバーライドされます。Context Graphは、最初から機械で消費可能になるように設計されました。データの出所は明確です。APIは自動エンリッチメントとトリアージ用に特別に構築されています。IOFAは決定論的です:信頼区間ではなく検証済みのインフラストラクチャシグナル。
自動化されたトリアージを実行するSOCチームの場合、アラートはアナリストに到達する前に検証およびエンリッチされることを意味します。インシデントをスコープするためにエージェント的なワークフローを使用するIRチームの場合、単一のインジケータは手動ピボットなしで完全なインフラストラクチャマップに拡張します。自動化はより速く移動しますが、より重要なことに、それは正しく取得します。
セキュリティチーム全体でこれがどのように見えるか
SOCアナリスト
アラートトリアージ、根本的に変わりました。
アラートトリアージは根本的に変わります。IOFAはSIEMとSOARに直接フィードされるため、すべてのオブザーバブルはキャンペーンコンテキストで事前にエンリッチされた状態で到着します。以前は調査するのに4つのツールピボットが必要だったIPは、単一のクエリで解決します。アナリストはデータ収集ではなく決定に時間を費やします。
IRチーム
完全な爆発半径は即座に確立されます。
インフラストラクチャの図が既に存在する場合、インシデントのスコープはより速くなります。Context Graphはドメイン、IP、証明書、およびホスティングパターンを同じ敵対者の指紋にリンクするため、IRチームはアーティファクトから手動で再構築することなく、キャンペーンの完全な爆発半径を確立できます。インシデントは最初に正しくスコープが確立されるため、再開されることがなくなります。
CTIアナリスト
行動プロファイリング、反応的なルックアップではなく。
SPQLは行動プロファイリングではなく反応的なIOCルックアップを有効にします。既知の悪いインジケータをクエリする代わりに、アナリストは敵対者のインフラストラクチャの行動パラメータを定義し、武器化される前に一致するステージングアクティビティをサーフィンします。出力は、IOFAとしてSOCワークフローにフィードバックされ、インテリジェンス生産と運用対応の間のループを閉じます。
リードタイムの利点
フォーチュン500社のメディアおよびエンターテインメント企業への文書化された展開では、Silent Pushは平均検出リードタイム104日、中央値117日を提供しました。いくつかの場合、リードタイムは200日を超えました。FIN7、Lazarus、およびSapphire Sleetからの脅威は、同じインジケータが顧客のSIEMに浮上する前数か月、Silent Pushデータセットに表示されました。
そのリードタイムは、各チームが情報で何ができるかを変えます。SOCアナリストは低信頼度アラートを追うのではなく、検証済みのインフラストラクチャをトリアージします。IRチームは単一のアーティファクトではなく、完全なキャンペーンの図に対してインシデントをスコープします。CTIアナリストは侵害後の再構築ではなく、リアルタイムで敵対者の行動をプロファイルします。そして、確率スコアではなく決定論的シグナルが供給されるエージェント的なワークフローは、チームが支持できるアクションを実行します。
フォーチュン500社のケーススタディ
104
日平均
同じインジケータが顧客のSIEMに表示される前の平均検出リードタイム。
117
日中央値
展開で検出された確認された脅威アクターキャンペーン全体の中央リードタイム。
200+
日最大
記録された最長リードタイム、公開報告から約7か月前。
脅威から
FIN7 ·
Lazarus ·
Sapphire Sleet
顧客のSIEMまたはパブリックフィードに浮上する前の数ヶ月、Silent Pushに表示されました。
スタートラインを動かす
SIEM、SOAR、およびEDRは基本的なままです。質問はあなたがそれらにフィードするものです。事前相関、行動的にフィンガープリントされたインフラストラクチャデータは、すべてのトリアージ決定、すべてのスコープコール、すべてのインテリジェンス要件、およびダウンストリームのすべての自動化されたアクションの出発点を変えます。
あなたのチームはより速く働く必要がありません。彼らはそこから仕事をする以前のデータが必要です。
始める
プラットフォーム専門家の1人に相談して、Silent Pushがグローバルセキュリティチームが敵対的インフラストラクチャを中立化する方法をその周囲に到達する前に。
また、セキュリティプラクティショナーと脅威研究者にSilent Pushプラットフォームとデータセットへの入門的なアクセスを提供する無料のCommunity Editionも提供しています。
- SPQLとは何ですか?
Silent Push Query Language(SPQL)は、Silent PushのグローバルなIPv4/IPv6ウェブスキャン、DNSレコード、.onionサイトデータの独自データセットを分析するために構築された専門的なクエリ言語です。これにより、CTIアナリストは敵対者のインフラストラクチャをプロファイルし、ステージングアクティビティをサーフィンし、高度なデータベース知識を必要とすることなく自然な自由形式のクエリを使用してプロアクティブな検出を自動化する能力を与えます。
- 行動的なフィンガープリントはどのように機能しますか?
Silent Pushの行動的なフィンガープリントは、敵対者がインフラストラクチャをどのように構築および管理するかのユニークなプロフィールを構築するために200以上のパラメータをマップします。パラメータには、DNSレコードパターン、認証局データ、WHOIS登録動作、HTML構造シグネチャ、およびIP/ASN多様性およびネームサーバー変更頻度などのインフラストラクチャ分散メトリクスが含まれます。これらのプロファイルはキャンペーンで使用される前にステージングインフラストラクチャを識別します。
- IOFAフィードは既存のSIEMとSOARと統合できますか?
はい。IOFAフィードは、SIEM、SOAR、Threat Intelligence Platforms(TIP)と直接統合するように設計されています。それらはSilent Pushから既存のセキュリティスタックにエクスポートでき、生のIOCリストではなく検証済みの事前相関されたインテリジェンスを使用して自動化されたワークフローをエンリッチします。
- これは脅威インテリジェンスフィードとどのように異なりますか?
従来の脅威インテルフィードは既知の悪いインジケータ(既に使用されている確認済みの悪意のあるインフラストラクチャ)を提供します。IOFAは、武器化される前のステージングフェーズ中にインフラストラクチャをサーフィンします。違いはタイミングです。IOCは過去のアクティビティを記録します。IOFAは、まだそれをブロックする時間がある間に、将来の攻撃インフラストラクチャを識別します。
- Context Graphはエージェント的なセキュリティワークフローをサポートしていますか?
はい。Context Graphは、明確なデータ出所とAPIが自動エンリッチメントとトリアージのために構築された機械で消費可能になるように設計されています。IOFAは確率スコアではなく決定論的シグナルであるため、SIEM内およびSOARプラットフォーム内のエージェント的ワークフローに自動化されたアクションの信頼できる基礎を与え、偽陽性を減らし、すべてのダウンストリーム決定の信頼を増加させます。
翻訳元: https://www.silentpush.com/blog/cluster-adversary-infrastructure/
