サイバー脅威インテリジェンスは、サイバー攻撃に関連する情報を積極的に集め、分析することで防御に役立てることを指します。ゼロデイ脆弱性や標的型攻撃など予測の難しい攻撃が増え、既存のセキュリティツールだけでは防御が難しい昨今、注目される分野です。本書は、サイバー脅威インテリジェンスをセキュリティ対策に活用するための指南書です。インテリジェンスの基礎から、インテリジェンス駆動型のインシデント対応、将来に向けたプログラム構築までを解説しています。
インテリジェンス駆動型インシデントレスポンス
―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法
Scott J. Roberts、Rebekah Brown 著、石川 朝久 訳
- TOPICS
- Security
- 発行年月日
- 2018年12月
- PRINT LENGTH
- 280
- ISBN
- 978-4-87311-866-6
- 原書
- Intelligence-Driven Incident Response
- FORMAT
- Print PDF EPUB
目次
序文 はじめに 第1部 基礎編 1章 導入 1.1 インシデント対応のためのインテリジェンス 1.1.1 サイバー脅威インテリジェンスの歴史 1.1.2 現代のサイバー脅威インテリジェンス 1.1.3 今後の方向性 1.2 インテリジェンスのためのインシデント対応 1.3 インテリジェンス駆動型インシデント対応とは何か? 1.4 なぜインテリジェンス駆動型インシデント対応なのか? 1.4.1 Operation SMN 1.4.2 Operation Aurora 1.5 まとめ 2章 インテリジェンスの基礎 2.1 データとインテリジェンス 2.2 情報源と収集手法 2.3 プロセスモデル 2.3.1 OODAループ 2.3.2 インテリジェンスサイクル 2.3.3 インテリジェンスサイクルの利用 2.4 良いインテリジェンスの品質 2.5 インテリジェンスレベル 2.5.1 戦術的インテリジェンス(Tactical Intelligence) 2.5.2 運用インテリジェンス(Operational Intelligence) 2.5.3 戦略的インテリジェンス(Strategic Intelligence) 2.6 信頼度(Confidence Levels) 2.7 まとめ 3章 インシデント対応の基礎 3.1 インシデント対応サイクル 3.1.1 事前準備(Preparation) 3.1.2 特定(Identification) 3.1.3 封じ込め(Containment) 3.1.4 根絶(Eradication) 3.1.5 復旧(Recovery) 3.1.6 教訓(Lessons Learned) 3.2 キルチェーン 3.2.1 対象選定(Targeting) 3.2.2 偵察(Reconnaissance) 3.2.3 武器化(Weaponization) 3.2.4 配送(Delivery) 3.2.5 攻撃(Exploitation) 3.2.6 インストール(Installation) 3.2.7 コマンド&コントロール(C2:Command & Control) 3.2.8 目的の実行(Actions on Objective) 3.2.9 キルチェーンの事例 3.3 ダイヤモンドモデル 3.3.1 基本モデル(Basic Model) 3.3.2 モデルの拡張 3.4 アクティブ・ディフェンス 3.4.1 拒絶(Deny) 3.4.2 妨害(Disrupt) 3.4.3 低下(Degrade) 3.4.4 欺瞞(Deceive) 3.4.5 破壊(Destroy) 3.5 F3EAD 3.5.1 調査(Find) 3.5.2 決定(Fix) 3.5.3 完了(Finish) 3.5.4 活用(Exploit) 3.5.5 分析(Analyze) 3.5.6 配布(Disseminate) 3.5.7 F3EADの活用 3.6 正しいモデルを選択する 3.7 シナリオ:GLASS WIZARD 3.8 まとめ 第2部 実践・応用編 4章 調査フェーズ 4.1 攻撃者中心のターゲット選定アプローチ 4.1.1 既知の情報から分析を開始する 4.1.2 有用な調査情報 4.2 資産中心のターゲット選定アプローチ 4.2.1 資産中心のターゲット選定アプローチの活用 4.3 ニュース中心のターゲット選定アプローチ 4.4 第三者通知によるターゲット選定アプローチ 4.5 ターゲット選定の優先順位 4.5.1 ニーズの緊急性 4.5.2 過去のインシデント 4.5.3 重要度 4.6 ターゲット設定活動の管理 4.6.1 ハードリード(Hard Leads) 4.6.2 ソフトリード(Soft Leads) 4.6.3 関連するリードのグルーピング 4.6.4 リードの保存 4.7 インテリジェンス要求のプロセス 4.8 まとめ 5章 決定フェーズ 5.1 侵入検知 5.1.1 ネットワーク検知 5.1.2 システム検知 5.1.3 GLASS WIZARDへの応用 5.2 侵入調査 5.2.1 ネットワーク分析 5.2.2 ライブレスポンス 5.2.3 メモリ分析 5.2.4 ディスク分析 5.2.5 マルウェア解析 5.3 スコーピング 5.4 ハンティング 5.4.1 リードの開発 5.4.2 リードのテスト 5.5 まとめ 6章 完了フェーズ 6.1 完了フェーズ≠ハックバック 6.2 完了フェーズのステップ 6.2.1 緩和策(Mitigate) 6.2.2 修復策(Remediate) 6.2.3 再構築(Rearchitect) 6.3 行動を起こせ! 6.3.1 拒絶(Deny) 6.3.2 妨害(Disrupt) 6.3.3 低下(Degrade) 6.3.4 欺瞞(Deceive) 6.3.5 破壊(Destroy) 6.4 インシデントデータの整理 6.4.1 インシデント管理ツール 6.4.2 専用ツール 6.5 損害の評価 6.6 ライフサイクルの監視 6.7 まとめ 7章 活用フェーズ 7.1 何を活用するのか? 7.2 情報の収集 7.3 脅威インテリジェンスの保存 7.3.1 技術的情報のデータ標準とフォーマット 7.3.2 戦略的情報のデータ標準とフォーマット 7.3.3 情報の管理 7.3.4 脅威インテリジェンスプラットフォーム 7.4 まとめ 8章 分析フェーズ 8.1 分析技法の基礎 8.2 何を分析するのか? 8.3 分析の実施 8.3.1 データの充実化 8.3.2 仮説構築 8.3.3 主要な前提条件の評価 8.3.4 判断と結論 8.4 分析プロセスと方法論 8.4.1 構造化分析 8.4.2 ターゲット中心型分析 8.4.4 グラフ分析 8.4.5 「逆張り」テクニック 8.5 まとめ 8.4.3 ACH 9章 配布フェーズ 9.1 消費者の目的 9.2 消費者 9.2.1 経営層 9.2.2 社内技術者 9.2.3 社外技術者 9.2.4 消費者ペルソナの開発 9.3 作者 9.4 アクショナビリティ 9.5 執筆プロセス 9.5.1 計画 9.5.2 執筆 9.5.3 編集 9.6 報告書の形式 9.6.1 ショート形式 9.6.2 ロング形式 9.6.3 RFIプロセス 9.6.4 自動消費されるインテリジェンス 9.7 リズムの確立 9.7.1 配布 9.7.2 フィードバック 9.7.3 定期的な成果物 9.8 まとめ 第3部 発展編 10章 戦略的インテリジェンス 10.1 戦略的インテリジェンスとは? 10.1.1 ターゲットモデルの開発 10.2 戦略的インテリジェンスサイクル 10.2.1 戦略的要件の設定 10.2.2 情報収集フェーズ 10.2.3 分析フェーズ 10.2.4 配布 10.3 まとめ 11章 インテリジェンスプログラムの構築 11.1 準備はできましたか? 11.2 プログラムの計画 11.2.1 ステークホルダーの定義 11.2.2 目標の定義 11.2.3 成功基準の定義 11.2.4 要件と制約条件の特定 11.2.5 メトリクスの定義 11.3 ステークホルダーペルソナ 11.4 戦術ユースケース 11.4.1 SOCチームの支援 11.4.2 インジケータ管理 11.5 運用ユースケース 11.5.1 キャンペーンの追跡 11.6 戦略ユースケース 11.6.1 アーキテクチャ支援 11.6.2 リスク評価/戦略的な状況認識 11.7 トップダウンアプローチvs.ボトムアップアプローチ 11.8 インテリジェンスチームの採用 11.9 インテリジェンスプログラムの価値を示す 11.10 まとめ 付録A インテリジェンス成果物 A.1 ショート形式の成果物 A.1.1 IOCレポート:Hydraqインジケータ A.1.2 イベントサマリー:GLASS WIZARDの標的型フィッシングメール──レジュメ・キャンペーン A.1.3 標的パッケージ:GLASS WIZARD A.2 ロング形式の成果物:Hikitマルウェア A.2.1 サマリー A.2.2 簡易静的解析 A.2.3 簡易動的解析 A.2.4 検知 A.2.5 推奨対応策 A.2.6 関連するファイル A.3 GLASS WIZARDに関するRFIリクエスト A.4 GLASS WIZARDに関するRFIレスポンス 訳者あとがき 索引