2025年1月7日
脅威ハンティングは、サイバー脅威ハンティングとも呼ばれ、組織のネットワーク内でこれまで未知であった、または現在進行中のサイバー脅威を特定するためのプロアクティブなアプローチです。
脅威ハンティングが重要な理由
脅威ハンティングが重要なのは、組織が、気付かれない可能性のあるランサムウェア、内部脅威、その他のサイバー攻撃に対するセキュリティー態勢を強化するのに役立つためです。
自動化されたセキュリティー・ツールと用心深いセキュリティー・オペレーション・センター(SOC)・アナリストは、重大な被害が発生する前にほとんどのサイバーセキュリティーの脅威を検知できますが、一部の高度な脅威はこれらの防御をすり抜ける可能性があります。
悪意のある人物がシステムに侵入すると、発見されるまでに数週間、あるいは数カ月も潜伏することがあります。IBMのデータ侵害のコストに関するレポートによると、データ侵害が発生したことを特定するには平均194日かかることが明らかになっています。その間、攻撃者はデータを抜き取り、認証情報を盗んでさらなるアクセスのロックを解除します。
これらの潜在的な脅威は、どの程度の損害をもたらす可能性があるでしょうか。データ侵害のコストに関するレポートによると、平均的な侵害のコストは1社あたり488万ドルとなっています。最初のアクセスから封じ込めまでの時間が長ければ長いほど、組織にかかるコストは増大する可能性があります。
効果的な脅威ハンティングには、セキュリティー・チームがこれらの隠れた脅威を積極的に探すことが含まれます。その結果、組織は侵入をより迅速に発見し、軽減策を展開できるため、攻撃者がもたらす損害を軽減できます。
The DX Leaders
「The DX Leaders」は日本語でお届けするニュースレターです。AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。
サイバー脅威ハンターは、熟練したサイバーセキュリティーの専門家です。通常は、企業のIT部門に所属し、組織の業務に精通しているセキュリティー・アナリストですが、社外のアナリストである場合もあります。脅威ハンティング・チームは、セキュリティー自動化を使用して、脅威が深刻な問題を引き起こす前に、脅威を検索、記録、監視、無効化します。
脅威ハンティング・プログラムはデータ、具体的には組織の脅威検知システムやその他のエンタープライズ・セキュリティー・ソリューションによって収集されたデータセットに基づいています。
脅威ハンティングのプロセスでは、脅威ハンターがこのセキュリティー・データを徹底的に調べ、隠れたマルウェア、ステルス攻撃者、および自動化システムが見逃した可能性のあるその他の疑わしいアクティビティーの兆候を探します。
脅威ハンターは何かを発見すると、すぐに行動を起こし、脅威を根絶し、防御を強化して、同じことが再び起こらないようにします。
IBMお客様事例
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
脅威ハンターは、観察、セキュリティー・データ、またはその他のトリガーに基づいて仮説を立てます。仮説は、潜在的な脅威をより詳細に調査するための出発点となります。
調査は通常、構造化されたハンティング、非構造化されたハンティング、または状況に応じたハンティングの3つの形式のいずれかで行われます。
MITREの敵対的戦術、技法、共通知識(ATT&CK)フレームワークなどの正式なフレームワークは、構造化されたハンティングをガイドします。これらのフレームワークでは、定義済みの攻撃の指標(IoA)と、既知の脅威アクターの戦術、技法、手順(TTP)を検索します。
非構造化ハンティングは、構造化ハントよりも反応的です。多くの場合、組織のシステムで侵入の兆候(IoC)が発見されたことがきっかけで開始されます。その後、ハンターはIoCの原因と、それがネットワーク内にまだ残っているかどうかを探します。
状況別ハンティングは、組織の固有の状況への対応です。通常、これは内部のリスク評価または IT 環境の傾向と脆弱性の分析の結果によって推進されます。
エンティティー別ハンティングは、ネットワーク内の重要な資産とシステムに特に焦点を当てています。脅威ハンターは、これらのエンティティーにリスクをもたらす可能性のあるサイバー脅威を特定し、進行中の侵害の兆候を探します。
インテリジェンス・ベースのハンティング
インテリジェンス・ベースのハンティングは、脅威インテリジェンス・ソースからのIoCに基づいています。脅威ハンターは、セキュリティー情報およびイベント管理(SIEM)システムなどのツールを使用して、ハッシュ値、IPアドレス、ドメイン名、ホスト・アーティファクトなどの既知のIoCを監視します。IoCが発見されると、ハンターはアラートの前後のネットワークの状態を調べて、潜在的な悪意のあるアクティビティーを調査します。
仮説ベース・ハンティング
仮説ベース・ハンティングは、MITRE ATT&CKなどのフレームワークに記録されている既知のIoAに基づいて行われます。仮説ベースのハンティングでは、攻撃者が特定のTTPを使用して特定のネットワークにアクセスできるかどうかを調査します。動作が特定されると、脅威ハンターはアクティビティー・パターンを監視して、その動作を使用する脅威を検知、識別、隔離できます。
仮説ベースのハンティングはプロアクティブな性質を持っているため、広範囲に及ぶ被害が発生する前に、高度な持続的脅威(APT)を特定して阻止するのに役立ちます。
カスタム・ハンティング
カスタム・ハンティングは、組織の状況(過去のセキュリティー・インシデント、地政学的問題、標的型攻撃、セキュリティー・システムからのアラートなど)に基づいています。カスタム・ハンティングでは、インテリジェンス・ベースと仮説ベースのハンティング手法の特性を組み合わせることができます。
セキュリティー・チームは、脅威ハンティングを支援するためにさまざまなツールを使用します。最も一般的なツールには次のものがあります。
セキュリティー情報およびイベント管理(SIEM)
SIEMは、ビジネス・オペレーションに支障をきたす前に、組織が脅威や脆弱性を認識して対処するのに役立つセキュリティー・ソリューションです。SIEMは、攻撃を早期に検知し、脅威ハンターが調査しなければならない誤検知の数を減らすのに役立ちます。
エンドポイントの検知と対応(EDR)
EDRソフトウェアは、リアルタイム分析とAI駆動型自動化を使用して、従来のエンドポイント・セキュリティー・ツールを回避するサイバー脅威から組織のエンド・ユーザー、エンドポイント・デバイス、IT資産を保護します。
管理された検知と対応(MDR)
セキュリティー分析
脅威インテリジェンスは、「サイバー脅威インテリジェンス」とも呼ばれ、組織がサイバーセキュリティーの脅威を防止し、戦うために使用できる詳細で実行可能な情報です。
脅威インテリジェンスは、ネットワークを標的とした最新の脅威と、より広い脅威のランドスケープに関する洞察を組織に提供します。
脅威ハンターは、脅威インテリジェンスを使用して、システム全体にわたって悪意のある行為者を徹底的に検索します。つまり、脅威ハンティングは、脅威インテリジェンスの終了点から始まります。脅威ハンティングは、脅威インテリジェンスの洞察を、既存の脅威を根絶し、将来の攻撃を防ぐために必要な具体的なアクションに変換します。
参考情報
X-Force Cloud Threat Landscape Reportで、最新の脅威を把握しクラウド防御を強化します。
生成AIをサイバーセキュリティで活用する際の課題を切り抜け、そのレジリエンスを活かす方法を学びましょう。
IBM X-Forceのハッカー、レスポンダー、研究者、アナリストで構成される脅威対応チームが、世界中の脅威から組織を保護します。
IBM X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。