脅威ハンティングとは

脅威ハンティングはサイバー脅威ハンティングとも呼ばれ、組織のネットワーク内で認識されることのなかった脅威、あるいは進行中の未修復の脅威を特定するための、積極的な取り組みを意味します。

A man sitting in front of his laptop against the evening window.

脅威ハンティングが重要な理由

脅威ハンティングは、脅威が非常に高度である場合に自動化されたサイバーセキュリティーを通り抜ける可能性があるという点で重要です。 自動化されたセキュリティー・ツールとTier1およびTier2セキュリティ・オペレーション・センター(SOC)のアナリストは、脅威の約80%に対処可能とされていますが、その他20%については懸念が残ります。 そしてその20%の脅威に、重大な損害を引き起こす可能性のある非常に高度な脅威が含まれている可能性は多分にあります。 そのような脅威は、十分な時間とリソースがあればいかなるネットワークにも侵入可能で、その後平均で最大280日間、検出を回避することができます。 効果的な脅威ハンティングは、脅威が侵入してから発見されるまでの時間を短縮し、攻撃者による被害規模を軽減することに役立ちます。

攻撃者は、発見されるまでに数週間、場合によっては数か月も潜伏していることが多々あります。 彼らは辛抱強くデータを吸い上げ、さらなるアクセスのロック解除のために十分な機密情報または認証情報を特定するまで待機し、重大なデータ侵害を引き起こす準備を整えます。 潜在的な脅威はどの程度の損害をもたらす可能性があるのでしょうか。 「データ侵害のコストに関するレポート 2020年」によると、データ侵害による損失は、1企業に対し平均約400万米ドルです。 そして、データ漏洩による弊害は数年も続く可能性があります。 システム障害の発生から対応するまでの時間が長いほど、組織の損失は増えることになります。


脅威ハンティングの仕組み

脅威ハンティング・プログラムの成功は、環境に関するデータの量と質の高さにかかっています。 つまり、組織はまず企業向けのセキュリティー・システムを導入し、データを収集する必要があり、 そこから収集した情報が、脅威ハンターに貴重な手がかりを提供するのです。

サイバー脅威ハンターは、自動化されたシステムを補完することで、企業のセキュリティに人的要素を加えます。 サイバー脅威ハンターとは、深刻な問題を引き起こす前に脅威を検索、記録、監視、および無効にする、熟練したITセキュリティの専門家です。 彼らは社内の業務について詳しい、社内IT部門のセキュリティ・アナリストであることが望ましいのですが、外部のアナリストになる場合もあります。

脅威ハンティングの理論は、環境の未知なることについても検知可能にします。 脅威ハンティングは、 セキュリティ情報、イベント管理(SIEM)、エンドポイントの検出と対応(EDR)などの従来型の検出テクノロジーの能力を超えるものです。 脅威ハンターはセキュリティ・データを徹底的に調査します。 マルウェアや攻撃者が潜伏していないかを確認し、コンピューターが検知できなかった、あるいは未解決でありながら解決済みと判断されてしまった可能性のある疑わしいアクティビティのパターンを探し求めます。 そして企業のセキュリティ・システムにパッチも適用することで、同じ種類のサイバー攻撃の再発を防ぎます。


脅威ハンティングの種類

ハンティングはセキュリティー・データに基づいた仮説、またはトリガーによって開始されます。 仮説またはトリガーは、潜在的なリスクに対してより詳しい調査をしていくための出発点となります。 そのような詳細の調査の種類として、構造化ハンティング、非構造化ハンティング、状況ハンティングがあります。

構造化ハンティング

構造化されたハントは、攻撃の痕跡(IoA)と、攻撃者の戦術・戦法・手順(TTPs)に基づいて行われます。 すべてのハントは、脅威アクターのTTPsに従い、これに基づいて行われます。 そのため、ハンターは通常、攻撃者が環境に損害を与える前でも脅威アクターを特定可能です。 このハンティング・タイプでは、 MITER Adversary Tactics Techniques and Common Knowledge(ATT&CK)フレームワーク (ibm.comの外部リンク)、具体的にはPRE-ATT&CKとATT&CK Enterpriseの両方のフレームワークが使用されます。

非構造化ハンティング

構造化されていないハントは、多くの侵入の痕跡(IoC)の1つであるトリガーに基づいて開始されます。 このトリガーは、ハンターに事前または事後検出パターンを探すよう頻繁に合図を送ります。 それらの取り組みを進めながら、ハンターはデータの保有期間内の、すべての履歴データ、および以前に発生した関連のありそうな攻撃に目を通すことができます。

状況またはエンティティー駆動型

状況仮説は、企業の内部リスク・アセスメント、またはそのIT環境に固有の傾向や脆弱性の分析を基にして立てられます。 エンティティー指向のリードは、レビュー時の最新のサイバー脅威の最新のTTPsを公開しているクラウド・ソースの攻撃データを基にしています。 これにより、脅威ハンターは環境内でこれらの具体的な行動を探すことができます。


ハンティング・モデル

インテリジェンス・ベースのハンティング

インテリジェンス・ベースのハンティングとは、脅威インテリジェンスのソースからのIoCを使用する、事後対応型の  ハンティング・モデル  (ibm.comの外部リンク)  です。 その後、ハントはSIEMと脅威インテリジェンスによって確立された事前定義されたルールに従います。

インテリジェンス・ベースのハントでは、IoC、ハッシュ値、IPアドレス、ドメイン名、ネットワーク、またはコンピューター緊急対応チーム(CERT)などのインテリジェンス共有プラットフォームによって提供されるホストの成果物を使用できます。 自動アラートは、これらのプラットフォームからエクスポートされ、脅威情報構造化記述形式(STIX) (ibm.comの外部リンク)および検知指標情報自動交換手順(TAXII)(ibm.comの外部リンク)としてSIEMに入力されます。 IoCを基にしてSIEMによってアラートが生成されると、脅威ハンターはアラート前後の悪意のあるアクティビティーを調査して、環境内にセキュリティー障害があれば特定できます。

仮説ハンティング

仮説ハンティングとは、脅威ハンティング・ライブラリーを使用する事前対応型のハンティング・モデルです。 このハンティングでは、MITRE ATT&CKフレームワークの手法に従い、グローバルな検出用プレイブックを使用して高度で永続的な脅威グループやマルウェア攻撃を特定します。

仮説ベースのハントでは、攻撃者のIoAとTTPsが使用されます。 ハンターは、MITREフレームワークに従って仮説を作成するために採用された環境、ドメイン、攻撃行動に基づいて脅威アクターを特定します。 いったん行動が特定されると、脅威ハンターはアクティビティーのパターンをモニターして、脅威を検出・特定・隔離します。 この方法では、ハンターは、脅威アクターが環境に損害を与える前にこの脅威アクターを検出できます。

カスタム・ハンティング

カスタム・ハンティングは、状況認識と業界ベースのハンティング手法に基づいています。 カスタム・ハンティングでは、SIEMとEDRのツール内で異常を特定します。

カスタム・ハント、すなわち状況ハントは、お客様の要件に基づいて行われます。つまり、このハントは地政学的な課題や標的型攻撃などの状況に応じてプロアクティブに実行されます。 カスタム・ハンティング・アクティビティーでは、IoAとIoCの両方の情報を使用して、インテリジェンス・ベースと仮説ベースの両方のハンティング・モデルを併用できます。


脅威ハンティング・ツール

ハンターは、ハントの基礎として、MDR、SIEM、セキュリティー分析ツールのデータを使用します。 また、パッカー・アナライザーなどの他のツールを使用して、ネットワーク・ベースのハントを実行することもできます。 ただし、SIEMやMDRのツールを使用するには、環境内の重要な情報源とツールがすべて統合されている必要があります。 この統合により、複数のIoAとIoCの手がかりからハンティングに十分な情報が提供されます。


脅威ハンティングと脅威インテリジェンスの違いとは

脅威インテリジェンスとは、通常機械学習とAIを備えた自動セキュリティー・システムによって収集・分析された、未遂と成功した侵入に関するデータ・セットのことです。

脅威ハンティングではこのインテリジェンスを使用して、システム全体で悪いアクターを徹底的に探します。 言い換えると、脅威インテリジェンスが完了した時点で脅威ハンティングが開始されます。 さらに、優れた脅威ハントでは、まだ出回っていない脅威も特定できます。

また、脅威ハンティングでは、脅威指標をハントの手がかり、または仮説として使用します。 脅威指標には、マルウェアまたは攻撃者が残した仮想指紋、見慣れないIPアドレス、フィシング・メール、異常なネットワーク・トラフィックなどがあります。


関連するソリューション

サイバー脅威ハンティング

検出率を大幅に向上させ、脅威の検出、調査、修復にかかる時間を短縮します。 独自のサイバー脅威ハンティング・プログラムを開始する方法をご覧ください。


検出と対応の管理

IBM Security Managed Detection and Response(MDR)は、すぐに使用可能な、24時間365日脅威の予防、検出、対応を可能にする機能を提供します。 IBMのプロアクティブな脅威ハンターは、お客様と連携して、お客様の重要な資産と重大な懸念を特定します。


セキュリティー情報とイベント管理(SIEM)

SIEMの基盤を構築して、時代の移り変わりとともに増強できる包括的なプログラムを開発できます。 IBM Securityにより、内部関係者による脅威の特定、エンドポイント・デバイスの追跡、クラウドの保護、コンプライアンスの管理を実現できます。


セキュリティーのオーケストレーション、自動化、対応(SOAR)

脅威検出は、セキュリティーの方程式のたった半分にすぎません。 セキュリティー・オペレーション・センター(SOC)を改善するには、スマートなインシデント対応,統合された単一のSecurity Orchestration, Automation and Response (SOAR)プラットフォーム、マネージド・サービスを検討する必要があります。


攻撃的なセキュリティー・サービス

X-Force® Redによって、最も重大な既知および未知の脆弱性を見つけて修復できます。 ベテラン・ハッカーで構成されるこの自律的なチームはIBMと連携して、お客様のセキュリティーをテストし、犯罪者である攻撃者が個人的利益のために使用する可能性のある弱点を明らかにします。



参考情報