サイバーセキュリティ情報:収集して反応するだけのシンプルなものではありません

ビッグデータは、大小様々な組織にとって大きな力となっています。ビッグデータは、組織内の独自の情報源として使用され、一般に公開された際に、人々の生活や社会をより良く変えるような商業的な利益を促進する可能性を秘めています。

サイバーセキュリティにおける脅威インテリジェンスはビッグデータの1つですが、その利用はデータの量と種類によって複雑になります。

米国と英国で調査された企業の86%が、
脅威インテリジェンスが「セキュリティミッションにとって有益」であると述べています。

 – Ponemon Institute、2017年9月

セキュリティ分析のためのデータは、データの正規化やフォルスポジティブの除去など、いくつかの特定のプロセスを実行する前に処理する必要があります。

データの正規化には、データの重複排除と.csv、JSON、PDF、Eメールなどの異なるフォーマットの取り込みが含まれます。このフォーマットの差異は、オープンソース、商用、および情報共有グループを含む脅威インテリジェンスソースに直接結びついています。

フォルスポジティブの除去は、より複雑なプロセスです。フォルスポジティブとは、最初は悪性のデータとしてフラグが立てられていますが、実際には良性のものです。

これは、複数のデータソースが組織のセキュリティ・インフラストラクチャに組み込まれ、識別に多大なアナリストの労働、人員を要するようになると、頻繁に発生する可能性があります。

機械学習アルゴリズムは、複雑な数学的解析を適用して悪性、良性評価の真偽を判断することにより、この問題を改善するのに役立ちます。

ビジネスソフトウェアベンダーは、製品の「リアルタイム」データを生成する能力を誇示することを好みます。これが実際に意味することは、情報がエンドユーザーへ迅速に提示されることです。

しかし、CISOの場合、「リアルタイム情報」は本当に対応が必要な情報をリアルタイムに取得する必要がありますこれは、今日、脅威インテリジェンスデータを形成する大量のデータを処理するために、重要なリソースを展開する必要があることを意味します。

一度正規化され管理されると、脅威データは次世代ファイアウォール、Webアプリケーションファイアウォール、侵入検知システム、エンドポイント保護システム、ネットワークトラフィック検査システムなどの様々なセキュリティソリューションと統合できます(分散データセンター・マイクロセグメンテーションシステムなど)。

脅威インテリジェンスデータを運用するためにリソースと労力が必要となるのにもかかわらず、組織は依然としてブランドと顧客を保護するために脅威インテリジェンスに投資することがよくあります。

最近のPonemon Instituteの調査によると、企業は脅威インテリジェンスをますます重要視するようになっています。米国と英国でアンケートした628人のうち86%は、脅威インテリジェンスが「セキュリティミッションにとって有益」であると回答し、その比率は前年の77%から増加しました。

それとほとんど同じ割合の人が、脅威インテリジェンスを「強力なセキュリティ実装に不可欠」と評価しています。回答者の半数以上は、脅威インテリジェンスを積極的に利用し(63%)、それはセキュリティオペレーションセンター(SOC)の決定を推進する重要な要素であるとも述べています。

しかし、脅威インテリジェンスの効果的な使用については、27%のみの回答者が自分達の組織に高い評価を与えました。そのような低評価を生み出した平均的なエンタープライズ・チーフ・セキュリティー・オフィサーにとっての障壁と弱点は何なのでしょうか?

導入が遅れている主な理由の1つは、脅威インテリジェンスの使用に関する専門知識が不足していることです。しかし、それはトレーニングや多数の専門家を採用することだけでは必ずしも解決できません。それどころか、脅威インテリジェンスはあまりにも膨大であり、実行するには複雑すぎると考えられています。

脅威インテリジェンスの処理と活動を支援し、管理するための様々なソリューションを提供する企業の1つにAnomaliがあります。

米国カリフォルニアに本社を置く同社は、 STAXX製品を通じて種々多様な無料データソースフィードを提供しています。あらゆるSTIX/TAXIIフィードが使用できますが、Anomaliチームは、Limoサービスの形で独自のフィードのコレクションも管理します。

有料版は、さまざまな脅威インテリジェンスのデータソース(プレミアム、ISAC/ISAO、FOSSなど)を効果的に集約するThreatStream®から始まり、潜在的なアクターやキャンペーンを特定し、その脅威にTTP(戦術、技術、手順)データを追加することができます。

ThreatStream®は、SIEM、ファイアウォール、侵入検知システム、エンドポイント保護システム、そして実用的なAPIを備えたシステムと統合されています。

情報を統合・合理化し、展開することにより、セキュリティ・オペレーションセンターは、実行可能な情報を取得するか、またはデータを既設のセキュリティデバイスへ自動的に連携するようにします。

Anomali Enterprise™ は、無制限のログとIOCを照合し、アラートを自動的に作成してこのツールセットに追加し、インジケータの一致をSIEMや他のシステムと連携します。

Anomaliユーザーは、「Trusted Circle」を通じて情報収集機能を拡張し、セキュアな環境における企業間データの共有にスムースに参加することができます。

Anomaliがあなたのサイバーセキュリティの取り組みにどのように利点をもたらすのかを学ぶために、今すぐ脅威インテリジェンスの専門家にご相談ください