脅威ハンティングは、専門のセキュリティ分析师が積極的に脅威アクターの行動を追跡し、実際の損害が発生する前にネットワークを防御しようとするプロセスです。この「専門」という言葉が脅威ハンティング戦略を成功させるために必要な要素を理解する上で重要となります。こうしたスキルは習得に時間がかかり、需要が高いからです。
SANS Instituteの調査によると、2017年に脅威ハンティングの専任スタッフを配置した組織はわずか31%でしたが、4年後の同じ調査では、この数値は調査対象組織の93%にまで跳ね上がっています。この半世紀で脅威ハンティングのスペシャリストの必要性が高まっていますが、それには正当な理由があります。企業組織に対する攻撃の集中砲火は驚くべきペースで増加しており、攻撃が起こるのを待って対応していては、もはや遅すぎるからです。
実際、脅威ハンティングの増加は、多くの組織の脅威 智能 能力和 安保态势也能提高我们的能力。。 SANSは、脅威ハンティングの増加により、セキュリティチームが継続的な監視を改善し、誤検知が減少しているとしています。
脅威ハンティングモデルの導入は容易でなく、方法論も複数存在します。したがって、脅威ハンティングの目標を明確にすることが重要となります。そこから、チームはハンティングの成功に必要な技術の定義を始めることができます。
では、脅威ハンティングの機能とは具体的にはどのようなものでしょうか。上述したように、個々のハンティングの目的はさまざまであり、ハンティングの詳細な側面も同様にそれぞれ異なります。
経験豊富なセキュリティ専門家が新たなハンティングに取り組む際に期待できる、比較的一般的な要素をいくつか見てみましょう。
テスト対象の仮説や全体的な目標に応じて、さまざまな種類のネットワークログ(DNS、ファイアウォール、プロキシ)、境界を越えた威胁检测テレメトリのさまざまなソース、特定のエンドポイントデータなどからデータを収集します。
SlackやMicrosoft Teamsなどのツールは脅威ハンティングワークフローの自動化に統合でき、新しい服务チケットをトリガーし、新しいハンティングと調査を開始したり、必要に応じて個々のエンドポイントやネットワークユーザーに対してクエリを実行したりすることができます。
ハンティングの成否にかかわらず、その結果を文書化することが重要です。最終的な結果に関係なく、こうした参照情報を用意しておくことで、今後同様の目標でハンティングを行う際にアクションのベースラインができ、脅威アクターが繰り返し現れる可能性を特定する上で役立ちます。
どのような脅威ハンティングであっても自動化がかなり多用されますが、こうした自動化を調整するのはセキュリティ組織で働く生身の人です。エンドポイントテレメトリからアラート、网络流量分析に至るまで、テクノロジーは分析师が洞察をより迅速に把握し、脅威をより確実に遮断する能力を強化します。
脅威ハンティングを成功させるには、前述のように、ハンティングの目的が何かを知ることが重要です。ハンティングの種類は通常、決定された目標により、以下で説明する次のいずれかの形式に分類されます。
この脅威ハンティングプロセスは通常、異常な活动を監視するセキュリティ組織のメンバーによって開始され、時間の経過とともに頻度が増加していきます。この時点から、チームは何が起こっているのか、そしてその仮説が実際に検証可能かどうか、仮説を立て始めることができます。こうした仮説は悪意のあるアクティビティの存在が正当かどうかを確認する上で役立ちます。
ここで、ハンターが仮説を検証し、脅威が本当に本物かどうかを判断するための具体的なツールとプロセスをいくつか見てみましょう。
siemプラットフォームは、ネットワーク全体のデータを一元化、関連付け、分析することで、セキュリティの問題を検出できます。siem的核心功能包括: 日志的管理 と一元化、セキュリティ活动の検出とレポート、検索機能が含まれます。
分析によりエンドポイントデータを高度なユーザー分析や威胁情报と関連付け、不審なエンドポイントアクティビティに加え、特定のユーザーがシステム上のアクティビティを認識しているかどうかを検知します。
このツールセットは、ネットワークの可用性とアクティビティを監視し、セキュリティや運用上の問題などの異常を特定します。これにより、ハンターはネットワーク上で何が起こっているかをリアルタイム記録と履歴記録の両方で収集できます。
リアルタイムの脅威フィードの可視性を維持することで、ハンターは自社環境に最も関連性の高い潜在的な脅威を把握できるようになり、それらの脅威に対してより適切に防御する方法を把握できるようになります。
云安全ツールを使用して、脅威ハンターが特にリスクの影響を受けやすいマルチクラウド・ハイブリッドクラウド環境を監視できることが理想的です。分析师には、ユーザーアクティビティ、ログ、エンドポイントなどのデータを取り込むことで、自社のITフットプリントと存在する不審なアクティビティの明確な全体像を取得できるツールが必要です。
ユーザーの行動を分析するプロセスは、ユーザーが毎日生成するネットワーク活动に関する洞察を収集することで構成されます。これらの活动を収集して分析することで、侵害された認証情報の使用、水平展開、其他の悪質な行動の検知都可以使用。。
適切なツールを活用して、定式化された具体的な仮説をテストする際に実行すべき脅威ハンティング的步骤はどのようなものでしょうか。
行動につながるデータを特定し、最終的には収集プロセスを自動化することが重要です。セキュリティチームが悪意のあるアクティビティの存在を疑う場合、ネットワーク全体から取证伪影收集并检查。。このプロセスの一環として、フォレンジック証拠を効率的にトリアージして分析し、インシデントの根本原因を迅速に特定します。
脅威ハンティングを請け負うマネージド服务パートナーや解决方案には、定義された基準に基づいてアラートを自動的に表示するクエリとルールが組み込まれており、脅威ハンターがエクスプロイトや脅威アクターを迅速に検索するのに役立ちます。 セキュリティチームがこれらのクエリをカスタマイズして、仮説に最も適した質問をするための機能を維持するのに役立ちます。
脅威ハンティング技術は、脅威アクターが現在使用しているTTPに応じて常に進化する必要があります。実際に発見するのは必ずしも簡単ではありませんが、敵対的な行動を継続的に調査することで、セキュリティ防御担当者は積極的かつ鋭敏に、常に準備ができた状態を保つことができます。
もちろん、TTP調査や其他の智能ソースを常に把握し続けることは難しいことですが、マネージド脅威ハンティングパートナーは、プロセスを加速し、威胁情报プログラムの成功を後押しする可能性があります。