脅威ハンティングって何だ？

私はこれまで、脅威ハンティングという言葉を何度も目や耳にしてきましたが、イマイチ何のことなのか理解できていませんでした。

この記事では脅威ハンティングとは一体何のこととなぜ必要なのかを整理してみたいと思います。以下は主な参考文献です。

Cyber Threat Intelligence: 9781119861744: Computer Science Books @ Amazon.com

私は脅威ハンティングとは、外部に有象無象に存在する脅威のうち、自社に関連が強いものを積極的に発掘して、被害に会う前に先回りして対策することと捉えています。

一般的な脅威インテリジェンスやハンティングのステージは下記のように表現できるのではないかと思います。各々のステージを掘り下げてみます。

1. 収集 -> 2. 分析 -> 3. 仮説立案 -> 4. 獲得

1.収集では、自社のプロファイル(例/活動地域・組織・資産)を元に、関連が強い脅威インテリジェンスのフィードを特定して、それらから定期的に脅威インテリジェンスを収集します。

2.分析では、収集した脅威インテリジェンスを分解して、攻撃者や組織が何を目的としてどんな攻撃を企てているのか細かく分析します。下記のフレームワークは攻撃を分析する世界標準と言えるかもしれません。

MITRE ATT&CK®

3.仮説立案では、分析結果を元に仮説を立てます。攻撃者や組織の共通する目的は、企業が実装しているセキュリティ対策を潜り抜けることです。多くの企業では、既に明らかになっている脅威に対する策は打ってあるため、既存の脅威にフォーカスしてもあまり意味はなく、仮説を立てて、どんな未知の脅威が自社にとって重要かを推測することが大切です。

4.獲得では、立てた仮説を元にSIEM等のセキュリティツールを利用して、未知なる脅威を獲得します。以下は次世代SIEMソリューションの例です。

Security Operations Platform Powered by AI I Anomali

仮説立案の例を挙げてみます。あくまで例につき、1-4のステージを繰り返し回して、仮説の精度を常に見直し改善することが重要ですね。

• 活動地域：日本国内、北米、韓国、台湾

• 業種：流通小売

• 脅威インテリジェンスの利用者：CISO〇〇氏、CIO〇〇氏、CFI〇〇氏

• 重要資産：顧客の個人情報、ソフトウェアのソースコード

• セキュリティ対策：EDR, Firewall, CSPM

• 自社に関連が強いと考えられる脅威に関する質問：韓国や台湾を含むアジア地域の企業を狙ったマルウェアは？、自社にとって最も重要な資産を扱うシステムにアクセスできるユーザは？、仮にインテリジェンスが発生した場合でも、提供し続けなければならないサービスは？

"未来は誰もしらないのでその時にならないとわからない"といった意見もあるかと思います。しかしながらその時には、多くの攻撃者や組織は既に自社に侵入していて、何らかの危害を加えていると予想されます。

嘘でも何でも良いので仮説を立てて、仮説を元に先回りして対策することが大切ですね。