DNS脅威インテリジェンスの独自性

サイバーセキュリティはすべての規模の組織にとって最重要の懸念事項となっています。そして、堅牢なサイバーセキュリティ戦略の中心には、脅威インテリジェンスがあります。脅威インテリジェンスは、セキュリティに対する潜在的な脅威に関する情報の収集と分析した結果を、組織にとって重要なリソースやデータを保護しようとするサイバー脅威を特定し、防御体制を作るために使用されます。
 
本ブログでは、脅威インテリジェンスの中でも弊社が提供している”DNS脅威インテリジェンス”の独自性について深掘りしてご案内します。

脅威インテリジェンスとは

 脅威インテリジェンスは、単に生のデータを収集するだけではなく、さまざまなソースから新興または既存の脅威アクターや脅威に関する情報を収集する体系を含みます。

これらデータは、脅威がどのように振る舞い、どのようなシステムをターゲットにし、どのような手口を使用するかについて具体的な情報を含む脅威インテリジェンスフィードとサマリーレポートを生成するためのミソになっています。

そのため、繰り返しになりますが、脅威インテリジェンスは、組織がセキュリティ戦略についての情報に基づいた対策を大きく影響を与えます。たとえば、自分の業界を最もターゲットにする可能性のある攻撃の種類を知ることで、組織は防御を優先順位を決めることができます。同様に、脅威アクターが使用する戦術、技術、手順（TTP）を理解することで、一旦侵入が検知された時にリソース配置や緩和策を事前に計画することにも役に立ちます。

脅威インテリジェンスにおけるDNSの役割

 ドメインネームシステム（DNS）は、脅威インテリジェンスにおいて重要な役割を果たしています。DNSは、インターネットの電話帳であり、人間が理解しやすいウェブサイト名をマシンが理解できるIPアドレスに変換します。脅威アクターが攻撃を開始するためにIPアドレスを使用できるのと同様に、DNSも悪用することができます。
 
DNSはインターネットインフラの欠かせない部分です。ユーザーがウェブサイトを訪れたり、メールを送信したり、リモートサーバーに接続したりするたびに、DNSクエリが作成されます。これにより、DNSは脅威インテリジェンスのための豊富なデータソースとなります。DNSトラフィックを監視し、分析することで、組織は継続的な脅威エキスポージャを管理しやすくなります。

DNS脅威インテリジェンスとは

DNS脅威インテリジェンスは、他のタイプの脅威インテリジェンスとは異なり、DNSトラフィックをデータのソースとして使用します。DNSリクエストを監視することで、組織は自分のネットワークが既知の悪意のあるドメインや怪しいサイトと通信しているかどうかを特定でき、脅威の全体図を可視化できます。
 
DNS脅威インテリジェンスは、貴重な洞察を提供します。たとえば、組織のネットワークが既知のフィッシングキャンペーンに関連付けられたドメインにDNSリクエストを行っている場合、これはネットワークが侵害されていることを示す可能性があります。

同様に、未知の新しいドメーンへのDNSリクエストが急に増えた場合、これはマルウェアが攻撃者のコマンド＆コントロール（C2）インフラストラクチャに接続を試みていることを示す可能性があります。
 
実際、2021年にアメリカの国家安全保障局（NSA）が行った研究では、DNS脅威インテリジェンスが、マルウェアを積極的に無効化することで、脅威の92％を防ぐ可能性があると結論付けられました。

“DNS would reduce the ability for 92% of malware attacks both from command and control perspective, deploying malware on a given network.”

米国国家安全保障局（NSA）

Anne Neuberger on NSA’s Secure DNS Pilot ProgramAnne Neuberger on NSA’s Secure DNS Pilot Program

これは、マルウェアの配布と侵入後のC2接続の観点から見た結果です。

 

DNS脅威インテリジェンスが
他の脅威インテリジェンスと異なる理由

DNS脅威インテリジェンスは、組織のネットワークインフラストラクチャの基本的なコンポーネントであるDNSトラフィックの分析に焦点を当てているため、インフラストラクチャ中心と見なされます。DNSリクエストと応答を分析することで、組織は悪意のあるドメーンを特定、異常を検出、潜在的な脅威を発見することができます。

この方法の重要性がまだまだ浸透されていませんが、このアプローチにより、組織は悪意のあるドメーンとの通信をブロックすることで、自身のインフラストラクチャを積極的に防御し、攻撃が発生する前に疑わしい活動を遮断します。本質的に、DNS脅威インテリジェンスは、攻撃者が利用するインフラストラクチャに焦点を当てて、組織のセキュリティ姿勢を強化するための事前犯罪警告と早期検出の能力を備えます。
 
一方、セキュリティ業界の99％の基盤としているのがマルウェアに焦点を当てています。これには、ウイルス、ワーム、トロイの木馬、ランサムウェア、および他の種類のマルウェアが含まれます。マルウェア中心の脅威インテリジェンスの目的は、マルウェアの動作方法を理解し、それをどのように検出し、中和するかを理解することです。
 
両方のタイプの脅威インテリジェンスは価値がありますが、マルウェア中心の脅威インテリジェンスの研究者は、攻撃が少なくとも一度発生してから、被害者の環境から調査を行い、マルウェアを解析、その攻撃手法を理解してから、やっと検知するためのシグネチャーを作ることができるようになります。

これらの分析の結果は、攻撃（ステージ4）以降のサイバーキルチェーンの後期段階での緩和策として使用できます。ただし、キャンペーンの開始から脅威カテゴリデータ（IOC）とアドバイザリーのリリース時期は通常、数週間から数ヶ月にかかり、公開されるまで犯行者を自由にさせるしかできません。

インフラストラクチャ中心の脅威インテリジェンスのメリット 

その代わりに、インフラストラクチャ中心の脅威インテリジェンスの研究者は、全球的に収集されたパッシブDNSデータの統計分析を行い、AI分析で使用されるアルゴリズムを作成します。彼らは新しく登録されたドメイン名、ネームサーバーの場所、これらの新しいドメインがホストされている場所、新しいドメインの振る舞いに焦点を当てて、潜在的に悪意のある活動を検出します。

これらの分析は、攻撃の初期段階、つまり、サイバーキルチェインの脅威ステージにおいての武器化（ステージ2）および浸透（ステージ3）の段階では特に効果的です。

さらに、脅威アクターのコマンドセンターへの通信試行がDNS解決を必要とするため、インフラストラクチャ中心の脅威インテリジェンスは、ビーコン活動（ステージ4＆5）、コマンド＆コントロール（ステージ6）、持ち出し（ステージ7）などの攻撃の後期段階を停止するために、マルウェアベースの脅威インテリジェンスを補完することができます。

脅威アクターの戦術の変化を監視するための数学モデルを常に調整することで、インフラベースの脅威インテリジェンスの研究者は、現在、ドメインのリスク性を高い信頼度で予測することができます。
 
まとめますと、DNS脅威インテリジェンスは、他のタイプの脅威インテリジェンスに比べていくつかの利点があります：
 

1. プロアクティブ：他の形式の脅威インテリジェンスがしばしば反応的であるのに対し、DNS脅威インテリジェンスは、セキュリティに対するプロアクティブなアプローチを提供します。
   DNSトラフィックを監視することで、悪意のあるドメインへのリクエストを接続が確立する前にブロックすることが可能です。この方法の効率は、他の検出サービスと比較しても比類のないものです。
   
   

2.  高精度：リアルタイムの脅威インテリジェンスフィードを使用することで、DNS脅威インテリジェンスは、悪意のあるドメインに関する非常に正確な情報を提供することができます。
   これは、AIが24時間365日対応可能なクラウドスケールのデータ分析能力によって強化されます。これにより、組織は脅威に対してより迅速かつ効果的に対応することができます。
   
   

3.  低オーバーヘッド：DNS脅威インテリジェンスは既存のDNSトラフィックを使用するため、追加のリソースを必要とせず、ネットワークに負荷をかけることもありません。
   このような多層防御の展開は、ネットワークアーキテクチャを変更する必要がないため、すべての規模の組織にとってコスト効果的なソリューションとなります。

結論

サイバー脅威の進化が絶えない中、DNS脅威インテリジェンスは、潜在的な脅威を特定し、予測し、軽減するための迅速で効率的で効果的な方法を提供します。
DNSの力を活用することで、組織にとって重要なリソースやデータを保護し、セキュリティ衛生面を高いレベルを維持するのに役に立ちます。

インフラストラクチャ中心とマルウェア中心の両方の脅威インテリジェンスはそれぞれ異なる視点から生成され、貴重な価値を持ちます。
DNSのようなインフラストラクチャ中心の脅威インテリジェンスは、組織が新しいキャンペーンを展開するためのインフラストラクチャへのアクセスを許可するリスクを理解させてもらえます。
一方で、マルウェア中心の脅威インテリジェンスは、組織が脆弱である可能性のある戦術と技術を理解するのに役立ちます。

包括的な脅威インテリジェンス戦略には、これら両方のタイプのインテリジェンスから提供される情報が欠かせないと考えられます。

DNS脅威インテリジェンスのエキスパートと話しをしませんか？

2024年7月24日（水）～26日（金）開催のガートナー セキュリティ & リスク・マネジメント サミット への参加をご検討中でしょうか。
本サミットに、弊社 Infoblox は出展企業として参加いたします。

会場内にて、本社 主席セキュリティ・ストラテジスト との1 on 1 ミーティング（通訳付き）をご用意しております。ご興味ありましたら、事前予約をお願いします。