オリジナルの記事はThreatSTOP社Ofir Ashman 氏が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。https://blog.threatstop.com/free-open-source-ioc-analysis-tools-why-use-iocs
これから、複数回に分けて、脅威インテリジェンスの専門ベンダー ThreatSTOP社のセキュリティアナリストが行っているIOCの分析についてご紹介します。
関連するインジケーターを見つけ出し、分析を行い、証跡を集め、新しいIOCを見つけるまでの長い旅です。また、無料で使える、オープンソースでオススメの分析ツールと、ThreatSTOP社のアナリストの利用例をご紹介していきます。
それでは、まず第1回。
トピックは、そもそもどうしてIOCをセキュリティに活用するべきなのか、です。
IOC(Indicator of Compromise)とは何なのか
IOC(Indicator of Compromise: 攻撃の痕跡)とは、ホストシステムやネットワーク上の、攻撃の意思があるかもしれない行動を示す、フォレンジックデータの1部です。IPアドレスやドメイン、MD5ハッシュ、ファイル名などなどのIOCは、攻撃の種類や、システムへの影響などを知るうえで重要なヒントとなります。セキュリティアナリストやリサーチャーは、IOCを集め、攻撃のアクティビティの調査に利用したり、同じ脅威に関係するその他の痕跡を探したりします。
攻撃者のインフラを分析する
悪意の痕跡は様々な形でセキュリティアナリストのすぐそばまでやってきます。怪しいアクティビティ、いつもと違うアクティビティ、同僚のメールボックスで見つかった怪しいメールなど、様々なものから痕跡を見つけることができます。また精度の高いインジケーターは、脅威情報交換コミュニティなどの情報共有のプラットフォームや、セキュリティ専門家のTwitter投稿などからも見つけることができます。それぞれのインジケーターを様々なツールを利用して分析することで、攻撃者のインフラや脅威についてのより多くの情報を明らかにすることができます。
[SMART_CONTENT]
プロアクティブに既知の脅威をブロックするためにIOCを利用する
効果的だけれども高価かつ運用負荷の高いセキュリティ製品を検討する前に、まず自身に尋ねてみてください。
「既知の脅威からはしっかり守れていますか?」
Web上には様々な、パブリックかつ無償のIOCがあふれていますが、必ずしもその情報は脅威のブロックに利用されていません。セキュリティ強化を検討している方は、何段も飛ばして、技術的に高度なソリューションに飛びつきがちですが、自社に迫る脅威の大半を占める既知の脅威への対応がおざなりになっていないでしょうか。IPアドレスやドメインといったIOCを利用すれば、インバウンド、アウトバウンドそれぞれの、既知の攻撃のトラフィックをブロックし、攻撃を阻止、情報漏洩を阻止することができます。
公開されているインジケーターを集め、分析し、セキュリティソリューションの中に取り込み、既知の脅威を確実にブロックしましょう。
もし、その作業を自社で行うのが難しいのならば、これらのプロセスを自動化し、自社で既に保有しているセキュリティソリューション上で利用できる脅威インテリジェンスフィードを利用すべきです。
| 脅威インテリジェンスの専門ベンダー ThreatSTOP社では、IOCの収集、分析を行い、様々なベンダーのファイアウォールやDNSサーバーで利用できる脅威インテリジェンスフィードを提供しています。 攻撃の大半を占める既知の脅威を確実にブロックし、セキュリティレベルを上げ、運用負荷を下げるためにも、是非ご検討ください。 |
この記事に関するサービスのご紹介
セキュリティリサーチツール Check IOC
CSIRTやSOCメンバーが脅威IPアドレス及びドメインの情報を調べるリサーチツールとして情報提供します。STIX/TAXII形式での提供が可能です。
詳細はこちら
