脅威インテリジェンス専門ベンダーおススメ!IOCの分析に使える無償かつオープンソースな分析ツール Part 2:IOCを見つける場所

脅威インテリジェンス専門ベンダーおススメ!IOCの分析に使える無償かつオープンソースな分析ツール Part 2:IOCを見つける場所

 2020.02.07  株式会社ネットワークバリューコンポネンツ

オリジナルの記事はThreatSTOP社Ofir Ashman 氏が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/threat-exchanges-ioc-sharing

Part 1「なぜIOCを利用するべきなのか」はこちらから

IOC分析の第1歩は、分析するためのインジケーターをゲットすることです。アナリストのなかには、1つのソースにこだわりその時々で出てきたIOCを分析する人もいますし、ランサムウェアやLokibotのように特定の脅威の種類を求め様々なソースを参照する人もいます。

Threat exchangeと呼ばれる、脅威情報の交換とコラボレーションのためのオープンかつ自由なコミュニティは、IOCのソースに最適です。他のソースとなると、探すのが簡単ではありませんが、TwitterなどのSNSは新しいIOC情報を集めることができます。

Part 2の今回は、ThreatSTOPのセキュリティリサーチャーがオススメする、5つのIOCソースについてご紹介します。

① OTX (Open Threat Exchange)

AlienVault社のOTXは、かなり有名な脅威情報交換・分析ネットワークです。140か国14万人のセキュリティリサーチャー、専門家が参加し、日々1900万もの脅威の痕跡を共有しています。OTXはセキュリティに携わるだれもが、最新の脅威データ、傾向、技術についてアクティブにディスカッションし、調査し、検証し、共有することができます。

OTXのコミュニティでは、脅威データはPulseで報告されます。OTX Pulseは、脅威を形成する、もしくはネットワークデバイスやPCに対して攻撃をしかけるために利用されるアクションの一部になる、1つ以上のIOCによって成り立ちます。OTX Pulseは、脅威情報の信頼性、誰がその脅威を報告したのか、その他脅威調査の詳細情報を提供してくれます。

ThreatSTOP製品に関するお役立ち資料


OTX (Open Threat Exchange) 1
OTX (Open Threat Exchange) 2

② ThreatConnect Exchange

ThreatConnect(以下、TC) では、ユーザは脅威インテリジェンスに関してコラボレートし、業界や特定の脅威タイプや、特定のイベント、特定の脆弱性に関するコミュニティに入り、脅威インテリジェンスに関して協働します。様々なメンバーや情報ソースがあり、TCでは、IOCからファイルタイプ、敵対者、キャンペーン、攻撃された被害者や被害者資産まで、膨大な情報を閲覧、共有することができます。異なる要素の関連を示したり、複数検索や、フィルター機能もあります。
また、カスタムダッシュボードオプションも用意されており、最新の脅威のアップデートや特定の脅威、キャンペーンなどをフォローすることもできます。

③ MISP (Malware Information Sharing Platform)

MISP脅威情報共有プラットフォームは、標的型攻撃のIOCや脅威インテリジェンス、金融業界向けの詐欺情報、脆弱性や、対テロ活動の情報など、様々な情報を収集、共有、分析することができる、無料かつオープンなプラットフォームです。新しいデータが追加されると、MISPは即座に既に発見されている事象やIOCとの関係性を、相関分析エンジン等を利用して示してくれます。この相関分析は、各イベントの相関グラフのページで見ることができます。

MISP (Malware Information Sharing Platform) 1

MISP (Malware Information Sharing Platform) 2

④ IBM X-Force Exchange

IBM X-Force Exchangeは、クラウドベースの脅威インテリジェンス共有プラットフォームで、最新の世界的なセキュリティ脅威やについて調査したり、防御に利用できるインテリジェンスを集約したり、専門家と相談したり、他のユーザとのコラボレーションが即座に行えます。IBM X-Force Exchangeは、人力もしくは機械的に集めてきたインテリジェンスを持っており、その規模を活用して、新たな脅威に対してもキャッチアップ、先行することができます。
また、X-Force Exchange上では、それぞれのIOCに、背景などの情報も掲載されています。

IBM X-Force Exchange 1

IBM X-Force Exchange 2

⑤ Twitter

脅威インテリジェンスの共有プラットフォームではありませんが、Twitterもまたセキュリティの専門家にリーチできる場所です。何百ものセキュリティアナリスト、リサーチャーが日々、マルウェア亜種や攻撃ベクター、脆弱性などについての最新の調査結果をTwitter上で更改しています。これらの調査結果は大抵関係するIOCと一緒に公開されるので、最新のIOCを見つけるには宝の山となっています。

Twitter

まとめ:目的別に最適なソース

ここまでいくつかのソースをご紹介してきましたが、何をしたいかによって最適なツールは変わります。
ThreatSTOPが考える目的ごとの最適なソースは以下の通りです。

したいことが色々ある⇒IBM X-ForceもしくはOTX
IOCの情報をとにかく沢山集めたい⇒OTX、ThreatConnect
他では見つけられない、ユニークな情報が欲しい⇒Twitter、MISP

もし、これらの調査を自社で行うことが難しい、もしくは情報を精査することが難しい場合は、セキュリティの専門家が最新の脅威状況に合わせて分析、抽出した脅威インテリジェンスフィードを採用すべきです。

脅威インテリジェンスの専門ベンダー ThreatSTOP社では、セキュリティリサーチャーがIOCの収集、分析を行い精査した脅威インテリジェンスフィードを提供しています。様々なベンダーのファイアウォールやDNSサーバーで利用できるので、最新の脅威状況に合わせて防御力を高めることができます。

是非、こちらもご検討ください。

ThreatSTOP リーフレット

RECENT POST「コラム」の最新記事


脅威インテリジェンス専門ベンダーおススメ!IOCの分析に使える無償かつオープンソースな分析ツール Part 2:IOCを見つける場所
New Call-to-action

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事

TOPIC トピック一覧