Core Concepts
サイバー脅威インテリジェンスは単なる侵害指標以上のものであり、脅威モデリング、OSINT、HUMINTなど様々な活動を含む。しかし、その活動には危険性も伴うため、適切なオペレーションセキュリティが重要である。
Abstract
本記事では、サイバー脅威インテリジェンスについて詳しく説明しています。
まず、サイバー脅威インテリジェンスとは、「敵対者の意図、機会、および危害を加える能力の分析」であると定義されています。つまり、さまざまな脅威アクターやキャンペーンに関する情報を収集・分析する活動のことです。
具体的な脅威インテリジェンスの活動例として以下のようなものが挙げられています:
脅威モデリング: 組織固有の脅威を把握する
OSINT(オープンソース情報収集): インターネットを使って脅威アクターに関する情報を収集する
HUMINT(人的情報収集): 脅威グループ内部の情報源を活用する
侵害監視: フォーラムやハッキングコミュニティ、Telegramチャンネルなどを監視し、組織や顧客に関する情報漏洩を検知する
パペットマスター: 脅威アクターのふりをして、サイバー犯罪グループに潜入し情報を収集する
また、データ、情報、インテリジェンスの違いについても説明されています。
一方で、サイバー脅威インテリジェンスの活動には危険性も伴うため、適切なオペレーションセキュリティが重要であると指摘されています。VPNの使用、偽の身元情報の使用、ブラウザの設定変更など、様々な対策が必要とされます。
Stats
"この IPアドレスは、コマンド&コントロールに使用されている" - 情報
"この IPアドレスは、当社のインフラに対して機密文書の抽出を目的とした経済スパイ活動を行っていた" - インテリジェンス
Quotes
"脅威インテリジェンスは、侵害指標以上のものである"
"多くの犯罪組織がサイバー脅威アクターと関係しているため、適切なオペレーションセキュリティが重要である"