2020/11/06

【転載】サイバーな方のインテリジェンスをやっているorやろうとしてる人に読んでもらいたい記事のメモ


サイバーな方のインテリジェンスをやっているorやろうとしてる人に読んでもらいたい記事のメモ OPSEC for hackers <- これは実質聖書 slideshare.net/grugq/opsec-fo… Threat Intelligence: My opinion on what it is and isn't linkedin.com/pulse/threat-i…: サイバーな方のインテリジェンスをやっているorやろうとしてる人に読んでもらいたい記事のメモ

OPSEC for hackers <- これは実質聖書

slideshare.net/grugq/opsec-fo…

バックアップ

--

Threat Intelligence: My opinion on what it is and isn't

linkedin.com/pulse/threat-i…

(以下機械翻訳)

脅威インテリジェンスに関しては、多くの組織がそれを行っていると主張しています。この投稿では、脅威インテリジェンスとは何か、脅威インテリジェンスではないものについての私の意見を取り上げます。脅威インテリジェンスではないものから始めましょう:
  • ブランドの監視、または私がクラウド(他の誰かのコンピューター)でのインシデント対応と呼んでいるもの。これは、組織に類似した偽のドメイン、App Storeの偽のアプリ、Playストア、偽のソーシャルメディアプロファイルを探しています。脅威インテリジェンスチームがこれを任務に持っている場合(私の意見では、ブランド保護チームのような別のチームがこれを処理する必要があります)、真の脅威インテリジェンス機能になる時間がない可能性があります。
  • 侵害された資格情報またはクレジットカード。上記のように。
  • 自動ブロックと検出のために、インジケーターまたは侵入の痕跡(IOC)またはシグニチャを環境に取り込む。行うのは良いことですが、脅威インテリジェンスではありません。
それでは、「脅威インテリジェンス」という用語を見て、それを定義しましょう。脅威はマルウェアではありません。脅威はマルウェアを使用している人です。この人または潜在的にグループには、動機、目標、およびTTP(戦術、技術、および手順)があります。脅威インテリジェンスとは、人やグループを追跡/調査することです。

インテリジェンスの定義。インテリジェンスは長い間存在しており、インテリジェンスの収集またはスパイは売春に次いで2番目に古い職業であると言われています。インテリジェンスは、インテリジェンスサイクルと呼ばれるプロセスの出力です。このサイクルは次のとおりです。要件->収集->処理->分析->配布。その後、プロセスは要件段階で再開されます。このプロセスの出力(インテリジェンスの顧客または利害関係者に配布されるもの)はインテリジェンスであり、コンピューターではなく人によって行われます。

要件段階では、ここでインテリジェンスプログラムの優先順位が設定されます。その前に、インテリジェンスの顧客または利害関係者がインテリジェンスチームのメンバーであるかどうかを特定する必要があります。米国政府では、情報消費者の第1位は大統領府です。商用スペースには、CISO /エグゼクティブ(脅威インテリジェンスチームの第1の顧客である必要があります)、セキュリティオペレーションセンター(SOC)、インシデント対応、サードパーティのリスク、脆弱性管理(パッチの優先順位付けを可能にする)など、従来のインテリジェンスの顧客プロファイルが多数あります。 、レッドチーム、ハントと詐欺(銀行の場合)が他にもあります。これは、潜在的なインテリジェンスの顧客/利害関係者のタイプすべてではありませんが、最も一般的なタイプです。インテリジェンスの顧客を特定したら、次に、顧客と協力して、顧客のインテリジェンス要件/ニーズを理解し、優先順位を付ける必要があります。これは難しいプロセスです(ほとんどの人はインテリジェンス機能を使用する方法や優れたインテリジェンスの顧客になる方法を知りません)が、これの最終結果は組織の優先インテリジェンス要件またはPIRです。PIRの開発については、下部にあるリンクを参照してください。

PIRを文書化したら、利害関係者のインテリジェンスのニーズに答えるのに役立つもの/データを観察できる可能性のある場所を確認できます。典型的なソースは、内部テレメトリ(ネットワーク全体で起こっていること、以前のインシデントなど)、オープンソース(Pastebin、ソーシャルメディア、ニュース記事など)、クローズドソース(犯罪者の地下または「ディープアンドダークウェブ」ですが、情熱を持ってその用語は嫌いですが、犯罪者との直接的なオンラインエンゲージメント)、あなたのセクターの他の組織との共有(直接またはISACを介したものなど)など。これは、研究者またはインテリジェンスコレクターがインテリジェンスプロセス内に位置する場所です。

たくさんのコレクションを入手したら、なんとかして処理する必要があります。多くの組織(多くのソースがある)は、脅威インテリジェンスプラットフォーム(TIP)または分析プラットフォームを使用してこれを管理しています。

次に、インテリジェンスサイクルの分析部分があります。これは、人々が収集されたものと、それが何が起こったのか、推定確率のレベル(可能性が高い、可能性が高い、可能性があるなど)を付けて将来起こりそうなことの全体像を形成するのにどのように役立つかを見る場所です。100%事実に基づくものを調べるために分析チームは必要ありません。次に、アナリストはさまざまなタイプのインテリジェンス製品を作成し(オーディエンスに基づいてさまざまなタイプのインテリジェンス製品、つまりCISOはセキュリティオペレーションセンターとは異なるインテリジェンスニーズと配信形式を持ちます)、適切な利害関係者に配布します。その後、フィードバックが受信され、それに基づいて、インテリジェンスサイクルがいくつかの追加要件で再開される可能性があります。

これにより、典型的なサイバー脅威インテリジェンスチーム内で次のような役割が与えられます。
  • インテリジェンスリーダーまたはマネージャー。彼らはプロセスをエンドツーエンドで担当します。関係者と協力してインテルのニーズを理解し、フィードバックを受け取り、チーム/機能を管理するなど。

  • 技術研究者/アナリスト。通常、インテリジェンスサイクルの収集部分に含まれますが、分析部分にも含まれる場合があります。技術的な消費者(SOC、ハント、IRなど)向けに技術データを収集したり、技術に焦点を当てたインテル製品を作成したりします。通常、TIP、統合などの技術ツールの実行/構成にも関与します。

  • 従来の情報アナリスト。通常、インテリジェンスサイクルの分析部分に含まれます。通常、経営幹部向けのインテル製品の作成、戦略的インテルタイプの製品、戦術的でない聴衆へのプレゼンテーションなど、より伝統的なインテリジェンス分析タスクに関与します。伝統的に、政府、法執行機関、諜報機関などでの経験があります。
私たちが書いた他のブログ(Intel 471)は、もっと読みたい人のために書いています。