サイト内の現在位置

SANS Cyber Threat Intelligence Summit 2020 参加報告

NECセキュリティブログ

2020年2月21日

はじめに

NECセキュリティ技術センターのTwo(ハンドルネーム)です。

私は2020年1月20日から1月27日にかけて、アメリカ合衆国バージニア州アーリントンで開催されたSANS Cyber Threat Intelligence Summit 2020(以下、CTI Summit)とSANSトレーニングの1つであるSEC504に参加いたしました。

CTI Summitは前半2日間で開催され、最新の脅威インテリジェンスの収集や分析、自動化方法などのプレゼンテーションが行われるサミットです。
後半6日間のトレーニングでは、デジタルフォレンジックやインシデントレスポンスに関連するセキュリティの専門スキルを学ぶことができます。

本記事ではCTI Summitの中から、下記2つの講演を紹介いたします。

  • The Threat Intelligence EASY Button
  • Automation: The Wonderful Wizard of CTI (Or Is It?)

The Threat Intelligence EASY Button

Netflix社のChris Cochran氏によるプレゼンテーションで、インテリジェンスサービスを「EASY Framework」という考え方で構築する方法を紹介するものでした。

EASY Frameworkでは、次のフローでインテリジェンスサービスを立ち上げていくことを提案しています。

  • Elicit Requirement
    • i.
      ステークホルダーにインテリジェンスの必要性を理解してもらい、信頼関係を築く。
    • ii.
      もしステークホルダーが必要性に理解を示さなかった場合には、共にインテリジェンスの要件定義をする機会を設ける。
  • Assess Collection
    • i.
      内部と外部の情報ソースを整理し、情報収集プランを設計/評価する。
    • ii.
      要件定義が変更になった場合は、情報収集プランを再度設計/評価する。
    • iii.
      評価には、メトリクスを利用して容易に実施できるようにする。
  • Strive For Impact
    • i.
      ステークホルダーの意思決定にインテリジェンスを活用する。
    • ii.
      インテリジェンスを活用したステークホルダーのアクションを記録/評価する。
  • Yield to Feedback
    • i.
      ステークホルダーのインテリジェンスサービスに対する意見をフィードバックする。
    • ii.
      意見の収集を容易にするためにメトリクスで評価する。

特に印象的だったのは、「Purple Team」という考え方でした。

攻撃サイドのRed Teamと防御サイドのBlue Teamの中間に位置して橋渡しを行うためにインテリジェンスを利活用する(例:関連するTactics, Techniques and Procedures(TTPs)をRed Teamにフィードバックする等)という考え方は、とても参考になる観点でした。

Automation: The Wonderful Wizard of CTI (Or Is It?)

The MITRE CorporationのJackie Lasky氏とSarah Yoder氏によるプレゼンテーションで、脅威分析の自動化をテーマに後述のツール(Threat Report ATT&CK Mapper)に関する紹介が行われました。

オープンソースの脅威レポートを分析する際には、

  • どのAPTグループか?
  • どのようなマルウェアが使用されたのか?
  • MITER ATT&CKの内、どれに当てはまるのか?等

をよく検討しますが、その中での課題として下記が挙げられていました。

  • 脅威レポートが大量にある。
  • 人材が不足
  • ヒューマンエラーの発生
  • 新メンバーの育成には時間が必要

上述のような課題の解決策として、脅威レポートとMITRE ATT&CKとのマッピングを自動で行うツール「Threat Report ATT&CK Mapper」(以下、TRAM)が紹介されました。
なお、TRAMはGithub上で公開されています。

TRAMの利用には、次のようなプロセスを行うことになります。

  • Get Data
    学習データを収集します。
  • Clean & Prepare Data
    データの標準化を行います。
  • Build & Train Models
    Pythonロジスティック回帰で教師あり学習を行います。
  • Test Data
    分析対象レポートをSubmitすると、未知データ予測を生成します。
  • Review Model Decision
    予測データのOK/NG判定します。また、テクニック情報を補完します。
  • Feedback Loop
    新しいモデルを構築するためのデータベースにフィードバックします。
    レポートを出力します。

私自身、日々収集する脅威情報の分析は、他業務に追われてしまうこともありましたのでこのような自動化ツールはとても良いなと思いました。今後の機能拡張がとても楽しみですね。

最後に

単身での初海外出張だったため、基本的なことで苦労することも多かったですが、初めてこのようなサミットに参加した中で本編内容以外にも(例えばプレゼンの開始時や発表者交代中に音楽がかかりエンターテイメント性がとても高く、楽しい雰囲気になっていたことなど)、私にとって新鮮な体験がたくさんありました。

今回得られたインテリジェンスの知見を社内に持ち帰り、今後の業務に活かしていきたいと思います。

参考情報

Cyber Threat Intelligence Summit:new windowhttps://www.sans.org/cyber-security-summit/
MITRE ATT&CK: new windowhttps://attack.mitre.org/
Threat Report ATT&CK Mapper:new windowhttps://github.com/mitre-attack/tram

SANSについて
SANS Instituteは、政府や企業・団体間における研究、及びそれらに所属する人々のITセキュリティ教育を目的として1989年に設立された組織です(本部:米国ワシントンDC)。設立以来、165,000人を超えるセキュリティの専門家や情報システム監査人、システムアドミニストレータ、ネットワーク管理者などに情報セキュリティ教育プログラムや各種セキュリティ情報・意見交換の場などを提供しながら、彼らが直面している問題の解決策を絶えず模索し続ける世界トップレベルのセキュリティ研究・教育機関として成長を続けています。
日本語サイト:new windowhttps://www.sans-japan.jp/
英語サイト:new windowhttps://www.sans.org/

(このレポートはSANS Instituteの掲載許可を得ています。)

執筆者プロフィール

Two(トゥー)※ハンドルネーム
セキュリティ技術センター インテリジェンスチーム

入社以来、セキュリティソフトウェアの設計開発業務に従事。2019年より、セキュリティ技術センターに着任し、インテリジェンスチームの一員として脅威情報収集、分析、活用を推進中。また、PSIRTとして脆弱性ハンドリング業務にも従事。情報処理安全確保支援士(RISS)を保持。