俺たちは雰囲気で脅威インテリジェンスを扱っている

この記事は、NTTコミュニケーションズ Advent Calendar 2019の12日目の記事です。
昨日は @a0x41 さんの記事でした。

TL;DR

• その脅威インテリジェンスは「誰」に「どんなアクション」を起こさせたいのか？
• 脅威インテリジェンスの中でも、価格・報告の仕方・公開ポリシー・信頼性が最も整備されている分野は脆弱性情報
• ほとんどの脅威インテリジェンスにそれらの仕組みがなく、費用対効果の測定が難しいのが現状

吾輩はOSINTである。活用はまだない

「OSINTの活用！！！」

綺羅星のように輝く刹那、誰かの口角に溜まった泡がつばきとなって飛んでいた。
確か記憶では、2015年頃¹になんか良い感じにやってたヤツが、既にもっと良い感じになってたはずだ。

ハニーポットによる攻撃観測、ストレージ一杯に詰まったバイナリ、万を超えるWebサイトから日々自動でクローリングされる膨大な解析データ。このチームが積み上げてきたものが、流行りのフレーズを既に追い越していた。なんて誇らしいことなんだ！

僕の業務は、Twitterのタイムラインを眺めることに変わった。OSINTを活用する業務らしい。

※この物語はフィクションです

脅威インテリジェンスってなんだよ

こんにちは、@nitkyです。OSINT活用とは、Twitterで❤️を押すことと見つけたり。

いきなりですが、脅威インテリジェンスの活用って皆様どうしてますか？

脅威インテリジェンスでも、セキュリティインテリジェンスでも、サイバーリスク情報でも、OSINTでもはなんでも良いんですが、セキュリティにおけるインテリジェンスの活用はめちゃくちゃ難しいです。

海に砂糖を撒いたら、甘くなりそうですかね？　山で虫かごをふりまわしてたら、飛んでる鳥が入ってそうですかね？　闇雲に集めた脅威インテリジェンスを活用することの難しさを指摘した研究²が発表されましたが、僕たちは無限に「ですよねー」を繰り返しています。

脅威インテリジェンスの基本的な活用

脅威インテリジェンスの最も一般的な活用方法として、アラート対応への活用があります。脅威インテリジェンスが紐づけられたアラートは、コンテキストが理解しやすい形になり、対応すべきアラートかどうかの判断を正確かつ迅速に行えるようになります。

膨大なアラートの中から重大な脅威を素早くみつけ対応するためには、やはり脅威インテリジェンスの活用が不可欠です。このあたりのノウハウを知りたい方は、インテリジェンス駆動型インシデントレスポンス³の本やRecorded Future社の脅威インテリジェンスハンドブック⁴がオススメです。

脅威インテリジェンスの価値

サイバー犯罪に使われる商材に関する研究⁵はありますが、「この脅威インテリジェンスの価格はいくら？」と聞かれて即答できる人は少ないと思います。

ここでは、SOCメンバがアラート対応を行うことを想定します。対応するアラートに紐づいた情報として、脅威インテリジェンスA,B,Cが以下のように存在してたとします。

[脅威インテリジェンスA]
- [ファイルHash1]
- [ファイルHash2]
- ...
- [ファイルHash100]
- [通信先ドメイン1]
- [通信先ドメイン2]
- [通信先ドメイン3]
- ...
- [通信先ドメイン20]

[脅威インテリジェンスB]
- [ファイルHash]
- [Snortシグネチャ]
- [◯◯国の関与が疑われている]

[脅威インテリジェンスC]
- [ファイルHash]
- [Snortシグネチャ]
- [マルウェアがもたらす被害の解説]
- [利用する脆弱性とその修正パッチのバージョン情報]

アラートが上がったとき、SOCメンバはどんなことを考えるでしょうか？

• 「このアラートは本当の攻撃か？」
• 「どれくらいの被害が出るのか？」
• 「防ぐ方法はあるのか？」
• 「感染していた場合、どのようにハンドリングすべきか？」

この観点から言えば、おそらくSOCメンバがアラート対応のコンテキストとして消費する脅威インテリジェンスはCになるでしょう。最も情報量が多い脅威インテリジェンスはAのように見えますが、なぜ脅威インテリジェンスCが選ばれたのでしょうか？

素晴らしい脅威インテリジェンス（成果物）

インテリジェンス駆動型インシデントレスポンスでは、「素晴らしい脅威インテリジェンス（成果物）」を以下のように定義しています。

• 正確性（Accuracy）
• 消費者目線（Audience focused）
• アクショナブル（Actionable）

これらの点を踏まえると、正確性はもちろんのこと、

• 「想定される被害がわかりやすい（消費者目線）」
• 「ソフトウェアのバージョン確認をすれば、対策済みかどうかわかる（アクショナブル）」

という点がSOCメンバにとって非常に有益な情報であったことがわかります。脅威インテリジェンスを配布するときは「誰が」「何のために使うのか」という点を考えなければなりません。ただの情報の集まりは、インテリジェンスではなくインフォメーションだというのが、本の著者による見解です。

消費者は誰だ

「OSINTの活用！！！」

2回目のループともなれば、この発言におけるミスコミュニケーションが理解できるでしょう。
（※フィクションです）

• 今までずっとリサーチャー向けの脅威インテリジェンス生成環境を作っていた
• アナリスト向けのインテリジェンスに整形する技術が求められていた
• ステークホルダ（経営層）は自分が意思決定できるインテリジェンスを必要としていた

全てを理解した僕は、そこに行けばどんな夢も叶うガンダーラ（大学院）に旅立ちました。

脅威インテリジェンスにおける「脆弱性」と「Exploit」

一説によれば、１兆円を超えるともいわれている脅威インテリジェンスマーケットですが、

• 価値変動　（脅威インテリジェンスの情報財としての性質）
• 配布形態　（消費者によって変化する脅威インテリジェンスの粒度やフォーマット）
• 共有戦略　（「いつ誰が誰に何をどのタイミングで」共有するのかによる社会・市場へのインパクト）
• 信頼性　（過去・未来・現在、それぞれの期間での情報の正しさを保証する方法）

という観点でみると、「それらの繋がりがあまり深掘りされていないのでは？」と思うことが多いです。

特に、共有戦略は個々人のセキュリティに関する信念に基づくことが多いのですが、唯一、**脆弱性開示(Vulnerability Disclosure)**に関しては、業界としてのコンセンサスがある程度存在しています。代表例として、Project Zeroが使用しているGoogle’s vulnerability disclosure policy⁶⁷があります。また、価格、報告フォーマット、信頼性(PoCの添付)に関しても、各社のバグバウンティプログラム⁸やアンダーグラウンドマーケット市場に関する研究⁹などから、ある程度セキュリティ関係者間での共通認識があります。

ただ、バグバウンティプログラムを提供しているような先進的な企業でも、「報告したらサイレントで修正されてしまった……」という噂を聞くことがあります。真偽のほどは分かりませんが、実際、「脆弱性報告者」と「企業」との力関係は少し歪なようです。

IPA等の第三者機関を通じた（無償の）届出などがまだまだ重要で、現状サイバースペースの安全性はWhiteHatたちの献身によって支えられています。

これからの脅威インテリジェンスの話をしよう

脅威インテリジェンスを流通させるためのフォーマットやプロトコルは整備されてきましたが、ほとんどの脅威インテリジェンスにおいて、価値変動・共有戦略・信頼性に関する仕組みが整備されておらず、またそれらが原因となって、脅威インテリジェンスの費用対効果の測定が難しいというのが現状です。

現状、これらの問題を解決するための脅威インテリジェンス売買プラットフォームを開発中です。製品化までいけるかどうかは、会社からの給与と上司のやる気次第です。

それではみなさん、グッドバイ！！！

1. NTTグループのセキュリティビジネスを支えるマルウェア対策用セキュリティインテリジェンス ↩

2. https://www.usenix.org/conference/usenixsecurity19/presentation/li ↩

3. https://www.oreilly.co.jp/books/9784873118666/ ↩

4. Chiris Pace編 『脅威インテリジェンスハンドブック インテリジェンスの力を開放する実践的セキュリティガイド』 CyberEdge出版 ↩

5. https://www.usenix.org/conference/usenixsecurity18/presentation/van-wegberg ↩

6. Google’s vulnerability disclosure policy ↩

7. https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html ↩

8. https://www.hackerone.com/ ↩

9. https://arxiv.org/abs/1708.04866 ↩