マカフィーは4月17日、2016年第4四半期に確認された脅威の増加傾向について報告する「McAfee Labs脅威レポート:2017年4月」を発表した。
レポートでは、セキュリティー運用チームで脅威情報の共有を強化する方法や、セキュリティー業界が解決すべき課題など、脅威インテリジェンス共有の背景やそれを促進する要因などについて説明している。
トピックとして、脅威インテリジェンス共有の必要性が取り上げられており、脅威インテリジェンスの構成要素、情報源、共有モデル、セキュリティーオペレーションで脅威情報の共有を強化する方法、解決すべき5つの課題について説明されている。
レポートで紹介されている脅威インテリジェンス共有に関する主な課題は以下のとおり。
データ量
大量の情報から不要なデータを取り除く課題が原因で、防御側が取り組むべき最優先のセキュリティーインシデントに対し、優先度や対応範囲を決め対処できていない。
データ検証
攻撃者が、脅威インテリジェンスシステムを混乱させるために偽の情報を送信する可能性がある。偽の情報が正しく処理されない場合、正規の情報源からの脅威情報が改ざんされる可能性がある。
データの品質
セキュリティーベンダーは脅威データの収集と共有にこだわると、大量の重複データが生成される危険性があるので、センサーを通じて持続型攻撃の構造上の重要な要素を識別できるデータを取得する必要がある。
データの速度
脅威インテリジェンスを受け取るのが遅れてサイバー攻撃を阻止できなかったとしても、その情報は感染後のクリーンアッププロセスに役に立つ。
一方、セキュリティーセンサーやシステムは攻撃の速度に対応するために、ほぼリアルタイムのスピードで脅威インテリジェンスを共有する必要がある。
データの相関分析
組織に関連するパターンや重要なデータポイントを特定できない場合、そのデータをインテリジェンスへと変換し、その後セキュリティー運用チームの役に立つ情報として提供できない。
また、脅威インテリジェンス共有の効率や効果を向上させるため、McAfee Labsは以下の点への注力を提案した。
イベントの優先度判断
イベントの優先度を簡単に設定し、セキュリティー担当者が優先度に応じて対処できる環境を用意する。
関連付け
さまざまな侵害の兆候を相互に関連付けて分析し、防御側でサイバー攻撃の関係性を把握する。
共有モデルの強化
自社製品間だけでなく、他社製品の間でも脅威インテリジェンスの共有を強化する。
このほかに、大手DNSサービスのDynに対する大規模なDDoS攻撃で使用されたIoTボットネット「Mirai」についての説明や、関連のボット、アーキテクチャー、内部構造、攻撃経路、進化などが説明されている。