脅威検出の未来はコミュニティにあります

情報源としての公開情報に頼る

考えてみてください – 最新のマルウェア分析を取り上げたブログ記事を開くたびに、私たちの脅威チームが非常に必要としているIoCを探すのに時間を費やしていますが、それって少し怠惰に感じませんか？

願わくば、私たちのお気に入りのセキュリティベンダーも同じことをしてくれて、スレットインテリジェンスフィードがハッシュ、ファイル名、既知の悪意のあるIPアドレスで更新されていることを祈ります。

しかし、最新のマルウェアサンプルで一部の対応チームが行う高度な技術的な仕事に頼らざるを得ないのは、少しばかり奇妙なことだと思いませんか？ 東ヨーロッパの電力グリッドの半分を停止させたバグを解析する機会を得るセキュリティ研究者は限られていますが、私たちは皆その分析結果を必要としています。

役に立たないストック検出コンテンツ

CTIの前に脅威検出がどれほど上手く機能したか覚えていますか？ あの頃、有名なボットネットのCC IPアドレスへのネットワークトラフィックを見ることは、初めて何かが起きたと知るきっかけでした。 事実として 妥協が起きたことを知りました。言うまでもなく、それはあまり正確ではありませんでした。

ストックSIEMコンテンツは 出来るだけ理想的に 最善を尽くしました。私は2000年代後半にArcSightルールの名前を「脅威があったホスト」から「潜在的に疑わしい活動」に変えたことをまだはっきりと覚えています。「アラート」と「インシデント」という概念が同じ意味だった頃から業界は大きく進化しました。今日では、「シグナル」の後に自動トリアージまたはさらにはクラスタリングが続くことに満足しています。

結論を言えば、昨日の行動ルールは結局のところ期待通りに機能しませんでした。なぜか？ 主な理由は、セキュリティソフトウェアベンダーが実際には脅威研究を生業としていない事実かもしれません。彼らはソフトウェアを作り、販売することを商売にしています（驚くべきことに）。公正を期すために言うと、多くのSIEMベンダーは適正なドメイン専門性を社内で育ててきましたが、実際にはほとんどのストック検出コンテンツは現実のニーズを満たすことができませんでした。ベンダーのルールはSecOpsチームによってすぐに取りやめられ、自家製ルールと入れ替わりました。

コミュニティコラボレーションの失敗した試み

この問題に対処するために、多くのベンダーは独自の「コミュニティポータル」を立ち上げ、顧客が「ユースケース」を共有できるようにしました。ArcSight Protect247からSplunkBaseまで、ユーザーがコミュニティとして一緒に集まり、最新で最良のものを貢献するというアイデアは魅力的に見えました。

残念ながら、これまでのところ、これらの試みのどれも成功したとは言えません。自身の経験から言えば、一からコミュニティを育てることは非常に困難です（誰か @SIEMguruを覚えていますか？）。 しかしおそらく最も重要なのは、ジョン・スチュワートの言葉を借りるなら、脅威検出コンテンツの「保存期間」は卵サンドイッチに近いということです。そして、真に動機付けられたケアと継続的な補充がなければ、新しいルールを流し続けることはほぼ不可能です。

さらに、それらの努力がベンダー特有であることも役に立ちません。QRadarユーザーがMimikatzのルールを構築していた間、Elasticを使用している同僚は同じことを、別の構文で行わなければなりませんでした。Florian RothとThomas Patzkeの Sigma 標準がすべてのSIEMとEDR/XDRプラットフォームにまたがる検出ルールを正式化することをようやく可能にしました。

正しいアプローチ

正直言って、Sigma標準は完璧ではありません。すべての検出クエリ言語へのルール翻訳をサポートすることは単に非現実的です。 そうかもしれませんが、脅威検出ルールの to 共通標準がそれほど重要ではないかもしれません。サイバーセキュリティ研究者がSigmaを受け入れて行動する脅威検出ルールを作成し、一度それを利用可能にし、それからルールやクエリを自動的に正確に適切な構文に翻訳できるならば、どうしてそうしないでしょうか？このアプローチの利点は明らかです－技術に関係なく、社内の脅威検出チームが新しい能力を手に入れたことになります。

そして、私たちを興奮させるSigmaではありますが、SOC Primeの公に出されたベンダーニュートラルな脅威検出マーケットプレイスが、行動分析の星を最終的に整列させることになりました。そして今日、世界中のサイバーセキュリティ実践者は、トップ研究者による作業の結果を、その発表と同時に利用することができます。これがグローバルコミュニティの力であり、そのため行動脅威検出はついに任意のサイバー防御者の武器庫で必要不可欠な能力に達しました。

プラットフォームに移動 脅威バウンティに参加する