サイバー脅威インテリジェンスコミュニティ参加のお勧め
2018 年 6 月 8 日 Emil Hozan 著
最近、ご自分の会社が攻撃の標的になったことはありませんか?
攻撃に関連する情報を提供することで、将来的な攻撃の可能性の特定を助けたり、他の企業やセキュリティコミュニティ全体の意識向上に貢献したりしたいと思いませんか?
今回は、そのような目的に利用できる、CybOX(Cyber Observable eXpression)、STIX(Structured Threat Information eXpression)、TAXII(Trusted Automated eXchange of Indicator Information)を紹介します。この一連の仕組みは、脅威情報の共有を標準化する目的で作成されたものです。
- CybOX
CybOX は、CTI(サイバー脅威インテリジェンス)に関連する情報をシリアルに記録するための標準化スキームです。この情報によって、システムやネットワークのあらゆる処理で観察されたイベントやステートフルプロパティの仕様、特性、通信が提供されます。サイバーセキュリティのユースケースでは、イベント管理/ログ、マルウェアの特性、デジタルフォレンジックなどを利用して、サイバー攻撃のトレンドを詳しく把握しようとします。 - STIX
STIX は、この情報を表す標準化された構造化言語でそれらのイベントがリレーされるようにするための、コラボレーション型の取り組みであり、その目標は、あらゆる範囲の潜在的なサイバー脅威を、自動化でき、人間が読むことのできる形で共有できるようにすることにあります。STIX は、オープンソースのプロジェクトです。 - TAXII
TAXII は、そのような情報を中継するための仕組みです。さまざまな実装方法があり、ユーザは、コンシューマまたはプロデューサとして参加します。コンシューマは、プロデューサから情報を取得する人、つまり、情報を取得するという立場でネットワークに参加する人です。プロデューサは、コンシューマが取得する情報を提供する人です。以下のビジュアルプレゼンテーションを参照してください。
コンシューマまたはプロデューサのどちらにとっても、追加された情報は、悪意あるトレンドや関連する IP アドレス/ホスト名の識別に役立ちます。いくつかの TAXII プロデューサや STIX フィードが公開されており、ここから確認できます。コラボレーション型の CTI の共有は、関係者全員にとって役に立つものであり、新たなトレンドやゼロデイ攻撃に対する意識の向上にも役立ちます。
この情報を共有するためには、SDO(STIX Domain Object)と呼ばれるインジケータに情報を入れる必要があります。このインジケータには、ファイルハッシュなどの観測可能な情報のパターンが設定されます。次に、SRO(STIX Relationship Object)という、インジケータとマルウェアオブジェクトの関係を表す項目があります。STIX コンテンツが生成されれば、SDO と SRO を STIX にバンドルしてから TAXII チャンネル経由で TAXII サーバに送信することで、この情報を共有できるようになります。
以上の仕組みによって、TAXII サーバにそのサーバの他のコンシューマと共有できる情報が存在する状態になったため、そのサーバのコンシューマが自分のネットワーク内の同様のトレンドを見つけた場合、Sighting SRO を生成して TAXII サーバにリレーバックし、そのコミュニティで共有できるようにすることになります。このセットアップの詳しい手順については、このページを参照してください。
要約すると、これらの仕組みを利用することで、悪意がある可能性のある活動に関する貴重な情報をユーザが提供すれば、組織内で類似性を相関付けするのに役立つ観察可能なデータとして他のユーザも利用できるようになるだけでなく、IP アドレスやホストを Web でブロックすることで、このデータに基づき、自分のネットワークをさらに強化することもできるのです。詳しい説明と STIX の使い方については、下記を参照してください。
https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=cti