政府(またはその他の調整機関)とのオープンな情報共有プラットフォームの必要性に関する前回のブログでは、コミュニティがどのサイバーセキュリティ監視プラットフォームを採用するかを自由に決定できるようにする一方で、オープンなソリューションが最高度のサイバーセキュリティと標準への準拠を保証する最善のアプローチである理由を説明した。
何が必要で、何が現状なのか
情報共有は複雑なテーマだが、2つの異なる分野を明確に識別することができる:
- 攻撃指標(IoA)と侵害指標(IoC)の「調理済み」パッケージを共有することで、特定の脅威を切り分け、「どこで何がどのように」攻撃されたかを調査官に提供する。
- 世界中からの何十、何百もの偵察情報源を見ることができるため、新しいゼロデイ攻撃や出現しつつある攻撃の詳細を共有することができ、マルウェアの拡散を迅速に阻止することができる。
情報共有の最初の領域は、IoC(単純なハッシュまたはより複雑な条件)のリスト、マルウェアが行うことの説明、およびその他の関連情報を配布することです。原則として、このようなパッケージには識別情報はなく、インジケータが発見された元のサイトとの相関関係もほとんどありません。そのため、同業者や中央機関と共有することが可能であり、また共有すべきである。情報共有は、IoCリストを充実させたり、マルウェア自体の出所、新しい動作、緩和策などに関する解説や追加情報を追加したりするのに役立ちます。
というのも、新たな脅威がより多くのサイトに影響を及ぼしていることを理解するには、新たなパターンを特定するためにデータを比較する必要があるからだ。一方、データの機密性は、攻撃者がインテリジェンスを活用するのを防ぎ、共有参加者の身元を保護するために重要である。この2つは一見相反する要件のように見えるが、適切なルールとAPIがあれば、必要最小限の情報のみを共有し、ピア間で共通のパターンを観察することができる。では、オープンでクロステクノロジーな共有アーキテクチャとはどのようなものだろうか?
サイバーセキュリティツールを含む複数のソースが共有するデータを統合するモデルとしてよく知られ、広く受け入れられているのがSIEMモデルである。異なるベンダーの可能性があり、サイバーセキュリティの異なる領域をカバーする2つ以上のテクノロジーが、バッチまたはリアルタイムでSIEMにログとアラートを送信する。ある状況では、これらは情報モデルを使ってオリジンで正規化されますが、別の状況では、データはSIEM自体で正規化されます。データを共通の情報モデルに正規化することは、イベントの汎用的でクロステクノロジーな相関を可能にするために重要です。例えば、よく知られ、展開されている Common Event Format (CEF) は、"src" フィールドが攻撃やイベントのソースの IPv4 アドレスでなければならないと定義しています - このような単純なセマンティックは、データを解析する方法(MAC アドレスやホスト名などではなく src IP)を単純化し、相関関係を特定し、適切な対処を行います。
次に、これが「政府SIEM」のような中央調整センターとして機能する政府機関との情報共有にどのように適用されるかを想像してみよう。このモデルでは、あらゆる技術によって発見されたありとあらゆる詳細を最高レベルで共有する必要があるため、そこであらゆる種類の相関関係が発生する可能性があるため、今日では現実的ではありません。つまり、SIEMモデルは個々の企業内、あるいは政府のような外部組織との間で使用することはできても、新たな脅威を安全かつ集団的に狩るためにプライバシーを保護したデータ共有スキームを実装するために「そのまま」使用することはできないのだ。
threat intelligence 、データ形式とAPIを共有するものとしては、Structured Threat Information Expressions(STIX)とTrusted Automated Exchange of Intelligence Information(TAXII)がよく知られている。これらは、特定の攻撃に使用される「侵害の指標(Indicators of Compromise)」の形でインテリジェンスを共有するために設計されている。そのため、セキュリティ・リサーチ・チームによって脅威がすでに特定されている場合に最適である。しかし、プライバシーを保護し、複数のサイトのデータを観察して新たな脅威を発見するために使用するようには設計されていない。例えば、STIXの名前空間や関連するルール/プロシージャを追加することで拡張できる可能性はあるが、既存のツールとの互換性を壊し、事実上新しい標準を作る可能性がある。
OpenDXL(ほとんどがオーケストレーションに傾いている)、CIF(脅威情報の濃縮、共有、管理のためのフレームワークと実装を提供する)、MISP(既知の脅威を検出・分類するための共同コミュニティを構築することを目的とする)、OpenIOC(STIXと同様、IOCのフォーマットを標準化することを目的とする)など、情報共有を扱うプロジェクトやフォーマットは他にもたくさんある。これらのプロジェクトはすべて、最初の分野である情報共有には適用可能であり、実戦テスト済みであるが、プライバシーを守りながら新たな脅威を共同で探すという要件にはあまり適合していない。
これらの情報共有標準に加え、サイバーセントリー(収集されたデータに関する説明が充実している)、サイバーセキュリティ・リスク情報共有プログラム(CRISP)など、政府主導の共有プロジェクトも充実している。
ソリューションの解剖学
STIX/TAXIIの広範な成功や、上記のすべての確立されたフォーマットとAPIを考慮すると、脅威を一括して検出するための標準化され、透明性が高く、十分に文書化され、適切に管理されたアプローチが、採用や継続的な開発努力を促進する上で極めて重要であることは明らかである。
情報共有ソリューションは、前述の脅威共有エコシステムとうまく統合しながら、新たな脅威検知のギャップを埋めることができなければならない。さらに、ユーザー・コミュニティやベンダーが、新たなサイバーセキュリティ投資を再構築したり採用したりするのではなく、既存のサイバーセキュリティ投資を活用できるようにし、そこから成長させることが、全体的な目的に対する最大の支援となる。
オープン性と透明性を保証するための素晴らしい解決策は、オープンソースの実装を持つことである。オープンソースの実装は、様々な標準や実装との互換性やコンプライアンスをテストするために使用される実用的なツールで、実用的なアプローチの中心となることができる。おもちゃではなく、本番で使えるもの。すべての関係者(ベンダー、顧客)がコードの細部や行を研究できるもの。
オープンソースの透明性をサポートする精神に基づき、APIは、例えばOpenAPI フォーマットを使用するなどの標準的な方法で文書化することができ、自動テストスイートの迅速な進化と検証を可能にする。さらに、最も一般的なプログラミング言語でAPIを利用する方法を示す「サンプル」クライアントを提供することで、普及を加速し、開発コストを下げることができる。
データのプライバシーや秘密性を侵害することなく、イベントや指標を共有する仕組みが提供されなければならない。潜在的には、特定の内部被害者がどのような姿をしているかなど、より詳細な情報を投稿者が共有できるようにするために、差分プライバシーを考慮することができるが、本当の身元は明らかにしない。APIとシステムは、情報漏えいを恐れることなく、マシン同士が自動的に相互作用することを可能にし、一致が検出された場合、オペレーターの確認によってさらなる調査を開始できるようにしなければならない。
提案するソリューションの主な目標は、異なる仲間/貢献者/企業に属する異なるサイト間で脅威を観察できるようにすることで、新しい脅威やこれまで知られていなかった脅威を検出することである。Nozomi Networks は、このような目的を念頭に置き、まさにそのようなオープンソースプロジェクトを推進し、提供することを約束します。詳細は2022年に発表される予定ですが、現在、私たちはこのオープン・フレームワークとオープンAPIのイニシアチブにベンダーとコミュニティの参加を積極的に呼びかけています。このプロセスに参加することに興味がある方は、ぜひご連絡ください。
結論
ここで見てきたように、インテリジェンスと知識の共有は複雑なトピックであり、今日、多様な貢献者からインテリジェンスを受け取る中央組織を可能にするために、ソリューションがすぐに利用できる興味深い標準がある。この分野で成功しているソリューションは、オープンスタンダードを使用しており、ベンダーが自由に実装できるコードや例が豊富に用意されている。
一方、プライバシーを守りながら新たな脅威を検出するためのピア間の複雑な自動または半自動協調は、実際の標準、交換フォーマット、APIがないため、あまり検討されていない分野であるが、我々はこれらのギャップを埋める可能性のあるアプローチを示した。
Nozomi Networks 私たちは、このようなアプローチに沿った主要なオープンソース・プロジェクトに貢献する予定であり、すべての人(攻撃者を除く!)の利益のために、ベンダー間でのセキュリティ情報共有とデータ正規化の実現可能性を加速できるような、業界の幅広い参加と採用を期待している。
