サイバー脅威ハンティングの実践を改善する
研究によると、サイバーセキュリティにおける脅威ハンティングを強化するための効果的な戦略があるらしい。
― 1 分で読む
目次
サイバーセキュリティは、政府や企業を含む大規模な組織にとって、重要な懸念事項だね。従来のサイバーセキュリティ手法は主に攻撃を防ぐことと、発生した後の対応に焦点を当ててる。サイバーセキュリティチームは侵入者を排除しようとして、成功したら侵入後の清掃を行う感じ。最近、「サイバー脅威ハンティング(TH)」っていう新しい手法が出てきたよ。この積極的なアプローチは、既存の防御で気づかれていないかもしれない潜在的な脅威を積極的に探すことを含むんだ。
連邦機関とその契約業者には、脅威ハンティングが必要だって。でも、これは新しい分野だから、多くの脅威ハンティングチームには明確なプロセスがないみたい。これらのチームが直面するベストプラクティスや課題について、まだまだ学ぶことがたくさんある。理解を深めるために、アメリカ合衆国国土安全保障省(DHS)の脅威ハンターにインタビューをして研究が行われたんだ。
サイバーセキュリティの重要性
サイバー侵入は公共機関と民間企業の両方に深刻な脅威をもたらす。ある研究によると、ネットワークへの不正アクセスは企業に年間平均1300万ドルの損失を与える可能性があるらしい。さらに、機密データを失ったり、国家安全保障に関連する問題に直面することもある。侵入者が長い間気づかれないと、ダメージはもっとひどくなるかも。ある研究では、侵入者が気づかれない時間を短縮することで、攻撃の総コストを大幅に下げられることが示唆されてる。
脅威がセキュリティ対策をすり抜けるかもしれないから、組織はサイバー脅威ハンティングを実施してる。このプロセスは、通常の防御では見逃される侵入を探すことを含む。政府と民間の両方が脅威ハンティングに取り組んでるけど、民間企業は自分たちのネットワーク内の脅威に焦点を当てる傾向があるみたい。
脅威ハンティングの必要性が高まってるにもかかわらず、調査によるとほとんどの組織には正式なプロセスがなかったみたい。この構造の欠如は、ベストプラクティスを採用し、時間をかけて改善する能力を制限するんだ。この問題に対処するために、研究者たちは脅威ハンターにインタビューして、彼らの実践に関する洞察を集めたよ。
研究の方法論
この研究では、DHS内の2つの組織から11人の脅威ハンターとのセミ構造化インタビューが行われた。各インタビューは約1時間続いて、参加者には彼らのプロセスや課題について質問がされた。インタビューのトランスクリプトは、共通のテーマや洞察を特定するために分析されたんだ。
研究者たちはインタビューから集めたデータを分析するためにコーディング手法を使用した。目的は、DHSチームが脅威ハンティングをどのように行っているかをよりよく理解し、発見に基づいた統一プロセスモデルを作成することだった。
脅威ハンティングプロセスについての発見
分析の結果、調査した脅威ハンティングチームによって使われるさまざまなアプローチが明らかになった。彼らのプロセスは既存の文献とあまり一致していなくて、政府チームが直面する独特の課題が浮き彫りになった。インタビューに基づいて、いくつかの明確な段階を含む統一脅威ハンティングプロセスが開発されたよ。
脅威ハンティングプロセスの段階
ハントの開始: 脅威ハンティングミッションは2つの方法で始まる:積極的に、またはトリガーに応じて。積極的なミッションは、組織が特定の侵入の疑いなく開始するのに対し、トリガーされたミッションは、未検出の侵入を示唆するインテリジェンスから生じるんだ。
ミッションの計画: この段階では、脅威ハンティングチームとハンティングを依頼する組織との間での調整が行われる。ネットワークのどの部分を調査し、仮説を立て、ミッション計画を文書化するかを含むよ。
インテリジェンスの収集: チームはハントに関連する情報を集める。ミッションが積極的かトリガーされたかによって、最近の攻撃者の傾向や以前の脅威の指標を探すかもしれない。
プレミッション活動: ハントを始める前に、チームは成功するための正しいツールやセンサーが揃っていることを確認する。これには、脅威を監視するためにネットワークにセンサーを配置することが含まれるかも。
手動と自動の分析: ミッション中に、チームは2種類の分析ループに従事する。手動ループは、悪意のある活動のデータを深く調べることを含み、自動ループはセンサーから生成されたアラートのトリアージに焦点を当てるんだ。
ミッションの結論: 分析フェーズの後、チームは見つかった証拠に基づいてミッションを結論づける。敵の活動が検出された場合は、インシデント対応手順に切り替えるよ。
脅威ハンティングの一般的な課題
インタビューを通じて、脅威ハンティングチームが直面するいくつかの課題が特定されたよ:
チームの専門知識の評価: チームメンバーの経験やスキルを評価するのが難しいって。多くの人が、個々の能力を特定するためのより良い指標が必要だと感じてる。
自動化の問題: チームはしばしば自動化が不十分で苦労してる。自動化は効率のために重要だけど、多くのプロセスが手動のままになってて、遅延や人的エラーの可能性があるんだ。
データアクセスと収集: チームは現地に到着してからデータの収集を始めることが多く、重要なベースライン情報が不足しがちみたい。データが必要な時に確保できるよう、事前の準備が必要だって強調している。
人員の離職: サイバーセキュリティチーム内の高い離職率は、知識や専門知識の維持に課題をもたらしてる。この研究では、新メンバーと経験豊富なメンバーを統合して、スムーズな移行を促進することが提案されたよ。
文書化とプロセスの一貫性: 一部のチームはプロセスの明確な文書化が欠けていて、新メンバーが何をする必要があるのか理解するのが難しいんだ。この文書がどれくらい詳細であるべきかについて意見が分かれてる。
改善のための提言
発見に基づいて、脅威ハンティングプロセスを強化するためのいくつかの提言がなされたよ:
ミッション計画を強化する: すべてのチームは、強力なミッションプランを作成し、関係者全員と目標を共有することを優先すべきだね。
自動アラートループを改善する: 自動アラートが効果的に脅威を特定していなかったから、チームは自動化を強化するか、この側面にかけるリソースを減らすべきだよ。
強力な見習いプログラムを実施する: 経験豊富なメンバーと新メンバーをペアにすることで、効果的にチームに統合できる。構造化された見習いプログラムを作ることがこの努力をサポートできるよ。
今後の研究の方向性
脅威ハンティングはまだ新しい分野で、さらなる研究が必要なさまざまな領域があるよ。潜在的なトピックには:
- 脅威ハンティングチームのニーズにより適した自動化ツールを調整する方法を探ること。
- 自動化がチームのパフォーマンスや効果に与える影響を調査すること。
- 脅威ハンティング業務におけるプロセスの形式性と柔軟性のバランスを検討すること。
これらの領域に取り組むことで、組織は脅威ハンティングの実践を改善し、全体的なサイバーセキュリティの取り組みを強化できるよ。
結論
この研究は、政府機関内の脅威ハンターが使用するプロセスの理解の重要性を強調してる。これらの実践を文書化して分析することで、研究者たちは脅威ハンティングの改善を促進し、最終的にはサイバー脅威に対するより良いセキュリティ対策に繋がることが期待されるんだ。
タイトル: An Interview Study on Third-Party Cyber Threat Hunting Processes in the U.S. Department of Homeland Security
概要: Cybersecurity is a major challenge for large organizations. Traditional cybersecurity defense is reactive. Cybersecurity operations centers keep out adversaries and incident response teams clean up after break-ins. Recently a proactive stage has been introduced: Cyber Threat Hunting (TH) looks for potential compromises missed by other cyber defenses. TH is mandated for federal executive agencies and government contractors. As threat hunting is a new cybersecurity discipline, most TH teams operate without a defined process. The practices and challenges of TH have not yet been documented. To address this gap, this paper describes the first interview study of threat hunt practitioners. We obtained access and interviewed 11 threat hunters associated with the U.S. government's Department of Homeland Security. Hour-long interviews were conducted. We analyzed the transcripts with process and thematic coding.We describe the diversity among their processes, show that their processes differ from the TH processes reported in the literature, and unify our subjects' descriptions into a single TH process.We enumerate common TH challenges and solutions according to the subjects. The two most common challenges were difficulty in assessing a Threat Hunter's expertise, and developing and maintaining automation. We conclude with recommendations for TH teams (improve planning, focus on automation, and apprentice new members) and highlight directions for future work (finding a TH process that balances flexibility and formalism, and identifying assessments for TH team performance).
著者: William P. Maxam, James C. Davis
最終更新: 2024-02-19 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2402.12252
ソースPDF: https://arxiv.org/pdf/2402.12252
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://tex.stackexchange.com/questions/299969/titlesec-loss-of-section-numbering-with-the-new-update-2016-03-15
- https://www.acm.org/publications/taps/whitelist-of-latex-packages
- https://dl.acm.org/ccs.cfm
- https://www.usenix.org/conference/usenixsecurity24/submission-policies-and-instructions
- https://attack.mitre.org