サイバーセキュリティにおけるIOCの寿命を決めること
侵害の指標の寿命をうまく管理する方法を学ぼう。
― 1 分で読む
目次
サイバーセキュリティの分野では、侵害の指標(IOC)を扱うことがよくある。IPアドレス、ファイルハッシュ、ドメイン名などのこれらの指標は、ネットワーク上の悪意のある活動を特定するのに役立つ。潜在的な脅威の署名として機能し、システムの監視には欠かせない。しかし、これらの指標をどれくらいの期間保持するかを決めるのは難しい。この文書では、IOCの適切な寿命を決定する方法についての調査結果を示し、監視や警告を見逃すことに関連するコストに焦点を当てている。
侵害の指標とは?
IOCは脅威インテリジェンスの重要な要素だ。リスクを認識する手助けをし、ネットワークから集めたデータを既知のIOCと比較することで、セキュリティシステムが警告を発することができる。多くのIOCを監視するほど、既知のサイバー攻撃に対する保護が強化される。しかし、たくさんのIOCを監視するとコストが高くなり、適切に管理しなければ重要な指標が見逃されるかもしれない。見逃しを避けつつ、システムが過負荷にならないように監視するIOCの数をバランスよく調整することが大切だ。
IOCの監視の課題
監視するIOCの数が少なすぎると、ネットワークの安全性が損なわれる可能性がある。これは重要な指標が見逃されるリスクが高まることを意味する。一方で、IOCが多すぎると、監視タスクが圧倒され、関連コストが膨れ上がることになる。セキュリティチームは多くの潜在的な警告を調査する必要があり、どれが本当に危険か分からなくなる。
これらの課題に対処するためには、IOCがどのように生成され、どのくらいの頻度で注目されるかを理解することが重要だ。これらの指標のライフサイクルに注意を向けることで、脅威への監視と対応の戦略が改善される。
IOCの生成と監視
通常、IOCはベンダーや脅威インテリジェンスソースによって発見される。制御されたラボ環境やハニーポットを通じて見つかることがある。発見されたIOCは公開され、脅威データへの広範なアクセスを可能にするプラットフォームを通じて共有される。セキュリティチームは、これらのIOCを追跡し、発見を報告するためにセキュリティ情報とイベント管理(SIEM)システムを活用する。
時間が経つにつれ、IOCの重要性は失われることがある。古い指標を監視し続けると、多くの誤報が発生し、セキュリティチームが本当の脅威から気を散らされることになる。これにより、サービスプロバイダーによって異なる現在の監視システムの価格に基づき、不必要な出費が発生する。
エイジングモデルの重要性
IOCのライフサイクルを管理するために、脅威インテリジェンスプラットフォームは特定の指標の監視を停止すべき時期を決定するためのエイジングモデルを開発している。しかし、これらのモデルには慎重に設定する必要がある複数のパラメータがある。私たちの研究では、見逃した際のコストと監視に関連するコストの2つの主要な要因に焦点を当てたシンプルなモデルに注目した。
私たちは主に2つの質問に答えようとした:
- 具体的な指標はどれくらいの期間監視すべきか?
- 特定の環境に適した監視のパラメータを設定する最良の方法は?
データと方法論
私たちの研究では、企業環境からの1年間の実データを分析し、トラフィックとIOCの発見を測定した。データには発見が発生したタイムスタンプ、IOCの種類、作成日が含まれていた。この情報は、発見の数が時間とともにどのように変化したか、さまざまなエイジングモデルパラメータがカバレッジや関連コストにどのように影響するかを評価するのに役立った。
監視コストに関する調査結果
監視の取り組みと警告を見逃したコストの関係を見ると、特定の閾値があることがわかった。見逃した発見のコストが監視の毎日のコストよりも大幅に低い場合、そのIOCを監視する価値がないかもしれない。一方で、見逃しのコストが非常に高い場合は、すべてのIOCを継続的に監視することが重要になる。
これらの極端な値の中間において、私たちの研究では、IOCを一定の期間だけ監視するメリットを強調した。例えば、約248日の監視期間を設定することで、見逃しと監視のコストを最小化できた。
データセットの理解
私たちが使用したデータは、300,000人以上の従業員を抱え、12カ国以上で運営されている大企業からのものだった。データセットには、5,789のIOCが含まれており、それぞれに少なくとも1回の発見が記録されていた。最初のIOCは2018年9月に作成され、最後の発見は2020年9月初めに行われた。
データからは興味深いパターンが浮かび上がった。発見の66%が監視開始から最初の3ヶ月の間に発生していた。一部のIOCは公式に作成される前に発見が記録されていることもあった。
指標の分類
分析において、IOCは異なるファイルタイプやネットワークアドレスを含む11種類に分類された。発見の大部分はドメイン名に関連しており、IPアドレスとハッシュも多く見られた。私たちの調査結果では、ハッシュのような特定のタイプの指標が、IPアドレスよりも長く持続する傾向があることが示された。
これらのカテゴリは、それぞれのタイプに対して推奨される監視時間に直接影響を与えた。類似の指標をグループ化することで、異なるIOCを効果的に監視するための期間についての洞察を得ることができた。
外れ値の役割
コストに関する分析では、結果を歪める可能性のある外れ値を考慮することも重要だ。たとえば、1つまたは2つのIOCが発見間の時間が非常に長い場合、それがすべての指標に対する推奨監視時間に影響を与える可能性がある。これに対処するために、各指標タイプに対する適切なパラメータを判断するために、さまざまな統計的アプローチを検討した。
監視コストと見逃しコスト
監視コストや見逃しコストは、選ばれたシステムや割り当てられた具体的なパラメータによって大きく異なる場合がある。たとえば、警告を見逃すコストが比較的低い場合、監視は最小限に抑えられるかもしれない。一方で、発見を見逃すコストが高い場合は、すべてのIOCを継続的に監視する必要があるかもしれない。
どのIOCをどのくらいの期間監視するべきかを明確に判断するためには、これらのコストの比率を調べることが重要になる。この比率は、監視努力が最適な投資収益を得られるスウィートスポットを特定するのに役立つ。
効率的な監視の重要性
効率的な監視システムを導入することで、組織はリソースを効果的に集中させることができる。IOCがどのように生成され、どれくらいの頻度で監視されるかに関連するデータを分析することで、セキュリティチームは重大な脅威に出会う可能性に基づいて努力を優先することができる。
監視はコストだけでなく、プレイ中の指標の具体的な性質にも適応するべきだ。たとえば、高度な持続的脅威(APT)に関連する脅威は、より一般的な指標と比較して別のアプローチを必要とするかもしれない。
今後の方向性
この研究は、IOCのエイジングモデルやそれがどのように洗練されるかについてのさらなる疑問を提起する。今回の調査は最適な監視戦略の基本的な理解を提供したが、より詳細な分析手法がモデルの精度を高める可能性がある。
異なる環境が監視戦略の効果にどのように影響するかを調べることは、さらなる調査に値する領域だ。今後の研究では、セキュリティチームのためのより包括的な洞察やツールを提供するために、この研究で確立されたフレームワークを拡大することができる。
結論
要するに、IOCはサイバーセキュリティにおいて重要だ。適切にその寿命を管理することは、監視コストのバランスを取り、見逃した脅威を最小限に抑えるために必要不可欠だ。現実のデータを慎重に分析し、IOCのダイナミクスを理解することで、組織はそのセキュリティ努力を最大化する効果的な監視戦略を設定できる。この研究からの発見は、脅威インテリジェンスや監視の実践を改善するための将来の作業の基礎を提供し、最終的にはより安全なサイバー環境を実現することにつながる。
タイトル: Learning When to Say Goodbye: What Should be the Shelf Life of an Indicator of Compromise?
概要: Indicators of Compromise (IOCs), such as IP addresses, file hashes, and domain names associated with known malware or attacks, are cornerstones of cybersecurity, serving to identify malicious activity on a network. In this work, we leverage real data to compare different parameterizations of IOC aging models. Our dataset comprises traffic at a real environment for more than 1 year. Among our trace-driven findings, we determine thresholds for the ratio between miss over monitoring costs such that the system benefits from storing IOCs for a finite time-to-live (TTL) before eviction. To the best of our knowledge, this is the first real world evaluation of thresholds related to IOC aging, paving the way towards realistic IOC decaying models.
著者: Breno Tostes, Leonardo Ventura, Enrico Lovat, Matheus Martins, Daniel Sadoc Menasché
最終更新: 2023-07-31 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2307.16852
ソースPDF: https://arxiv.org/pdf/2307.16852
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://www.overleaf.com/5516466239rpqztkytrmrh
- https://www.computer.org/csdl/magazine/sp/write-for-us/14680?title=Author%20Information&periodical=IEEE%20Security%20%26%20Privacy
- https://www.computer.org/csdl/magazine/sp/write-for-us/14680
- https://www.ieee.org/authortools/trans_jour.tex
- https://www.overleaf.com/blog/278-how-to-use-overleaf-with-ieee-collabratec-your-quick-guide-to-getting-started
- https://apps.na.collabserv.com/wikis/home?lang=en-us#!/wiki/W18e544042a85_4b63_915a_1d1ed2cf8338/page/Publication
- https://mc.manuscriptcentral.com/cs-ieee
- https://www.ieee.org/publications_standards/publications/graphical_abstract.pdf
- https://www.ieee.org/authortools
- https://www.ibm.com/support/