脅威ハンティングは、攻撃者の行動を分析し、潜在的な脅威を特定することで、組織への攻撃回避を可能にします。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
脅威ハンティングとは、組織がサイバー脅威を特定するために使用する技術やツールの総称です。従来の脅威ハンティングは、自動化されたツールではなく、セキュリティアナリストの専門知識に依存した手作業の調査プロセスでしたが、最新の脅威ハンティングは、この2つの組み合わせに依存しています。
多くの場合、「脅威ハンティング」とは、プロアクティブな脅威の検出を指します。組織は先手を打って内部の悪意のある活動の兆候についてネットワークを評価したり、その外部に存在する攻撃者のインフラを調査したりします。あまり知られていませんが、この用語は反応型脅威検知の意味もあり、データ侵害、または同様の攻撃を受けて、組織が自らのインフラに弱点がないか分析することを指します。
脅威の探索プロセスにおいて、組織は攻撃の兆候(IoA)*を探し、潜在的な攻撃者の意図と行動を特定します。IoAとは、攻撃を成功させるために攻撃者が実行しなければならない行動や一連の動作のことで、例えば、標的を騙してフィッシングメールを開かせる、悪意のあるリンクをクリックさせる、マルウェアのダウンロードを実行する、などが該当します。攻撃者の具体的な戦術や手順を理解することで、組織はよりプロアクティブな脅威防御を構築することができます。
安全が損なわれたことを示す指標(IoC)は、ネットワークトラフィックの異常、不審なログイン、管理者レベルのアカウントやファイルへの予期せぬ更新、組織が侵害されたことを示すものなど、悪意のある活動の証拠です。IoCは、通常、組織がすでに侵害されていることを示すため、反応型脅威ハンティング手法の有用なコンポーネントです。
*これは攻撃者の戦術、技術、手段(TTP)とも呼ばれます。
脅威ハンティング手法は、組織のニーズやセキュリティチームの能力によって異なりますが、一般的には、構造化ハンティング、非構造化ハンティング、状況ハンティングの3つのカテゴリーに分類されます。
これらのプロセスの違いを視覚化するために、ボブが3つの異なるバードウォッチング技術を使って鳥を識別しようとしていることを想像してください。1つの方法は、鳥の移動パターン、交尾の儀式、餌を食べる時間帯など、その鳥が目撃されやすい場所や時間を特定するのに役立つ行動要因を分析するもので、多くの計画を立てる必要があります。これは、攻撃者の既知の戦術や行動を明らかにすることに重点を置く、構造化ハンティングに似ています。
別の方法では、ボブは森を訪れ、巣や糞など、鳥の存在を示す物的証拠を探すこともあります。これは、IoCを検出したときに発動することが多い非構造化ハンティングと似ています。
第3の方法として、ボブは一般的な種よりも絶滅危惧種の鳥の追跡を優先し、特定しようとする特定の鳥に合わせたアプローチをする必要があるかもしれません。これは、リスクの高いターゲットに対して、カスタマイズされた戦略で脅威を特定する状況ハンティングに似ています。
従来の脅威検知プロセスは、セキュリティアナリストが組織のネットワーク、インフラ、システムを手作業で調査し、外部および内部の脅威(データ漏洩や悪意のあるラテラルムーブメントなど)を検知するための仮説を作成し、検証することに頼っていました。
これに対し、最新の脅威ハンティングは、サイバーセキュリティツールを使用して調査プロセスの自動化と合理化を支援します。代表的なツールには、以下のようなものがあります。
脅威ハンティングとは、攻撃者の行動やサイバー攻撃の証拠など、組織が直面する潜在的な脅威を発見し分析するプロセスです。脅威ハンティングの目的は、組織のインフラ内の脆弱性を発見するだけでなく、まだ実行されていない脅威や攻撃を発見することです。
一方、脅威インテリジェンスは、サイバー攻撃に関する一連のデータであり、潜在的な脅威と既に発生した攻撃の両方が含まれます。多くの場合、このデータは脅威インテリジェンスフィードにまとめられ、組織は脅威ハンティングのプロセスやセキュリティの手法を向上させるために利用することができます。
つまり、脅威ハンティングは犯罪現場での捜査に似ており、脅威インテリジェンスは現場で収集される証拠品のようなものです。
脅威インテリジェンスの分類と目的については、「脅威インテリジェンスとは何か」をご覧ください。
Cloudflareセキュリティセンターは、セキュリティチームが単一の統一インターフェースから潜在的な攻撃を特定、追跡、軽減することを支援するために設計された脅威調査機能を提供します。脅威調査ポータルでは、特定のIPアドレス、ホスト名、自律システム(AS)を照会して、新たな脅威の発生源を特定することができます。
Cloudflareセキュリティセンターについて詳しくはこちら
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集