book

インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法

Name: インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法
ISBN: 9784873118666

by Scott J. Roberts, Rebekah Brown, 石川朝久

December 2018

Intermediate to advanced

280 pages

4h 16m

Japanese

O'Reilly Japan, Inc.

Read now

Unlock full access

表紙
序文
はじめに
　本書を執筆した理由　対象読者　本書の構成　本書の表記法　問い合わせ先　謝辞　Rebekah Brownより　Scott J. Robertsより
第1部　基礎編
　1章　導入
　　1.1　インシデント対応のためのインテリジェンス　　　1.1.1　サイバー脅威インテリジェンスの歴史　　　1.1.2　現代のサイバー脅威インテリジェンス　　　1.1.3　今後の方向性　　1.2　インテリジェンスのためのインシデント対応　　1.3　インテリジェンス駆動型インシデント対応とは何か？　　1.4　なぜインテリジェンス駆動型インシデント対応なのか？　　　1.4.1　Operation SMN　　　1.4.2　Operation Aurora　　1.5　まとめ
　2章　インテリジェンスの基礎
　　2.1　データとインテリジェンス　　2.2　情報源と収集手法　　2.3　プロセスモデル　　　2.3.1　OODAループ　　　2.3.2　インテリジェンスサイクル　　　2.3.3　インテリジェンスサイクルの利用　　2.4　良いインテリジェンスの品質　　2.5　インテリジェンスレベル　　　2.5.1　戦術的インテリジェンス（Tactical Intelligence）　　　2.5.2　運用インテリジェンス（Operational Intelligence）　　　2.5.3　戦略的インテリジェンス（Strategic Intelligence）　　2.6　信頼度（Confidence Levels）　　2.7　まとめ
　3章　インシデント対応の基礎
　　3.1　インシデント対応サイクル　　　3.1.1　事前準備（Preparation）　　　3.1.2　特定（Identification）　　　3.1.3　封じ込め（Containment）　　　3.1.4　根絶（Eradication）　　　3.1.5　復旧（Recovery）　　　3.1.6　教訓（Lessons Learned）　　3.2　キルチェーン　　　3.2.1　対象選定（Targeting）　　　3.2.2　偵察（Reconnaissance）　　　3.2.3　武器化（Weaponization）　　　3.2.4　配送（Delivery）　　　3.2.5　攻撃（Exploitation）　　　3.2.6　インストール（Installation）　　　3.2.7　コマンド＆コントロール（C2：Command & Control）　　　3.2.8　目的の実行（Actions on Objective）　　　3.2.9　キルチェーンの事例　　3.3　ダイヤモンドモデル　　　3.3.1　基本モデル（Basic Model）　　　3.3.2　モデルの拡張　　3.4　アクティブ・ディフェンス　　　3.4.1　拒絶（Deny）　　　3.4.2　妨害（Disrupt）　　　3.4.3　低下（Degrade）　　　3.4.4　欺瞞（Deceive）　　　3.4.5　破壊（Destroy）　　3.5　F3EAD　　　3.5.1　調査（Find）　　　3.5.2　決定（Fix）　　　3.5.3　完了（Finish）　　　3.5.4　活用（Exploit）　　　3.5.5　分析（Analyze）　　　3.5.6　配布（Disseminate）　　　3.5.7　F3EADの活用　　3.6　正しいモデルを選択する　　3.7　シナリオ：GLASS WIZARD　　3.8　まとめ
第2部　実践・応用編
　4章　調査フェーズ
　　4.1　攻撃者中心のターゲット選定アプローチ　　　4.1.1　既知の情報から分析を開始する　　　4.1.2　有用な調査情報　　4.2　資産中心のターゲット選定アプローチ　　　4.2.1　資産中心のターゲット選定アプローチの活用　　4.3　ニュース中心のターゲット選定アプローチ　　4.4　第三者通知によるターゲット選定アプローチ　　4.5　ターゲット選定の優先順位　　　4.5.1　ニーズの緊急性　　　4.5.2　過去のインシデント　　　4.5.3　重要度　　4.6　ターゲット設定活動の管理　　　4.6.1　ハードリード（Hard Leads）　　　4.6.2　ソフトリード（Soft Leads）　　　4.6.3　関連するリードのグルーピング　　　4.6.4　リードの保存　　4.7　インテリジェンス要求のプロセス　　4.8　まとめ
　5章　決定フェーズ
　　5.1　侵入検知　　　5.1.1　ネットワーク検知　　　5.1.2　システム検知　　　5.1.3　GLASS WIZARDへの応用　　5.2　侵入調査　　　5.2.1　ネットワーク分析　　　5.2.2　ライブレスポンス　　　5.2.3　メモリ分析　　　5.2.4　ディスク分析　　　5.2.5　マルウェア解析　　5.3　スコーピング　　5.4　ハンティング　　　5.4.1　リードの開発　　　5.4.2　リードのテスト　　5.5　まとめ

　6章　完了フェーズ
　　6.1　完了フェーズ≠ハックバック　　6.2　完了フェーズのステップ　　　6.2.1　緩和策（Mitigate）　　　6.2.2　修復策（Remediate）　　　6.2.3　再構築（Rearchitect）　　6.3　行動を起こせ！　　　6.3.1　拒絶（Deny）　　　6.3.2　妨害（Disrupt）　　　6.3.3　低下（Degrade）　　　6.3.4　欺瞞（Deceive）　　　6.3.5　破壊（Destroy）　　6.4　インシデントデータの整理　　　6.4.1　インシデント管理ツール　　　6.4.2　専用ツール　　6.5　損害の評価　　6.6　ライフサイクルの監視　　6.7　まとめ
　7章　活用フェーズ
　　7.1　何を活用するのか？　　7.2　情報の収集　　7.3　脅威インテリジェンスの保存　　　7.3.1　技術的情報のデータ標準とフォーマット　　　7.3.2　戦略的情報のデータ標準とフォーマット　　　7.3.3　情報の管理　　　7.3.4　脅威インテリジェンスプラットフォーム　　7.4　まとめ
　8章　分析フェーズ
　　8.1　分析技法の基礎　　8.2　何を分析するのか？　　8.3　分析の実施　　　8.3.1　データの充実化　　　8.3.2　仮説構築　　　8.3.3　主要な前提条件の評価　　　8.3.4　判断と結論　　8.4　分析プロセスと方法論　　　8.4.1　構造化分析　　　8.4.2　ターゲット中心型分析　　　8.4.3　ACH　　　8.4.4　グラフ分析　　　8.4.5　「逆張り」テクニック　　8.5　まとめ
　9章　配布フェーズ
　　9.1　消費者の目的　　9.2　消費者　　　9.2.1　経営層　　　9.2.2　社内技術者　　　9.2.3　社外技術者　　　9.2.4　消費者ペルソナの開発　　9.3　作者　　9.4　アクショナビリティ　　9.5　執筆プロセス　　　9.5.1　計画　　　9.5.2　執筆　　　9.5.3　編集　　9.6　報告書の形式　　　9.6.1　ショート形式　　　9.6.2　ロング形式　　　9.6.3　RFIプロセス　　　9.6.4　自動消費されるインテリジェンス　　9.7　リズムの確立　　　9.7.1　配布　　　9.7.2　フィードバック　　　9.7.3　定期的な成果物　　9.8　まとめ
第3部　発展編
　10章　戦略的インテリジェンス
　　10.1　戦略的インテリジェンスとは？　　　10.1.1　ターゲットモデルの開発　　10.2　戦略的インテリジェンスサイクル　　　10.2.1　戦略的要件の設定　　　10.2.2　情報収集フェーズ　　　10.2.3　分析フェーズ　　　10.2.4　配布　　10.3　まとめ
　11章　インテリジェンスプログラムの構築
　　11.1　準備はできましたか？　　11.2　プログラムの計画　　　11.2.1　ステークホルダーの定義　　　11.2.2　目標の定義　　　11.2.3　成功基準の定義　　　11.2.4　要件と制約条件の特定　　　11.2.5　メトリクスの定義　　11.3　ステークホルダーペルソナ　　11.4　戦術ユースケース　　　11.4.1　SOCチームの支援　　　11.4.2　インジケータ管理　　11.5　運用ユースケース　　　11.5.1　キャンペーンの追跡　　11.6　戦略ユースケース　　　11.6.1　アーキテクチャ支援　　　11.6.2　リスク評価／戦略的な状況認識　　11.7　トップダウンアプローチ vs. ボトムアップアプローチ　　11.8　インテリジェンスチームの採用　　11.9　インテリジェンスプログラムの価値を示す　　11.10　まとめ
　付録A　インテリジェンス成果物
　　A.1　ショート形式の成果物　　　A.1.1　IOCレポート：Hydraqインジケータ　　　A.1.2　イベントサマリー：GLASS WIZARDの標的型フィッシングメール──レジュメ・キャンペーン　　　A.1.3　標的パッケージ：GLASS WIZARD　　A.2　ロング形式の成果物：Hikitマルウェア　　　A.2.1　サマリー　　　A.2.2　簡易静的解析　　　A.2.3　簡易動的解析　　　A.2.4　検知　　　A.2.5　推奨対応策　　　A.2.6　関連するファイル　　A.3　GLASS WIZARDに関するRFIリクエスト　　A.4　GLASS WIZARDに関するRFIレスポンス
訳者あとがき
奥付

Content preview from インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法

訳者あとがき

　多くの企業や組織が日々発生する攻撃を予防し、検知し、対応しようと様々な努力を重ねています。しかし、全ての脅威を排除できる「銀の弾丸」のようなセキュリティ製品は存在せず、人材や予算などのリソースが潤沢にある企業・組織もほとんどないのが実情です。

　攻撃側は、新しいTTPsを利用し、常に防御側を出し抜こうとしており、人間の心理をうまく悪用するソーシャルエンジニアリング、防御が手薄なグループ企業・取引先を狙うサプライチェーン攻撃、ゼロデイ攻撃の悪用など様々な攻撃手段を組み合わせてきます。

　一方防御側は、かなりカスタマイズされた攻撃テクニックも多いため、特定の製品・ベンダーに頼ればよいという時代ではなく、常に予防を怠らず、侵入やセキュリティインシデントを前提に、攻撃者に対抗していかなければなりません。ケビン・ミトニック氏の著書に、「セキュリティシステムは常勝を義務付けられ、攻撃者は一度勝つだけでよい、という格言は的を射ている」という記述がありますが、まさにこれは私たちの心情を言い当てたものでしょう。攻撃者は新しい攻撃テクニックで一度攻撃に成功すればよい一方、私たちは24時間365日、いかなるときも攻撃者の目標を阻止すべくプレッシャーに悩み続けています。

　セキュリティリソースは限られているが、あらゆるテクニックを駆使する攻撃者の侵入を阻止・最小化すべきという、相反する状況に置かれたセキュリティチームにとって、脅威インテリジェンスは大きな力を与えてくれるコンセプトです。脅威インテリジェンスを活用することで、具体的な脅威に対応し、他組織の事例や情報連携などを通じ、同じ課題を持つ組織全体で攻撃者に対抗していく考え方は、セキュリティ防御の幅を広げてくれる概念だと考えています。孫子の有名な格言に「敵を知り、己を知れば百戦殆うからず」という言葉がありますが、脅威インテリジェンスを活用することで、攻撃グループ（敵）を研究してインテリジェンスを作成し、その情報をもとにインシデント対応を行い、自組織（己）をより深く理解することができます。こうしたPDCAを回しながら、攻撃者に出し抜かれないセキュリティ組織が構築できると考えています。 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9784873118666Other

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法

by Scott J. Roberts, Rebekah Brown, 石川朝久

訳者あとがき

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.