インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法

インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法

by Scott J. Roberts, Rebekah Brown, 石川 朝久
Released December 2018
Publisher(s): O'Reilly Japan, Inc.
ISBN: 9784873118666

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

サイバー脅威インテリジェンスは、サイバー攻撃に関連する情報を積極的に集め、分析することで防御に役立てることを指します。ゼロデイ脆弱性や標的型攻撃など予測の難しい攻撃が増え、既存のセキュリティツールだけでは防御が難しい昨今、注目される分野です。本書は、サイバー脅威インテリジェンスをセキュリティ対策に活用するための指南書です。インテリジェンスの基礎から、インテリジェンス駆動型のインシデント対応、将来に向けたプログラム構築までを解説しています。

Table of contents

  1. 表紙
  2. 序文
  3. はじめに
  4.  本書を執筆した理由
  5.  対象読者
  6.  本書の構成
  7.  本書の表記法
  8.  問い合わせ先
  9.  謝辞
  10.  Rebekah Brownより
  11.  Scott J. Robertsより
  12. 第1部 基礎編
  13.  1章 導入
  14.   1.1 インシデント対応のためのインテリジェンス
  15.    1.1.1 サイバー脅威インテリジェンスの歴史
  16.    1.1.2 現代のサイバー脅威インテリジェンス
  17.    1.1.3 今後の方向性
  18.   1.2 インテリジェンスのためのインシデント対応
  19.   1.3 インテリジェンス駆動型インシデント対応とは何か?
  20.   1.4 なぜインテリジェンス駆動型インシデント対応なのか?
  21.    1.4.1 Operation SMN
  22.    1.4.2 Operation Aurora
  23.   1.5 まとめ
  24.  2章 インテリジェンスの基礎
  25.   2.1 データとインテリジェンス
  26.   2.2 情報源と収集手法
  27.   2.3 プロセスモデル
  28.    2.3.1 OODAループ
  29.    2.3.2 インテリジェンスサイクル
  30.    2.3.3 インテリジェンスサイクルの利用
  31.   2.4 良いインテリジェンスの品質
  32.   2.5 インテリジェンスレベル
  33.    2.5.1 戦術的インテリジェンス(Tactical Intelligence)
  34.    2.5.2 運用インテリジェンス(Operational Intelligence)
  35.    2.5.3 戦略的インテリジェンス(Strategic Intelligence)
  36.   2.6 信頼度(Confidence Levels)
  37.   2.7 まとめ
  38.  3章 インシデント対応の基礎
  39.   3.1 インシデント対応サイクル
  40.    3.1.1 事前準備(Preparation)
  41.    3.1.2 特定(Identification)
  42.    3.1.3 封じ込め(Containment)
  43.    3.1.4 根絶(Eradication)
  44.    3.1.5 復旧(Recovery)
  45.    3.1.6 教訓(Lessons Learned)
  46.   3.2 キルチェーン
  47.    3.2.1 対象選定(Targeting)
  48.    3.2.2 偵察(Reconnaissance)
  49.    3.2.3 武器化(Weaponization)
  50.    3.2.4 配送(Delivery)
  51.    3.2.5 攻撃(Exploitation)
  52.    3.2.6 インストール(Installation)
  53.    3.2.7 コマンド&コントロール(C2:Command & Control)
  54.    3.2.8 目的の実行(Actions on Objective)
  55.    3.2.9 キルチェーンの事例
  56.   3.3 ダイヤモンドモデル
  57.    3.3.1 基本モデル(Basic Model)
  58.    3.3.2 モデルの拡張
  59.   3.4 アクティブ・ディフェンス
  60.    3.4.1 拒絶(Deny)
  61.    3.4.2 妨害(Disrupt)
  62.    3.4.3 低下(Degrade)
  63.    3.4.4 欺瞞(Deceive)
  64.    3.4.5 破壊(Destroy)
  65.   3.5 F3EAD
  66.    3.5.1 調査(Find)
  67.    3.5.2 決定(Fix)
  68.    3.5.3 完了(Finish)
  69.    3.5.4 活用(Exploit)
  70.    3.5.5 分析(Analyze)
  71.    3.5.6 配布(Disseminate)
  72.    3.5.7 F3EADの活用
  73.   3.6 正しいモデルを選択する
  74.   3.7 シナリオ:GLASS WIZARD
  75.   3.8 まとめ
  76. 第2部 実践・応用編
  77.  4章 調査フェーズ
  78.   4.1 攻撃者中心のターゲット選定アプローチ
  79.    4.1.1 既知の情報から分析を開始する
  80.    4.1.2 有用な調査情報
  81.   4.2 資産中心のターゲット選定アプローチ
  82.    4.2.1 資産中心のターゲット選定アプローチの活用
  83.   4.3 ニュース中心のターゲット選定アプローチ
  84.   4.4 第三者通知によるターゲット選定アプローチ
  85.   4.5 ターゲット選定の優先順位
  86.    4.5.1 ニーズの緊急性
  87.    4.5.2 過去のインシデント
  88.    4.5.3 重要度
  89.   4.6 ターゲット設定活動の管理
  90.    4.6.1 ハードリード(Hard Leads)
  91.    4.6.2 ソフトリード(Soft Leads)
  92.    4.6.3 関連するリードのグルーピング
  93.    4.6.4 リードの保存
  94.   4.7 インテリジェンス要求のプロセス
  95.   4.8 まとめ
  96.  5章 決定フェーズ
  97.   5.1 侵入検知
  98.    5.1.1 ネットワーク検知
  99.    5.1.2 システム検知
  100.    5.1.3 GLASS WIZARDへの応用
  101.   5.2 侵入調査
  102.    5.2.1 ネットワーク分析
  103.    5.2.2 ライブレスポンス
  104.    5.2.3 メモリ分析
  105.    5.2.4 ディスク分析
  106.    5.2.5 マルウェア解析
  107.   5.3 スコーピング
  108.   5.4 ハンティング
  109.    5.4.1 リードの開発
  110.    5.4.2 リードのテスト
  111.   5.5 まとめ
  112.  6章 完了フェーズ
  113.   6.1 完了フェーズ≠ハックバック
  114.   6.2 完了フェーズのステップ
  115.    6.2.1 緩和策(Mitigate)
  116.    6.2.2 修復策(Remediate)
  117.    6.2.3 再構築(Rearchitect)
  118.   6.3 行動を起こせ!
  119.    6.3.1 拒絶(Deny)
  120.    6.3.2 妨害(Disrupt)
  121.    6.3.3 低下(Degrade)
  122.    6.3.4 欺瞞(Deceive)
  123.    6.3.5 破壊(Destroy)
  124.   6.4 インシデントデータの整理
  125.    6.4.1 インシデント管理ツール
  126.    6.4.2 専用ツール
  127.   6.5 損害の評価
  128.   6.6 ライフサイクルの監視
  129.   6.7 まとめ
  130.  7章 活用フェーズ
  131.   7.1 何を活用するのか?
  132.   7.2 情報の収集
  133.   7.3 脅威インテリジェンスの保存
  134.    7.3.1 技術的情報のデータ標準とフォーマット
  135.    7.3.2 戦略的情報のデータ標準とフォーマット
  136.    7.3.3 情報の管理
  137.    7.3.4 脅威インテリジェンスプラットフォーム
  138.   7.4 まとめ
  139.  8章 分析フェーズ
  140.   8.1 分析技法の基礎
  141.   8.2 何を分析するのか?
  142.   8.3 分析の実施
  143.    8.3.1 データの充実化
  144.    8.3.2 仮説構築
  145.    8.3.3 主要な前提条件の評価
  146.    8.3.4 判断と結論
  147.   8.4 分析プロセスと方法論
  148.    8.4.1 構造化分析
  149.    8.4.2 ターゲット中心型分析
  150.    8.4.3 ACH
  151.    8.4.4 グラフ分析
  152.    8.4.5 「逆張り」テクニック
  153.   8.5 まとめ
  154.  9章 配布フェーズ
  155.   9.1 消費者の目的
  156.   9.2 消費者
  157.    9.2.1 経営層
  158.    9.2.2 社内技術者
  159.    9.2.3 社外技術者
  160.    9.2.4 消費者ペルソナの開発
  161.   9.3 作者
  162.   9.4 アクショナビリティ
  163.   9.5 執筆プロセス
  164.    9.5.1 計画
  165.    9.5.2 執筆
  166.    9.5.3 編集
  167.   9.6 報告書の形式
  168.    9.6.1 ショート形式
  169.    9.6.2 ロング形式
  170.    9.6.3 RFIプロセス
  171.    9.6.4 自動消費されるインテリジェンス
  172.   9.7 リズムの確立
  173.    9.7.1 配布
  174.    9.7.2 フィードバック
  175.    9.7.3 定期的な成果物
  176.   9.8 まとめ
  177. 第3部 発展編
  178.  10章 戦略的インテリジェンス
  179.   10.1 戦略的インテリジェンスとは?
  180.    10.1.1 ターゲットモデルの開発
  181.   10.2 戦略的インテリジェンスサイクル
  182.    10.2.1 戦略的要件の設定
  183.    10.2.2 情報収集フェーズ
  184.    10.2.3 分析フェーズ
  185.    10.2.4 配布
  186.   10.3 まとめ
  187.  11章 インテリジェンスプログラムの構築
  188.   11.1 準備はできましたか?
  189.   11.2 プログラムの計画
  190.    11.2.1 ステークホルダーの定義
  191.    11.2.2 目標の定義
  192.    11.2.3 成功基準の定義
  193.    11.2.4 要件と制約条件の特定
  194.    11.2.5 メトリクスの定義
  195.   11.3 ステークホルダーペルソナ
  196.   11.4 戦術ユースケース
  197.    11.4.1 SOCチームの支援
  198.    11.4.2 インジケータ管理
  199.   11.5 運用ユースケース
  200.    11.5.1 キャンペーンの追跡
  201.   11.6 戦略ユースケース
  202.    11.6.1 アーキテクチャ支援
  203.    11.6.2 リスク評価/戦略的な状況認識
  204.   11.7 トップダウンアプローチ vs. ボトムアップアプローチ
  205.   11.8 インテリジェンスチームの採用
  206.   11.9 インテリジェンスプログラムの価値を示す
  207.   11.10 まとめ
  208.  付録A インテリジェンス成果物
  209.   A.1 ショート形式の成果物
  210.    A.1.1 IOCレポート:Hydraqインジケータ
  211.    A.1.2 イベントサマリー:GLASS WIZARDの標的型フィッシングメール──レジュメ・キャンペーン
  212.    A.1.3 標的パッケージ:GLASS WIZARD
  213.   A.2 ロング形式の成果物:Hikitマルウェア
  214.    A.2.1 サマリー
  215.    A.2.2 簡易静的解析
  216.    A.2.3 簡易動的解析
  217.    A.2.4 検知
  218.    A.2.5 推奨対応策
  219.    A.2.6 関連するファイル
  220.   A.3 GLASS WIZARDに関するRFIリクエスト
  221.   A.4 GLASS WIZARDに関するRFIレスポンス
  222. 訳者あとがき
  223. 奥付

Product information

  • Title: インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法
  • Author(s): Scott J. Roberts, Rebekah Brown, 石川 朝久
  • Release date: December 2018
  • Publisher(s): O'Reilly Japan, Inc.
  • ISBN: 9784873118666

You might also like

book

リーンエンタープライズ ―イノベーションを実現する創発的な組織づくり

by Jez Humble, Joanne Molesky, Barry O'Reilly, 角 征典, 笹井 崇司, Eric Ries

新規事業を生み出し、顧客にすばやく価値を届けるには、それを支援する体制が必要です。本書は、あらゆるムダを省き、継続的に仮説検証を繰り返しながら、プロダクトやサービスを構築する「リーンスタートアップ」の手法を既存の企業に適用するための方法を説明します。市場環境や顧客ニーズの変化に対応し、イノベーションを加速させ、組織文化、ガバナンス、財務管理を最適化し続けるハイパフォーマンス組織になるための原則とパターンを、さまざまな成功企業のケーススタディとともに詳述します。

book

行動を変えるデザイン ―心理学と行動経済学をプロダクトデザインに活用する

by Stephen Wendel, 武山 政直, 相島 雅樹, 反中 望, 松村 草也

深津貴之氏推薦!「行動経済学、データ分析、サービス設計のエッセンスが高度に統合された行動変容デザインの良書です」 本書は、行動経済学と心理学をもとに、人々の行動、日常習慣を変える“行動変容”を促すプロダクトをデザインするための書籍です。主にヘルスケア(健康管理)、金融(資産管理)など、これまでITプロダクト(サービス、アプリなど)がなかなか使われてこなかった分野を対象に、ユーザーがやりたいと思っていたものの実行できなかった行動の実現を助けるプロダクトを作り出すための、実践的な視点や知識を提供します。

book

詳説 イーサネット 第2版

by Charles E. Spurgeon, Joann Zimmerman, 三浦 史光, 豊沢 聡

イーサネット技術についての解説書。本書では、ファーストイーサネットやギガビットイーサネットなどの従来技術だけでなく、10ギガ、40ギガ、100ギガビットなど最新のイーサネット仕様を詳しく解説します。また、全二重イーサネット、オートネゴシエーション、Power over Ethernet、Energy Efficient Ethernet、構造化ケーブリングシステム、スイッチを用いたネットワークの設計、ネットワーク管理、ネットワークのトラブルシューティングのテクニックなども解説します。ネットワークの設計、監視、保守、障害時対応までを網羅し、信頼性の高いネットワークの構築を支援します。

book

スクラム実践者が知るべき97のこと

by Gunther Verheyen, 吉羽 龍太郎, 原田 騎郎, 永瀬 美穂

アジャイル開発手法のなかで最もよく使われる手法の1つがスクラムです。スクラムは、複雑な問題に取り組むためのシンプルなフレームワークであり、シンプルであるがゆえに実践には要所を押さえるスキルが必要になります。本書は、世界中で活躍するスクラム専門家が自らの経験と知見に基づいて執筆したエッセイ集です。スクラム適用の戦略、スクラムで進める上での戦術やパターン、さまざまな職種のコラボレーション、組織への影響などについて幅広い視点で紹介します。日本語版では、及部 敬雄、小林 恭平(kyon_mm)、高橋 一貴、長沢 智治、平鍋 健児、安井 力(やっとむ)、和田 卓人、永瀬 美穂、原田 騎郎、吉羽 龍太郎による10本の書下ろしを収録。