インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法

Book description

サイバー脅威インテリジェンスは、サイバー攻撃に関連する情報を積極的に集め、分析することで防御に役立てることを指します。ゼロデイ脆弱性や標的型攻撃など予測の難しい攻撃が増え、既存のセキュリティツールだけでは防御が難しい昨今、注目される分野です。本書は、サイバー脅威インテリジェンスをセキュリティ対策に活用するための指南書です。インテリジェンスの基礎から、インテリジェンス駆動型のインシデント対応、将来に向けたプログラム構築までを解説しています。

Table of contents

  1. 表紙
  2. 序文
  3. はじめに
  4.  本書を執筆した理由
  5.  対象読者
  6.  本書の構成
  7.  本書の表記法
  8.  問い合わせ先
  9.  謝辞
  10.  Rebekah Brownより
  11.  Scott J. Robertsより
  12. 第1部 基礎編
  13.  1章 導入
  14.   1.1 インシデント対応のためのインテリジェンス
  15.    1.1.1 サイバー脅威インテリジェンスの歴史
  16.    1.1.2 現代のサイバー脅威インテリジェンス
  17.    1.1.3 今後の方向性
  18.   1.2 インテリジェンスのためのインシデント対応
  19.   1.3 インテリジェンス駆動型インシデント対応とは何か?
  20.   1.4 なぜインテリジェンス駆動型インシデント対応なのか?
  21.    1.4.1 Operation SMN
  22.    1.4.2 Operation Aurora
  23.   1.5 まとめ
  24.  2章 インテリジェンスの基礎
  25.   2.1 データとインテリジェンス
  26.   2.2 情報源と収集手法
  27.   2.3 プロセスモデル
  28.    2.3.1 OODAループ
  29.    2.3.2 インテリジェンスサイクル
  30.    2.3.3 インテリジェンスサイクルの利用
  31.   2.4 良いインテリジェンスの品質
  32.   2.5 インテリジェンスレベル
  33.    2.5.1 戦術的インテリジェンス(Tactical Intelligence)
  34.    2.5.2 運用インテリジェンス(Operational Intelligence)
  35.    2.5.3 戦略的インテリジェンス(Strategic Intelligence)
  36.   2.6 信頼度(Confidence Levels)
  37.   2.7 まとめ
  38.  3章 インシデント対応の基礎
  39.   3.1 インシデント対応サイクル
  40.    3.1.1 事前準備(Preparation)
  41.    3.1.2 特定(Identification)
  42.    3.1.3 封じ込め(Containment)
  43.    3.1.4 根絶(Eradication)
  44.    3.1.5 復旧(Recovery)
  45.    3.1.6 教訓(Lessons Learned)
  46.   3.2 キルチェーン
  47.    3.2.1 対象選定(Targeting)
  48.    3.2.2 偵察(Reconnaissance)
  49.    3.2.3 武器化(Weaponization)
  50.    3.2.4 配送(Delivery)
  51.    3.2.5 攻撃(Exploitation)
  52.    3.2.6 インストール(Installation)
  53.    3.2.7 コマンド&コントロール(C2:Command & Control)
  54.    3.2.8 目的の実行(Actions on Objective)
  55.    3.2.9 キルチェーンの事例
  56.   3.3 ダイヤモンドモデル
  57.    3.3.1 基本モデル(Basic Model)
  58.    3.3.2 モデルの拡張
  59.   3.4 アクティブ・ディフェンス
  60.    3.4.1 拒絶(Deny)
  61.    3.4.2 妨害(Disrupt)
  62.    3.4.3 低下(Degrade)
  63.    3.4.4 欺瞞(Deceive)
  64.    3.4.5 破壊(Destroy)
  65.   3.5 F3EAD
  66.    3.5.1 調査(Find)
  67.    3.5.2 決定(Fix)
  68.    3.5.3 完了(Finish)
  69.    3.5.4 活用(Exploit)
  70.    3.5.5 分析(Analyze)
  71.    3.5.6 配布(Disseminate)
  72.    3.5.7 F3EADの活用
  73.   3.6 正しいモデルを選択する
  74.   3.7 シナリオ:GLASS WIZARD
  75.   3.8 まとめ
  76. 第2部 実践・応用編
  77.  4章 調査フェーズ
  78.   4.1 攻撃者中心のターゲット選定アプローチ
  79.    4.1.1 既知の情報から分析を開始する
  80.    4.1.2 有用な調査情報
  81.   4.2 資産中心のターゲット選定アプローチ
  82.    4.2.1 資産中心のターゲット選定アプローチの活用
  83.   4.3 ニュース中心のターゲット選定アプローチ
  84.   4.4 第三者通知によるターゲット選定アプローチ
  85.   4.5 ターゲット選定の優先順位
  86.    4.5.1 ニーズの緊急性
  87.    4.5.2 過去のインシデント
  88.    4.5.3 重要度
  89.   4.6 ターゲット設定活動の管理
  90.    4.6.1 ハードリード(Hard Leads)
  91.    4.6.2 ソフトリード(Soft Leads)
  92.    4.6.3 関連するリードのグルーピング
  93.    4.6.4 リードの保存
  94.   4.7 インテリジェンス要求のプロセス
  95.   4.8 まとめ
  96.  5章 決定フェーズ
  97.   5.1 侵入検知
  98.    5.1.1 ネットワーク検知
  99.    5.1.2 システム検知
  100.    5.1.3 GLASS WIZARDへの応用
  101.   5.2 侵入調査
  102.    5.2.1 ネットワーク分析
  103.    5.2.2 ライブレスポンス
  104.    5.2.3 メモリ分析
  105.    5.2.4 ディスク分析
  106.    5.2.5 マルウェア解析
  107.   5.3 スコーピング
  108.   5.4 ハンティング
  109.    5.4.1 リードの開発
  110.    5.4.2 リードのテスト
  111.   5.5 まとめ
  112.  6章 完了フェーズ
  113.   6.1 完了フェーズ≠ハックバック
  114.   6.2 完了フェーズのステップ
  115.    6.2.1 緩和策(Mitigate)
  116.    6.2.2 修復策(Remediate)
  117.    6.2.3 再構築(Rearchitect)
  118.   6.3 行動を起こせ!
  119.    6.3.1 拒絶(Deny)
  120.    6.3.2 妨害(Disrupt)
  121.    6.3.3 低下(Degrade)
  122.    6.3.4 欺瞞(Deceive)
  123.    6.3.5 破壊(Destroy)
  124.   6.4 インシデントデータの整理
  125.    6.4.1 インシデント管理ツール
  126.    6.4.2 専用ツール
  127.   6.5 損害の評価
  128.   6.6 ライフサイクルの監視
  129.   6.7 まとめ
  130.  7章 活用フェーズ
  131.   7.1 何を活用するのか?
  132.   7.2 情報の収集
  133.   7.3 脅威インテリジェンスの保存
  134.    7.3.1 技術的情報のデータ標準とフォーマット
  135.    7.3.2 戦略的情報のデータ標準とフォーマット
  136.    7.3.3 情報の管理
  137.    7.3.4 脅威インテリジェンスプラットフォーム
  138.   7.4 まとめ
  139.  8章 分析フェーズ
  140.   8.1 分析技法の基礎
  141.   8.2 何を分析するのか?
  142.   8.3 分析の実施
  143.    8.3.1 データの充実化
  144.    8.3.2 仮説構築
  145.    8.3.3 主要な前提条件の評価
  146.    8.3.4 判断と結論
  147.   8.4 分析プロセスと方法論
  148.    8.4.1 構造化分析
  149.    8.4.2 ターゲット中心型分析
  150.    8.4.3 ACH
  151.    8.4.4 グラフ分析
  152.    8.4.5 「逆張り」テクニック
  153.   8.5 まとめ
  154.  9章 配布フェーズ
  155.   9.1 消費者の目的
  156.   9.2 消費者
  157.    9.2.1 経営層
  158.    9.2.2 社内技術者
  159.    9.2.3 社外技術者
  160.    9.2.4 消費者ペルソナの開発
  161.   9.3 作者
  162.   9.4 アクショナビリティ
  163.   9.5 執筆プロセス
  164.    9.5.1 計画
  165.    9.5.2 執筆
  166.    9.5.3 編集
  167.   9.6 報告書の形式
  168.    9.6.1 ショート形式
  169.    9.6.2 ロング形式
  170.    9.6.3 RFIプロセス
  171.    9.6.4 自動消費されるインテリジェンス
  172.   9.7 リズムの確立
  173.    9.7.1 配布
  174.    9.7.2 フィードバック
  175.    9.7.3 定期的な成果物
  176.   9.8 まとめ
  177. 第3部 発展編
  178.  10章 戦略的インテリジェンス
  179.   10.1 戦略的インテリジェンスとは?
  180.    10.1.1 ターゲットモデルの開発
  181.   10.2 戦略的インテリジェンスサイクル
  182.    10.2.1 戦略的要件の設定
  183.    10.2.2 情報収集フェーズ
  184.    10.2.3 分析フェーズ
  185.    10.2.4 配布
  186.   10.3 まとめ
  187.  11章 インテリジェンスプログラムの構築
  188.   11.1 準備はできましたか?
  189.   11.2 プログラムの計画
  190.    11.2.1 ステークホルダーの定義
  191.    11.2.2 目標の定義
  192.    11.2.3 成功基準の定義
  193.    11.2.4 要件と制約条件の特定
  194.    11.2.5 メトリクスの定義
  195.   11.3 ステークホルダーペルソナ
  196.   11.4 戦術ユースケース
  197.    11.4.1 SOCチームの支援
  198.    11.4.2 インジケータ管理
  199.   11.5 運用ユースケース
  200.    11.5.1 キャンペーンの追跡
  201.   11.6 戦略ユースケース
  202.    11.6.1 アーキテクチャ支援
  203.    11.6.2 リスク評価/戦略的な状況認識
  204.   11.7 トップダウンアプローチ vs. ボトムアップアプローチ
  205.   11.8 インテリジェンスチームの採用
  206.   11.9 インテリジェンスプログラムの価値を示す
  207.   11.10 まとめ
  208.  付録A インテリジェンス成果物
  209.   A.1 ショート形式の成果物
  210.    A.1.1 IOCレポート:Hydraqインジケータ
  211.    A.1.2 イベントサマリー:GLASS WIZARDの標的型フィッシングメール──レジュメ・キャンペーン
  212.    A.1.3 標的パッケージ:GLASS WIZARD
  213.   A.2 ロング形式の成果物:Hikitマルウェア
  214.    A.2.1 サマリー
  215.    A.2.2 簡易静的解析
  216.    A.2.3 簡易動的解析
  217.    A.2.4 検知
  218.    A.2.5 推奨対応策
  219.    A.2.6 関連するファイル
  220.   A.3 GLASS WIZARDに関するRFIリクエスト
  221.   A.4 GLASS WIZARDに関するRFIレスポンス
  222. 訳者あとがき
  223. 奥付

Product information

  • Title: インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法
  • Author(s): Scott J. Roberts, Rebekah Brown, 石川 朝久
  • Release date: December 2018
  • Publisher(s): O'Reilly Japan, Inc.
  • ISBN: 9784873118666

You might also like

book

リーンエンタープライズ ―イノベーションを実現する創発的な組織づくり

by Jez Humble, Joanne Molesky, Barry O'Reilly, 角 征典, 笹井 崇司, Eric Ries

新規事業を生み出し、顧客にすばやく価値を届けるには、それを支援する体制が必要です。本書は、あらゆるムダを省き、継続的に仮説検証を繰り返しながら、プロダクトやサービスを構築する「リーンスタートアップ」の手法を既存の企業に適用するための方法を説明します。市場環境や顧客ニーズの変化に対応し、イノベーションを加速させ、組織文化、ガバナンス、財務管理を最適化し続けるハイパフォーマンス組織になるための原則とパターンを、さまざまな成功企業のケーススタディとともに詳述します。

book

入門 監視 ―モダンなモニタリングのためのデザインパターン

by Mike Julian, 松浦 隼人

本書は、システムのどの部分をどのように監視すべきか、また監視をどのように改善していくべきかについて解説する書籍です。前半で監視のベストプラクティス、デザインパターン/アンチパターンを示して、監視の基本原則を詳しく説明し、後半でフロントエンド、アプリケーション、サーバ、ネットワーク、セキュリティの各テーマで強力な監視の基盤を設計して実装するための方法を示します。監視対象が変化し、システムアーキテクチャが進化する中で、従来から変わらない監視の基本を示しながら、時代に合った監視の実践を解説する本書は、監視についての理解を深めたいエンジニア必携の一冊です。

book

データサイエンスのための統計学入門 第2版 ―予測、分類、統計モデリング、統計的機械学習とR/Pythonプログラミング

by Peter Bruce, Andrew Bruce, Peter Gedeck, 黒川 利明, 大橋 真也

データサイエンスにおいて重要な統計学と機械学習に関する52の基本概念と関連用語について、簡潔な説明とその知識の背景となる最低限の数式、グラフ、RとPythonのコードを提示し、多面的なアプローチにより、深い理解を促します。データの分類、分析、モデル化、予測という一連のデータサイエンスのプロセスにおいて統計学の必要な項目と不必要な項目を明確にし、統計学の基本と実践的なデータサイエンス技法を効率よく学ぶことができます。データサイエンス分野における昨今のPython人気を反映し、第1版ではRのみの対応だったコードが、今回の改訂でPythonにも対応。コードはすべてGitHubからダウンロード可能です。

book

進化的アーキテクチャ ―絶え間ない変化を支える

by Neal Ford, Rebecca Parsons, Patrick Kua, 島田 浩二

現代におけるエンタープライズアーキテクチャは、もはや静的な計画をあてにすることはできなくなっています。そしてソフトウェア開発エコシステムは、ツールやフレームワーク、技術イノベーションの流れと共に絶え間なく変化しています。こうした状況の中で、いったん構築したシステムを成長させていくには、さまざまな変化に適応しながら進化するアーキテクチャをシステムに組み込む必要があります。本書は、そうしたアーキテクチャを「進化的アーキテクチャ」と名付け、その構築に必要な考え方や技術、実践方法などについて解説するものです。