7章活用フェーズ

“If you focus solely on the enemy, you will ignore the threat.”

単に敵に関心を持っていたら、脅威に気付かないだろう

─Colonel Walter Piatt(ウォルター・ピアット大佐)

 インシデント対応プロセスのこの時点では、最終的なインシデント対応レポートを共有し、担当者は次の問題に注意を向けるのが一般的です。しかし、この本ではさらに先に進みます。調査中、私たちは攻撃者に関する多くのデータを収集し、ネットワーク内の追加情報を探し、攻撃の影響を低減・排除する対策を講じました。現在そのデータを全て収集し、インテリジェンスとしての価値を分析し、検知と予防の方法だけでなく、リスクアセスメント、取り組みの優先順位付け、将来のセキュリティ投資などの戦略レベルのイニシアチブへ統合する必要があります。これら全てのことを行うことができるようになるためには、F3EADサイクルのインテリジェンス部分(活用、分析、および配布)を実行する必要があります。

 ほとんどの人がF3EADサイクルを完了することができない理由は明白です。情報を生成するのも難しいですが、それを管理することはさらに悩ましい問題だからです。タイミング、経年変化、アクセス制御、およびフォーマットについて取り扱うだけでも、誰もが頭を悩ませることになります。こうした問題は明らかに複雑ですが、正面から向き合う必要があります。陽の目を見ない素晴らしいインテリジェンスを持つことは、スター選手をベンチに座らせて失望させることと同じです。インシデント対応プロセスで生成されたインテリジェンスを活用することで、インシデントの特定、理解、修復に費やされた全ての時間と労力が、ネットワーク全体の防御と対応プロセスに活用されます。この章では、F3EADの活用フェーズで実行する必要がある様々なタスクについて説明します。 ...

Get インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法 now with the O’Reilly learning platform.

O’Reilly members experience live online training, plus books, videos, and digital content from nearly 200 publishers.