とりあえず定義を

最近よく聞くようになった脅威インテリジェンスという単語。なんともインテリで賢そうな響きだけど、具体的には何？いつ役に立つの？と聞かれると心もとない。そこで、とりあえず定義ぐらいは確認しておく。(以下は名著「脅威インテリジェンスの教科書」を参考にしています。)

 

脅威インテリジェンスの正式な定義はあまり決まってなさそう。よく使われるのは、「脅威」と「インテリジェンス」で分ける方法。たしかに、どちらも馴染みがあるようで深くは知らない単語。今回もその方針で進める。

 

脅威

これはそのまま。危ない事象。セキュリティの文脈だと攻撃をする悪い人たち。もうちょっと細分化すると、脅威＝意図×機会×能力となるらしい。要するに、「何がしたい？」、「それをするチャンスがある？」、「そもそもできるの？」の3つで考える。

 

インテリジェンス

インテリが入っているけど、公式の定義はさすがに小賢しすぎる。(興味があればググるとアメリカ軍？の定義とかが出てくるはず。でも多分よくわからないと思う。)

また、データとかインフォメーションとかとの違いが～と回りくどく定義することもできるけど、使う側からしたら知ったこっちゃない。とりあえずは「役に立つ情報」と思っておけばいいと思う。言葉遊びは提供側の自己満足になりがち。

 

脅威インテリジェンス

というわけで、結局は「悪い人たちに関する、(セキュリティに従事する人たちにとって)役に立つ情報」ぐらいの定義が実用的なんじゃないかな。

 

三つに分類

とはいえ、さっきの定義だけだと舐められそうなので、もう少し正確に把握はしておきたい。3つのレベルに分けられるらしい。

 

戦術インテリジェンス

これはずばりIoC。日々情報収集が求められる怪しいIPアドレスとか、ファイルのハッシュ値とか。具体的なのでイメージもしやすい。けど、見た目は数値の羅列なので、「これがインテリジェンスだ！」とは言いづらそう。

 

運用インテリジェンス

この辺から、用途が怪しくなってくる。これに該当するのはMITRE ATT＆CKとかで整理されているいわゆるTTPsと呼ばれるもの。攻撃するときにどんな手法がとられるかって話。「APT28はLSASSのメモリダンプから認証情報を取得するのだ！」とか言っておけば立派な運用インテリジェンサー。IoCよりも抽象度が上がるので、活躍の幅も広がるかと思われがちだが、実際に活用できている組織は一握りの印象。大体は「なんか表っぽくまとまってるやつだよね。多分便利なんだろうね、よく知らないけど」ぐらいが現状。

 

戦略インテリジェンス

これはもうわからん。運用インテリジェンスをさらに抽象化したものっぽい。セキュリティベンダーが年次とかで出すレポートとかを指している？？経営層とかが使うらしい、さすが。視座が低い身としては、ほんとに活用されている(=商品として売れる)のかが怪しいと思っている。いつか重要性を理解できる日が来てほしい。

 

まとめ

やっぱりわかったようでわかっていない気がする。立派なインテリジェンサーになれるまで精進