脅威ハンティング 2024 とは? 【完全ガイド】

最終更新日: 2023 年 11 月 5 日 by

サイバー脅威ハンティングは、 インターネットセキュリティのプロアクティブな方法 脅威ハンターが探す場所 セキュリティ上の危険 それは 企業のネットワーク内に隠されている.

サイバー ハンティングは、自動化された脅威検出システムなどのより受動的なサイバー セキュリティ ハンティング技術とは対照的に、ネットワークの自動防御メカニズムを回避した可能性のある、以前に検出されていない、未確認の、または修復されていない脅威を積極的に探します。

脅威ハンティングとは

脅威ハンティングとは何ですか?

積極的に探す行為 ネットワーク上で検出されずに忍び寄るサイバー脅威 脅威ハンティングとして知られています。 サイバー脅威ハンティングは、最初のエンドポイント セキュリティ対策をすり抜けた悪意のあるアクターを環境から探し出します。

一部の危険はより高度で高度ですが、大部分はセキュリティ システムを通過できません。 何週間もの間、攻撃者はシステムやファイル内で検出されずに残り、ネットワークを介してゆっくりと前進し、より多くのデータを収集することができます.

この手順の間に数週間または数か月かかる場合があります。 積極的にハントしなくても、セキュリティ ツールや人員からの検出を簡単に回避できます。

脅威ハンティング

脅威ハンティングが重要な理由

高度な脅威は自動化されたサイバーセキュリティを回避できるため、脅威ハンティングは非常に重要です。

自動化されたセキュリティ ツールとティア 20 および 1 セキュリティオペレーションセンター (SOC) アナリストは、 視聴者の38%が そのうちの。

残りの 20% の脅威は、より複雑であり、大きな損害を与える可能性があります。

攻撃者はひそかにネットワークに侵入し、何ヶ月もそこにとどまり、静かに情報を収集したり、機密文書を検索したり、環境内をローミングできるようにするログイン資格情報を取得したりできます。

多くの企業は、敵対者が検出を逃れることに成功し、攻撃が組織の防御を突破した後、高度で持続的な脅威がネットワークに残るのを防ぐために必要な高度な検出スキルを欠いています。

したがって、脅威ハンティングは、あらゆる防御戦略の重要な要素です。

脅威ハンティングの種類

IBM の公式 Web サイトでは、脅威ハンティングの XNUMX つの主なタイプが適切に説明されています。 彼らのブログによると、脅威ハンティングには次の種類があります。

1.構造化された狩猟

An 攻撃の兆候 (IoA) 攻撃者の戦術、方法、および手順 (TTP) 体系的な狩りの土台となる。

すべてのハントは、攻撃者の TTP に基づいて計画されています。 このため、ハンターは、攻撃者が環境を混乱させる機会を得る前に、脅威アクターを頻繁に認識します。 

2.構造化されていない狩猟

アドホック ハントは、多くのトリガーのうちの XNUMX つに基づいて開始されます。 侵入の痕跡 (IoC). このトリガーは通常、ハンターに探すように促すために使用されます。 検出前後のパターン.

データの保持と以前に関連した犯罪が許す範囲で、ハンターは計画を立てるために調査を行うことがあります。

3.状況または実体主導

状況仮説は、組織の内部リスク評価によって、またはその IT インフラストラクチャに固有の傾向と弱点の調査によって生成される場合があります。

一般大衆から収集された攻撃データを確認すると、現在進行中のサイバー脅威の最新の TTP が示され、エンティティ指向のリードが作成されます。 その後、脅威ハンターはこれらの特定の動作について周囲をスキャンできます。

脅威ハンティングの仕組み

ソフトウェア ソリューションの人的側面と大規模なデータ処理能力を組み合わせることで、サイバー脅威を効果的に追い詰めます。

人間の脅威ハンターは、高度なセキュリティ監視および分析ツールからのデータに依存して、脅威をプロアクティブに発見して排除するのを支援します。

彼らの目標は、ソリューションとインテリジェンス/データを使用して、土地から離れて生活するなどの戦略を使用して、通常の防御を逃れる可能性のある敵を見つけることです。

直感、倫理的および戦略的思考、創造的な問題解決はすべて、サイバー ハンティング プロセスに不可欠な要素です。

組織は、「サイバー脅威ハンター」 自動化された脅威検出システムに頼るだけではなく、テーブルに持ち込んでください。

サイバー脅威ハンター

サイバー脅威ハンターとは?

Cyber​​ Threat Hunters は、ビジネス セキュリティに人間味を加え、自動化された対策を強化します。 彼らは、深刻な問題になる前に脅威を特定、記録、監視、根絶する熟練した IT セキュリティの専門家です。

外部のアナリストになることもありますが、企業の IT 部門の業務に詳しいセキュリティ アナリストであることが理想的です。

脅威ハンターは、セキュリティ情報を精査します。 これらは、コンピュータが見逃した可能性がある、または処理されたと考えられていたが処理されていない疑わしい動作パターン、および隠れたマルウェアや攻撃者を探します。

また、企業のセキュリティ システムにパッチを適用して、同じ種類の侵入が将来発生するのを防ぐのにも役立ちます。

脅威ハンティングとは

脅威ハンティングの前提条件

脅威ハンターは、サイバー脅威ハンティングが効果的であるために異常をより適切に特定するために、最初に予想または承認された発生のベースラインを構築する必要があります。

その後、脅威ハンターは、このベースラインと最新の脅威インテリジェンスを使用して、脅威検出テクノロジによって収集されたセキュリティ データと情報を調べることができます。

これらのテクノロジーには、 管理された検出と応答(MDR), セキュリティ分析ツールまたは セキュリティ情報およびイベント管理 (SIEM) ソリューション。

脅威ハンターは、エンドポイント、ネットワーク、クラウド データなどのさまざまなソースからのデータで武装した後、システムを検索して、潜在的な危険、疑わしいアクティビティ、または標準から逸脱するトリガーを見つけることができます。

脅威ハンターは、脅威が見つかった場合、または既知の脅威インテリジェンスが新たな脅威の可能性を示している場合に、仮説を立てて大規模なネットワーク調査を実施できます。

脅威ハンターは、これらの調査中に情報を探して、脅威が有害か良性か、またはネットワークが新たなサイバー脅威から適切に保護されているかどうかを判断します。

脅威ハンティングの方法論

脅威ハンターは、敵対者がすでにシステムに存在していると仮定して調査を開始し、敵対的な活動の存在を示す可能性のある奇妙な動作を探します。

この調査の開始は、多くの場合、プロアクティブな脅威ハンティングの XNUMX つのカテゴリのいずれかに分類されます。

組織のシステムと情報をプロアクティブに防御するために、XNUMX つの戦略はすべて、脅威インテリジェンス リソースと最先端のセキュリティ テクノロジを組み合わせた人力による取り組みを必要とします。

1. 仮説主導の調査

クラウドソーシングされた攻撃データの膨大なデータベースを通じて発見された新しい危険は、仮説主導の調査を頻繁に引き起こし、攻撃者 (TTP) が使用する最新の戦略、手法、および手順に関する情報を提供します。

脅威ハンターは、新しい TTP が検出されると、攻撃者の独自のアクションが自身の環境に存在するかどうかを確認します。

2. 特定された攻撃の痕跡または侵害の痕跡に基づく調査

戦術的な脅威インテリジェンスを使用して、この脅威ハンティングの方法は、新しい脅威に関連する既知の IOC と IOA をリストします。 脅威ハンターは、これらをトリガーとして利用して、潜在的な秘密の攻撃や進行中の有害な活動を見つけることができます。

3.高度な分析と機械学習の調査

XNUMX つ目の方法は、機械学習と高度なデータ分析を使用して膨大な量のデータをマイニングし、敵対的活動の可能性を示す異常を探します。

これらのアノマリーは、知識豊富なアナリストによって調査され、隠れた危険を発見する手掛かりとなります。

プロキシによる脅威ハンティング

脅威ハンターは、Web プロキシ レコードで豊富な情報を見つける可能性があります。 これらのプロキシは、要求を受信するサーバーまたはデバイスと、要求を送信するデバイスとの間のコンジットとして機能します。

Web プロキシによって生成された共通のデータ セットを利用して、異常または疑わしい動作を特定できます。

たとえば、組織の脅威ハンターは、Web プロキシ ログに含まれる危険情報を分析し、次のようなユーザー エージェントで疑わしいアクティビティを発見する場合があります。 cURL と SharePoint サイト.

彼らは問題に注目し、要求が正当であり、DevOps チームからのものであることを発見します。

これらのログを調べて悪意のある個人を見つけるために、脅威ハンターはさまざまなプロトコルと方法論を採用しています。 Webプロキシ ログは、次の詳細を提供することがよくあります。

  • リンク先 URL (ホスト名)
  • 宛先IP
  • HTTPステータス
  • ドメイン カテゴリ
  • プロトコール
  • 宛先ポート
  • ユーザーエージェント
  • リクエスト方法
  • デバイスアクション
  • 要求されたファイル名
  • 演奏時間

**もっと!

プロキシ ログを使用した脅威ハンティングはどのように機能しますか?

脅威ハンティングについて理解したところで、Web プロキシ ログがこれらのハンターをどのように支援するかを調べてみましょう。 Web プロキシ ログには複数のデータが含まれているため、アナリストはさまざまな方法を使用して脆弱性やネットワークに関与している悪意のある人物を見つける必要があります。

1. ブロックされたトラフィックの確認:

組織のユーザーに対して禁止されている可能性がある場合でも、ユーザーが特定の Web サイトにアクセスするようになった原因を突き止めることが重要です。 コンピューターが感染している可能性があります。

2. IP リクエストを含む URL:

このフィルタリングにより、ハードコーディングされた IP アドレスを使用して DNS セキュリティ制限を回避するログを見つけることができます。

3. ファイル拡張子付きの URL:

このフィルターは、.doc、.pdf、.exe などのファイル拡張子を持つ潜在的に危険な URL を表示します。 攻撃者は、マクロ機能を備えた doc または pdf ファイルを利用して、マルウェアをマシンまたはネットワークに埋め込むことがよくあります。

4. 珍しい URL を持つ既知のリファラー URL:

フィッシング リンクの識別は、一般的な参照ドメインと固有の URL を含むログを除外することで簡単になる場合があります。

脅威ハンティングと脅威インテリジェンスの違い

脅威インテリジェンスは、通常、機械学習と人工知能を使用した自動化されたセキュリティ システムによって収集および検査される、侵入の試みまたは成功に関するデータの集まりです。

この情報は脅威ハンティングで使用され、悪意のあるユーザーをシステム全体で徹底的に検索します。

つまり、脅威ハンティングは、脅威インテリジェンスが終わるところから始まります。 生産的な脅威ハントは、まだ実際に見られていない危険を見つけることもできます。

脅威の指標は、脅威ハンティングのリードまたは仮説として使用されることがあります。 マルウェアや攻撃者が残した仮想指紋、奇妙な IP アドレス、フィッシング メール、またはその他の異常なネットワーク トラフィックは、すべて脅威指標の例です。

クイックリンク:

結論: 脅威ハンティング 2024 とは? 

インシデントの検出、対応、修復の通常の手順は、脅威ハンティングによって強力に補完されます。 企業にとって現実的かつ実践的な戦略は、予期せぬ脅威に対して自らを強化することです。

それでも、プロキシ ログを監視することで、Web サイトをスクレイピングしている可能性のあるユーザーを特定することもできます。 正当なタスクを完了しようとしているだけの人は、このような状況で問題に遭遇します。

いくつかのプロキシ、特に真の IP アドレスを隠すのに役立つプロキシを使用することで、ユーザーは脅威ハンターが自分の活動を発見するのを防ぐことができます。

また、すべての活動に対して単一の IP アドレスが存在しないため、ログはこれらのハンターに警告を発しません。

そのためには、脅威ハンティング ソフトウェアにとって正当であるかのように見える高品質のプロキシが必要です。 あなたの質問に答えるために、脅威ハンティング ソフトウェアは基本的に、脅威ハンティング プロトコルと分析を実行するプログラムです。

Links 

カシシュ・ババー
この著者は BloggersIdeas.com で認証されています

Kashish は B.Com の卒業生で、現在は SEO とブログについて学び、書くことに情熱を注いでいます。 Google の新しいアルゴリズムが更新されるたびに、彼女は詳細を調べます。彼女は常に学ぶことに熱心で、Google のアルゴリズム更新のあらゆる展開を調査し、その仕組みを理解するために核心に迫ることが大好きです。これらのトピックに対する彼女の熱意は彼女の文章からも伝わってきます。彼女の洞察は、検索エンジン最適化とブログ技術の進化し続ける状況に興味がある人にとって有益で魅力的なものになっています。

アフィリエイト開示: 完全な透明性–当社のウェブサイト上のリンクの一部はアフィリエイトリンクです。それらを使用して購入すると、追加費用なしでコミッションを獲得できます(まったくありません!)。

関連記事

コメント