Mandiantは、デジタルフォレンジック、インシデント対応、そしてサイバー脅威インテリジェンスを事業の中心とする企業です。同社は最近、顧客からよく寄せられる「企業環境内でCTI機能を開始し、成熟させていくための最適なチーム構成とは?」という質問にお答えするために、CTIアナリストのコアコンピテンシー・フレームワークをリリースしました。
Mandiantのフレームワークは、コンピテンシーを4つの基本的な柱(図A)に分類します。これらの柱は、既存のCTIチームの弱点を特定したり、チームまたは個人の成長領域を特定したり、サイバーセキュリティチームの効率的なロードマップを策定したりするために活用できます。
図A
柱1:問題解決
批判的思考
CTIでは、情報を概念化し、識別し、評価し、統合するために批判的思考力が不可欠です。これらを習得すれば、アナリストはあらゆるケースにおいて、偏りのない判断、分析の方向性、そして適切な提言を策定できるようになります。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
批判的思考とは、特にトレンドの予測やイノベーションにおいては、既成概念にとらわれずに考えることです。
調査と分析
調査とは、技術的および非技術的なデータソースを調査するためにデータセットとツールの使用を優先順位付けすることであり、インテリジェンス要件の形でステークホルダーのニーズを把握する能力です。調査は、新たな手がかりを発見し、明確な分析結論に到達するのに役立ちます。ここでの分析とは、調査結果を解釈し、適切に統合することです。
あらゆる種類の侵害指標、その用途、限界、そしてデータの拡充方法を理解することが含まれます。また、ネットワークトラフィックやマルウェアを分析し、デジタルフォレンジックやインシデント対応全般を網羅的に実施することも重要です。
調査や分析は、プログラミングの知識、特にスクリプトの知識によって促進されることが多いです。PythonとSQLは特に役立ちます。
調査精神
複雑な課題を理解し、それらを解決するためのソリューションを開発することが、CTIの鍵となります。調査のマインドセットには、サイバー脅威アクターのTTP(戦術、手法、手順)に加え、CTIツール、フレームワーク、ITシステムに関する豊富な知識が必要です。また、膨大なデータノイズの中から小さなシグナルを識別し、直感を養うことも重要です。
柱2:専門的な有効性
コミュニケーション
CTIでは、多様な対象者とのコミュニケーションが不可欠です。様々なツールや形式(スライド、メール、Word文書、ブリーフィングなど)を用いて、分析結果、調査結果、方法論を記述する能力が必須です。
Mandiantはまた、「判断を事実や直接的な観察から切り離すために、確率的な言語を用いて判断を明確に伝える能力を持つことが重要です。また、意図したメッセージが正しく伝わり、不必要な不安を招かないように、正確な言語を用いる能力も重要です」と強調しています。
マシン間で情報を共有するさまざまな方法だけでなく、特定の情報共有グループや官民の情報共有および分析センターや組織 (ISAC および ISAO) と情報を共有するさまざまな方法を知る必要があります。
最後に、サイバーポリシーと法執行メカニズムに関する知識も必要であり、削除、制裁、一般啓発メッセージなどのサイバー行為に対抗するのに役立ちます。
チームワークと感情知能
個人のユニークな特性は、ピアメンタリングを提供し、チームが協力して作業する際に結束と信頼を構築しながら知識とギャップを埋める機会をもたらすのに役立ちます。
関係者と協力してビジネス運営に関する情報を収集することも、脅威インテリジェンスに役立ちます。
感情的知性の核となるスキルは、自己認識、自己制御、社会的認識、人間関係の管理です。
ビジネス感覚
企業の環境、ミッション、ビジョン、目標を理解する能力は、組織のサイバーリスクへのエクスポージャーに影響を与える可能性があります。CTIアナリストは、リスクエクスポージャーの変化の可能性に関する評価や、脅威インテリジェンスの結果の評価を行う必要がある場合があります。
柱3:技術リテラシー
エンタープライズITネットワーク
ファイルストレージ、アクセス管理、ログファイルポリシー、セキュリティポリシー、コンピューター間で情報を共有するために使用されるプロトコルなど、あらゆるレベルのオペレーティングシステムとネットワークの原則を理解する必要があります。
サイバーセキュリティエコシステム
サイバー防御とサイバーセキュリティに関連する中核的な概念、構成要素、慣習を特定し、業界のベストプラクティスとフレームワークに関する深い知識が必須です。もう一つの重要な原則は、防御アプローチとテクノロジーが、サイバー防御の5つのフェーズ(識別、保護、検知、対応、復旧)のうち少なくとも1つとどのように整合しているかということです。
ここで知っておくべき重要な概念は、アイデンティティとアクセスの管理と制御、ネットワークのセグメンテーション、暗号化の使用例、ファイアウォール、エンドポイントの検出と応答、シグネチャと動作に基づく検出、脅威の探索とインシデント対応、レッドチームとパープルチームです。
事業継続計画、災害復旧計画、インシデント対応計画を策定する必要があります。
組織のサイバーセキュリティの役割と責任
この部分では、リバース エンジニア、セキュリティ オペレーション センターのアナリスト、セキュリティ アーキテクト、IT サポートおよびヘルプデスクのメンバー、レッド/ブルー/パープル チーム、最高プライバシー責任者など、関係者全員の役割と責任を理解することが中心となります。
柱4:サイバー脅威への対応力
攻撃作戦の推進力
攻撃作戦は、サイバープログラムの要素を外部委託し、運用ツールを購入したり、請負業者の支援を得たり、犯罪能力を購入したりするための限られた資源に基づいて実施される必要があります。組織構成と構成する職務も明確に定義する必要があります。
この能力の第二の原則は、脅威の実行者の背後にある動機を特定することです。
Mandiant は、「平時に実施される許容される作戦と、それが戦時中にどう変化するかを深く理解することが重要だ」と報告しています。
脅威の概念とフレームワーク
適切なCTI用語とフレームワークを特定し、適用することで、敵対者の能力や活動を追跡・伝達します。この能力は、脅威アクターの能力に関するものであり、脆弱性とエクスプロイト、マルウェア、インフラストラクチャ、アトリビューション/侵入セットのクラスタリング、命名規則の理解などが含まれます。
また、Lockheed Martin の Cyber Kill Chain や MITRE の ATT&CK フレームワークなどの CTI フレームワークを知ることも重要です。
脅威アクターとTTP
脅威アクターに関する知識とは、脅威アクターの命名規則とTTP(戦術・技術・プロセス)を把握することを意味します。サイバーキルチェーン全体にわたる主要な指標を特定し、攻撃者の運用ワークフローと習慣を把握することが重要です。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
