インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法

インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法

by Scott J. Roberts, Rebekah Brown, 石川 朝久
Released December 2018
Publisher(s): O'Reilly Japan, Inc.
ISBN: 9784873118666

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

サイバー脅威インテリジェンスは、サイバー攻撃に関連する情報を積極的に集め、分析することで防御に役立てることを指します。ゼロデイ脆弱性や標的型攻撃など予測の難しい攻撃が増え、既存のセキュリティツールだけでは防御が難しい昨今、注目される分野です。本書は、サイバー脅威インテリジェンスをセキュリティ対策に活用するための指南書です。インテリジェンスの基礎から、インテリジェンス駆動型のインシデント対応、将来に向けたプログラム構築までを解説しています。

Table of contents

  1. 表紙
  2. 序文
  3. はじめに
  4.  本書を執筆した理由
  5.  対象読者
  6.  本書の構成
  7.  本書の表記法
  8.  問い合わせ先
  9.  謝辞
  10.  Rebekah Brownより
  11.  Scott J. Robertsより
  12. 第1部 基礎編
  13.  1章 導入
  14.   1.1 インシデント対応のためのインテリジェンス
  15.    1.1.1 サイバー脅威インテリジェンスの歴史
  16.    1.1.2 現代のサイバー脅威インテリジェンス
  17.    1.1.3 今後の方向性
  18.   1.2 インテリジェンスのためのインシデント対応
  19.   1.3 インテリジェンス駆動型インシデント対応とは何か?
  20.   1.4 なぜインテリジェンス駆動型インシデント対応なのか?
  21.    1.4.1 Operation SMN
  22.    1.4.2 Operation Aurora
  23.   1.5 まとめ
  24.  2章 インテリジェンスの基礎
  25.   2.1 データとインテリジェンス
  26.   2.2 情報源と収集手法
  27.   2.3 プロセスモデル
  28.    2.3.1 OODAループ
  29.    2.3.2 インテリジェンスサイクル
  30.    2.3.3 インテリジェンスサイクルの利用
  31.   2.4 良いインテリジェンスの品質
  32.   2.5 インテリジェンスレベル
  33.    2.5.1 戦術的インテリジェンス(Tactical Intelligence)
  34.    2.5.2 運用インテリジェンス(Operational Intelligence)
  35.    2.5.3 戦略的インテリジェンス(Strategic Intelligence)
  36.   2.6 信頼度(Confidence Levels)
  37.   2.7 まとめ
  38.  3章 インシデント対応の基礎
  39.   3.1 インシデント対応サイクル
  40.    3.1.1 事前準備(Preparation)
  41.    3.1.2 特定(Identification)
  42.    3.1.3 封じ込め(Containment)
  43.    3.1.4 根絶(Eradication)
  44.    3.1.5 復旧(Recovery)
  45.    3.1.6 教訓(Lessons Learned)
  46.   3.2 キルチェーン
  47.    3.2.1 対象選定(Targeting)
  48.    3.2.2 偵察(Reconnaissance)
  49.    3.2.3 武器化(Weaponization)
  50.    3.2.4 配送(Delivery)
  51.    3.2.5 攻撃(Exploitation)
  52.    3.2.6 インストール(Installation)
  53.    3.2.7 コマンド&コントロール(C2:Command & Control)
  54.    3.2.8 目的の実行(Actions on Objective)
  55.    3.2.9 キルチェーンの事例
  56.   3.3 ダイヤモンドモデル
  57.    3.3.1 基本モデル(Basic Model)
  58.    3.3.2 モデルの拡張
  59.   3.4 アクティブ・ディフェンス
  60.    3.4.1 拒絶(Deny)
  61.    3.4.2 妨害(Disrupt)
  62.    3.4.3 低下(Degrade)
  63.    3.4.4 欺瞞(Deceive)
  64.    3.4.5 破壊(Destroy)
  65.   3.5 F3EAD
  66.    3.5.1 調査(Find)
  67.    3.5.2 決定(Fix)
  68.    3.5.3 完了(Finish)
  69.    3.5.4 活用(Exploit)
  70.    3.5.5 分析(Analyze)
  71.    3.5.6 配布(Disseminate)
  72.    3.5.7 F3EADの活用
  73.   3.6 正しいモデルを選択する
  74.   3.7 シナリオ:GLASS WIZARD
  75.   3.8 まとめ
  76. 第2部 実践・応用編
  77.  4章 調査フェーズ
  78.   4.1 攻撃者中心のターゲット選定アプローチ
  79.    4.1.1 既知の情報から分析を開始する
  80.    4.1.2 有用な調査情報
  81.   4.2 資産中心のターゲット選定アプローチ
  82.    4.2.1 資産中心のターゲット選定アプローチの活用
  83.   4.3 ニュース中心のターゲット選定アプローチ
  84.   4.4 第三者通知によるターゲット選定アプローチ
  85.   4.5 ターゲット選定の優先順位
  86.    4.5.1 ニーズの緊急性
  87.    4.5.2 過去のインシデント
  88.    4.5.3 重要度
  89.   4.6 ターゲット設定活動の管理
  90.    4.6.1 ハードリード(Hard Leads)
  91.    4.6.2 ソフトリード(Soft Leads)
  92.    4.6.3 関連するリードのグルーピング
  93.    4.6.4 リードの保存
  94.   4.7 インテリジェンス要求のプロセス
  95.   4.8 まとめ
  96.  5章 決定フェーズ
  97.   5.1 侵入検知
  98.    5.1.1 ネットワーク検知
  99.    5.1.2 システム検知
  100.    5.1.3 GLASS WIZARDへの応用
  101.   5.2 侵入調査
  102.    5.2.1 ネットワーク分析
  103.    5.2.2 ライブレスポンス
  104.    5.2.3 メモリ分析
  105.    5.2.4 ディスク分析
  106.    5.2.5 マルウェア解析
  107.   5.3 スコーピング
  108.   5.4 ハンティング
  109.    5.4.1 リードの開発
  110.    5.4.2 リードのテスト
  111.   5.5 まとめ
  112.  6章 完了フェーズ
  113.   6.1 完了フェーズ≠ハックバック
  114.   6.2 完了フェーズのステップ
  115.    6.2.1 緩和策(Mitigate)
  116.    6.2.2 修復策(Remediate)
  117.    6.2.3 再構築(Rearchitect)
  118.   6.3 行動を起こせ!
  119.    6.3.1 拒絶(Deny)
  120.    6.3.2 妨害(Disrupt)
  121.    6.3.3 低下(Degrade)
  122.    6.3.4 欺瞞(Deceive)
  123.    6.3.5 破壊(Destroy)
  124.   6.4 インシデントデータの整理
  125.    6.4.1 インシデント管理ツール
  126.    6.4.2 専用ツール
  127.   6.5 損害の評価
  128.   6.6 ライフサイクルの監視
  129.   6.7 まとめ
  130.  7章 活用フェーズ
  131.   7.1 何を活用するのか?
  132.   7.2 情報の収集
  133.   7.3 脅威インテリジェンスの保存
  134.    7.3.1 技術的情報のデータ標準とフォーマット
  135.    7.3.2 戦略的情報のデータ標準とフォーマット
  136.    7.3.3 情報の管理
  137.    7.3.4 脅威インテリジェンスプラットフォーム
  138.   7.4 まとめ
  139.  8章 分析フェーズ
  140.   8.1 分析技法の基礎
  141.   8.2 何を分析するのか?
  142.   8.3 分析の実施
  143.    8.3.1 データの充実化
  144.    8.3.2 仮説構築
  145.    8.3.3 主要な前提条件の評価
  146.    8.3.4 判断と結論
  147.   8.4 分析プロセスと方法論
  148.    8.4.1 構造化分析
  149.    8.4.2 ターゲット中心型分析
  150.    8.4.3 ACH
  151.    8.4.4 グラフ分析
  152.    8.4.5 「逆張り」テクニック
  153.   8.5 まとめ
  154.  9章 配布フェーズ
  155.   9.1 消費者の目的
  156.   9.2 消費者
  157.    9.2.1 経営層
  158.    9.2.2 社内技術者
  159.    9.2.3 社外技術者
  160.    9.2.4 消費者ペルソナの開発
  161.   9.3 作者
  162.   9.4 アクショナビリティ
  163.   9.5 執筆プロセス
  164.    9.5.1 計画
  165.    9.5.2 執筆
  166.    9.5.3 編集
  167.   9.6 報告書の形式
  168.    9.6.1 ショート形式
  169.    9.6.2 ロング形式
  170.    9.6.3 RFIプロセス
  171.    9.6.4 自動消費されるインテリジェンス
  172.   9.7 リズムの確立
  173.    9.7.1 配布
  174.    9.7.2 フィードバック
  175.    9.7.3 定期的な成果物
  176.   9.8 まとめ
  177. 第3部 発展編
  178.  10章 戦略的インテリジェンス
  179.   10.1 戦略的インテリジェンスとは?
  180.    10.1.1 ターゲットモデルの開発
  181.   10.2 戦略的インテリジェンスサイクル
  182.    10.2.1 戦略的要件の設定
  183.    10.2.2 情報収集フェーズ
  184.    10.2.3 分析フェーズ
  185.    10.2.4 配布
  186.   10.3 まとめ
  187.  11章 インテリジェンスプログラムの構築
  188.   11.1 準備はできましたか?
  189.   11.2 プログラムの計画
  190.    11.2.1 ステークホルダーの定義
  191.    11.2.2 目標の定義
  192.    11.2.3 成功基準の定義
  193.    11.2.4 要件と制約条件の特定
  194.    11.2.5 メトリクスの定義
  195.   11.3 ステークホルダーペルソナ
  196.   11.4 戦術ユースケース
  197.    11.4.1 SOCチームの支援
  198.    11.4.2 インジケータ管理
  199.   11.5 運用ユースケース
  200.    11.5.1 キャンペーンの追跡
  201.   11.6 戦略ユースケース
  202.    11.6.1 アーキテクチャ支援
  203.    11.6.2 リスク評価/戦略的な状況認識
  204.   11.7 トップダウンアプローチ vs. ボトムアップアプローチ
  205.   11.8 インテリジェンスチームの採用
  206.   11.9 インテリジェンスプログラムの価値を示す
  207.   11.10 まとめ
  208.  付録A インテリジェンス成果物
  209.   A.1 ショート形式の成果物
  210.    A.1.1 IOCレポート:Hydraqインジケータ
  211.    A.1.2 イベントサマリー:GLASS WIZARDの標的型フィッシングメール──レジュメ・キャンペーン
  212.    A.1.3 標的パッケージ:GLASS WIZARD
  213.   A.2 ロング形式の成果物:Hikitマルウェア
  214.    A.2.1 サマリー
  215.    A.2.2 簡易静的解析
  216.    A.2.3 簡易動的解析
  217.    A.2.4 検知
  218.    A.2.5 推奨対応策
  219.    A.2.6 関連するファイル
  220.   A.3 GLASS WIZARDに関するRFIリクエスト
  221.   A.4 GLASS WIZARDに関するRFIレスポンス
  222. 訳者あとがき
  223. 奥付

Product information

  • Title: インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法
  • Author(s): Scott J. Roberts, Rebekah Brown, 石川 朝久
  • Release date: December 2018
  • Publisher(s): O'Reilly Japan, Inc.
  • ISBN: 9784873118666

You might also like

book

リーンエンタープライズ ―イノベーションを実現する創発的な組織づくり

by Jez Humble, Joanne Molesky, Barry O'Reilly, 角 征典, 笹井 崇司, Eric Ries

新規事業を生み出し、顧客にすばやく価値を届けるには、それを支援する体制が必要です。本書は、あらゆるムダを省き、継続的に仮説検証を繰り返しながら、プロダクトやサービスを構築する「リーンスタートアップ」の手法を既存の企業に適用するための方法を説明します。市場環境や顧客ニーズの変化に対応し、イノベーションを加速させ、組織文化、ガバナンス、財務管理を最適化し続けるハイパフォーマンス組織になるための原則とパターンを、さまざまな成功企業のケーススタディとともに詳述します。

book

進化的アーキテクチャ ―絶え間ない変化を支える

by Neal Ford, Rebecca Parsons, Patrick Kua, 島田 浩二

現代におけるエンタープライズアーキテクチャは、もはや静的な計画をあてにすることはできなくなっています。そしてソフトウェア開発エコシステムは、ツールやフレームワーク、技術イノベーションの流れと共に絶え間なく変化しています。こうした状況の中で、いったん構築したシステムを成長させていくには、さまざまな変化に適応しながら進化するアーキテクチャをシステムに組み込む必要があります。本書は、そうしたアーキテクチャを「進化的アーキテクチャ」と名付け、その構築に必要な考え方や技術、実践方法などについて解説するものです。

book

行動を変えるデザイン ―心理学と行動経済学をプロダクトデザインに活用する

by Stephen Wendel, 武山 政直, 相島 雅樹, 反中 望, 松村 草也

深津貴之氏推薦!「行動経済学、データ分析、サービス設計のエッセンスが高度に統合された行動変容デザインの良書です」 本書は、行動経済学と心理学をもとに、人々の行動、日常習慣を変える“行動変容”を促すプロダクトをデザインするための書籍です。主にヘルスケア(健康管理)、金融(資産管理)など、これまでITプロダクト(サービス、アプリなど)がなかなか使われてこなかった分野を対象に、ユーザーがやりたいと思っていたものの実行できなかった行動の実現を助けるプロダクトを作り出すための、実践的な視点や知識を提供します。

book

プログラミングRust 第2版

by Jim Blandy, Jason Orendorff, Leonora F. S. Tindall, 中田 秀基

次世代ブラウザ開発用にMozillaによって開発されたRustは、C/C++並みのパフォーマンスと低レベルの制御能力に加え、メモリとスレッドの安全性を担保し、さらに並行性にも優れるといった特徴を持つ、優秀な言語です。本書はMozillaで実際にRustを使ってFirefoxを開発している著者らによる、言語の概要と用途について解説する書籍で、Rustのほとんどの機能を詳細にカバーします。Rustのメジャーバージョンアップにより非同期処理が可能となったことに対応し、第2版では新たに非同期処理の章を設け、この機能を詳細に解説しています。Rust 2021対応。