現在、サイバー防御者が直面する最大の課題の1つは、IPアドレス、ASN、ドメイン、URL、ハッシュなど、特定の侵害インジケーター(IOC)に関するメタデータを提供するインジケーターフィードからの検出ヒットを分析することです。脅威インテリジェンス業界全体でインジケーターフィードが急増している一方、ほとんどのフィードには、インジケーターがフィード上に置かれた理由についてのコンテキスト情報が含まれていません。現在、ほとんどのフィードに課されたもう1つの制約は、ブロック可能なインジケーターにのみ焦点を当てており、CVEや内部脅威を悪用する脅威アクターなど、より複雑なケースに容易に対応できないことです。その代わり、この種の複雑な脅威インテリジェンスは、長い形式のレポートに残されています。しかし、長い形式のレポートには、作成や編集に要する時間などの課題があり、タイムリーな脅威インテリジェンスのリリースに大幅な遅延が発生する可能性があります。
こうした課題の解決に貢献するべく、Cloudforce Oneのお客様向けに、新たな脅威イベントプラットフォームを提供開始します。毎日、Cloudflareは数十億件のサイバー脅威をブロックしています。この新しいプラットフォームには、Cloudflareネットワーク上で監視・軽減する脅威に関するコンテキストデータが含まれており、セキュリティ実務者や意思決定者がグローバルな視点で実用的なインサイトを得られるよう設計されています。
当社は、平均して毎秒7,100万件のHTTPリクエストと毎秒4,400万件のDNSクエリを処理しています。この大量のトラフィックから、貴重なインサイトと現在の(リアルタイムの)脅威の包括的な視野が得られます。新しい脅威イベントプラットフォームは、このデータを活用して、インターネット上で発生している脅威アクティビティをリアルタイムで可視化し、Cloudforce Oneのお客様が自社資産をより効果的に保護し、新たな脅威に迅速に対応できるよう支援します。
Cloudflareのトラフィックインサイトを活用した脅威イベントプラットフォームの構築方法
Cloudflareのネットワーク全体で観察される脅威アクティビティの量は、どんなシステムやSOCアナリストでも圧倒されます。そこで、当社ではこのアクティビティを整理し、侵害インジケーター(IOC)だけでなくコンテキストも含むイベントのストリームとして分類しました。これにより、Cloudflareの独自データに基づいて、より効率的な対応が可能になります。まず、当社はネットワーク全体で観測されたサービス拒否(DOS)攻撃に関連するイベントと、Cloudforce One Intelligenceチームが追跡した高度な脅威オペレーション(当社が配信する脅威アクターが使用するさまざまなツール、技術、手順など)を公開しました。これらのイベントをMITRE ATT&CKフレームワークとサイバーキルチェーンの各ステージにマッピングしました。将来的に、Webアプリケーションファイアウォール(WAF)、Zero Trust Gateway、Zero Trust Email Security Business Email Compromise、その他多くのCloudflare独自のデータセットによってブロックされたトラフィックに関連するイベントを追加する予定です。これらのイベントを組み合わせることで、インターネット全体で発生している脅威アクティビティの詳細をお客様に提供することができます。
脅威イベントの各イベントは、当社が観測した特定の脅威アクティビティを要約したもので、STIX2の照合オブジェクトと同様に、概要、詳細ビュー、MITRE ATT&Ck、キルチェーンの各ステージへのマッピングを通じてコンテキスト情報を提供します。入力例については、APIドキュメントを参照してください。
当社の目標は、お客様が脅威環境をより深く理解できるように、組織を標的とする脅威についての幅広い質問や具体的な疑問を調査し、対策を講じるための重要な情報を提供することです。例えば、以下のような質問に対応できます。例:
誰がその業界を標的にしているか?
誰がその国を標的にしているのか?
自社の業種を標的にした攻撃をブロックするために、どのようなインジケーターを使用できるか?
ある一定期間の間に、敵対者はキルチェーン全体でどのような行動を取ったか?
各イベントには、特定された脅威のアクティビティに関連する一意の識別子があります。これにより、Cloudforce One脅威インテリジェンスアナリストは、フォローアップ調査で追加のコンテキストを提供できます。
Cloudflare Workersを使って脅威イベントプラットフォームを構築した経緯
当社は、Cloudflare Workersの汎用性とシームレスな統合を活用することができるため、脅威イベントプラットフォームを構築するためにCloudflare開発者プラットフォームを使用することを選びました。その中核となるCloudflare Workerプラットフォームは、SQLiteベースのDurable Objectsを使用してCloudflareネットワーク上で観測されたイベントを保存します。当社は、CloudflareのサーバーレスSQLデータベースソリューションであるD1上でDurable Objectsを使うことを選びました。Durable Objectsは、SQLテーブルを動的に作成して独自にカスタマイズ可能なデータセットを格納することができるからです。この方法でデータセットを保存することで、脅威イベントをネットワーク全体に拡張することができ、インターネット上の攻撃の予測不可能な性質と関連する可能性があるデータの急増に対処できます。また、データソース別にイベントを管理したり、信頼できるパートナーとデータセットのサブセットを共有したり、許可されたユーザーのみにアクセスを制限したりすることも可能です。 さらに、個々の脅威イベントのメタデータはDurable Object KVに保存されます。これにより、固定された検索可能なフィールド以外にもコンテキストデータを保存できます。このデータには、たとえばDoS 攻撃イベントにおける毎秒リクエスト数や、Cloudforce Oneのアナリストが特定の脅威アクティビティを詳細に調査できるようにするためのソース情報などが含まれます。
脅威イベントの活用方法
Cloudforce Oneのお客様は、Security CenterのCloudflareダッシュボードまたはCloudforce One脅威イベントAPI経由で脅威イベントにアクセスできます。いずれも、Cloudflareが確認したようにインターネット上で発生している脅威アクティビティのストリームを公開し、ユーザー定義のフィルターでカスタマイズ可能です。
Cloudflareダッシュボードでは、戦略的な質問に答えるためにデザインされた「攻撃者のタイムラプス」ビューや、攻撃の詳細を掘り下げるためのより詳細な「イベントテーブル」にアクセスできます。このアプローチにより、ユーザーは最も関連性の高い情報を即座に利用できるようになります。
イベントテーブル
イベントテーブルはセキュリティセンターの詳細な表示であり、ユーザーはさまざまな基準でフィルタリングされた特定の脅威アクティビティに掘り下げることができます。ここでは、Cloudflareのトラフィックインサイトを使用して、特定の脅威イベントや敵対的なキャンペーンを探ることができます。最も重要なのは、イベントテーブルからユーザーがサービスを適切に防御できるように、実用的な侵害のインジケーターとイベントの概要を提供することです。イベントテーブルで利用可能なすべてのデータには、Cloudforce One脅威イベントAPIから等しくアクセスできます。
脅威イベントの有用性を示す実例として、実際のケースを紹介しましょう。
最近流出した犯罪企業Black Bastaのチャットにより、被害者、手法、インフラストラクチャの購入に関する詳細が暴露されました。流出したチャットが何らかの方法で操作されたかどうかは確認できませんが、チャット内で言及されたインフラは容易に検証できました。これを基にして、Cloudflare独自のコンテキストを追加し、脅威イベント内のイベントとしてこの脅威インテリジェンスを公開しました。
Black Bastaが使用するドメイン、ホスト、ファイルサンプルを検索するアナリストは、脅威イベントを利用して、この脅威アクターのオペレーションについて貴重なインサイトを得ることができます。例えば、脅威イベントUIでは、以下の画像に示すように、ドロップダウンで「BlackBasta」を選択して、「Attacker」列をフィルタリングできます。これにより、さらに調査するための、検証済みのIPアドレス、ドメイン、ファイルハッシュのリストが作成されます。Black Bastaの脅威アクティビティに対するCloudflare独自の可視性に関する詳細情報は、「Black Bastaの失敗:グループの漏洩したチャットを悪用する」をご覧ください。
脅威イベントを公表する理由
当社のお客様は、業務を混乱させたり、機密データを漏えいさせたりする可能性のある、無数のサイバー脅威に直面しています。敵対者がますます高度化する中、タイムリーかつ妥当な脅威インテリジェンスの必要性は、かつてないほど重要になっています。そこで、当社は脅威イベントを導入することで、これらの脅威の詳細なインサイトを提供します。
脅威イベントプラットフォームは、リアルタイムで発生している脅威アクティビティの詳細でコンテキストに基づいたビューを提供することで、このギャップを埋めることを目的としています。この機能により、アナリストはセルフサービスして、カスタマイズ可能なフィルタを通じてインシデントを探ることができ、パターンを特定して効果的に対応することができます。リアルタイムの脅威データへのアクセスを提供することで、組織がセキュリティ戦略に関する情報に基づいた意思決定を行えるようにします。
脅威イベントプラットフォームの価値を検証するため、Fortune 20企業の脅威インテリジェンスチームにテストを実施してもらいました。他の110のソースに対して分析を実施し、当社はその中でナンバーワンの脅威インテリジェンスソースに選ばれました。脅威インテリジェンスにおいて、当社は「優秀なユニコーン企業」であることが明らかになりました。このプラットフォームはまだ初期段階ですが、独自性の高いインテリジェンスを提供し、防御側にとって極めて価値のある情報を届けていることが確認されています。
今後の展開は?
Cloudforce Oneのお客様は現在、当社のAPIとダッシュボードにアクセスできるようになり、既存のシステムに脅威インテリジェンスをシームレスに統合することができます。また、近日中に脅威イベントの視覚化と分析にもアクセスできるようになり、脅威状況をよりよく理解して調査結果をレポートできるようになります。このUIでは、攻撃者のタイムライン、キャンペーンの概要、攻撃グラフの視覚化が強化され、組織が直面する脅威についてさらに深いインサイトが提供されます。さらに、既存のSIEMプラットフォームと統合し、システム全体でインジケーターを共有する機能を追加する予定です。
当社チームが発表する脅威インテリジェンス調査の詳細については、このリンクからご覧ください。また、当社の新しい脅威イベントを活用してサイバーセキュリティ体制を強化する方法については、担当のアカウントチームまでお問い合わせください。