※ 本記事は、Christa Scura による“Threat Intelligence Now Available in Oracle Cloud Infrastructure”を翻訳したものです。
2022 年 3月 2日
本日、Oracle Cloud Infrastructure(OCI)は、Oracle Threat Intelligence Serviceの提供開始により、情報に基づいたセキュリティ上の意思決定をより容易に行えるようにします。Oracle Threat Intelligence Serviceは、Oracle Cloud Guardと新たに提供を開始したOracle Cloud Guard Threat Detectorに統合された実用的な脅威インテリジェンスを提供する新しいサービスで、Oracle Cloudにおけるお客様の重要なリソースの保護を支援します。
Oracle Threat Intelligence Serviceとは?
Oracle Threat Intelligence Serviceは、さまざまなソースの脅威インテリジェンス・データを集約し、Cloud Guardやその他のOCI製品において脅威の検知と防御のための実用的なガイダンスを提供するためにキュレーションを行います。このサービスには、オラクルの精鋭セキュリティ研究者や当社独自のテレメトリ、業界標準のオープン・ソース・フィード、および1日あたり何兆ものセキュリティ・イベントを関連付け、エンドポイント、ワークロード、アイデンティティおよびデータの安全を確保するための実用的な洞察を提供するサイバーセキュリティ企業CrowdStrikeなどの第三者パートナーからの洞察が含まれます。
なぜ脅威情報データが必要なのか?
脅威インテリジェンスの目的は、組織のデジタル・リソースが直面している脅威について理解を深めることで、情報に基づいた意思決定を行うことです。脅威インテリジェンス・データとは、一般に、ドメイン、URL、IPアドレス、ファイル・ハッシュなど、システムやネットワークのログに含まれるフォレンジックな証拠であるIOC(indicators of compromise)のことを指します。脅威インテリジェンス・データは、平均検出時間(MTTD)を短縮するだけでなく、対応者がよりスマートで迅速な判断を下せるように、IOCに関するコンテキストに基づいた認識を与えることで、平均修復時間(MTTR)の短縮にも貢献します。
既知のコマンドおよびコントロール・ノードへのアウトバウンド・ウェブ・トラフィックを検出すれば、侵入の証拠となるかもしれません。また、特定のマルウェアを使用することが知られている犯罪ハッキング組織と関連した過去の記録を持つIPアドレスからユーザーがログインすると、アラートが表示されるかもしれません。このような情報は、インシデント対応チームに、インシデントの範囲を決定するために、ホスト上でそのマルウェアの具体的な証拠を探すように通知されます。
脅威インテリジェンスへの統合的な管理アプローチ
脅威インテリジェンス・データを意図的かつ確実に利用することは、すでに過重労働となっているセキュリティ運用チームにとって負担となる可能性があります。データの入手、検証、管理、保管、手動での統合が必要であり、費用と時間がかかる可能性があります。Oracle Threat Intelligence Serviceは、脅威インテリジェンスを獲得するための完全に統合されたアプローチであり、追加費用はかかりません。
Threat Intelligence Serviceは、初回起動時にCloud GuardとThreat Detectorと統合されます。将来的には、他のOCIセキュリティサービスとの連携も予定しています。
テナントでCloud Guardを有効にすると、Threat Intelligence Serviceは既知の悪意のあるIPとのログの相関を開始し、デフォルトで疑わしいIPアクティビティなどの検出をサポートします。
敵は絶えず進化し、適応しています。IOCマッチングだけでは、脅威を検知することはできません。Cloud Guard Threat Detectorは、Cloud Guardの既存の脅威検知機能を、MITRE ATT@CKと連携した機械学習プラットフォームで拡張したものです。リアルタイムおよび過去のイベントをThreat Intelligence Serviceのデータとともに分析し、sightingsと呼ばれる相関性の高い忠実なセキュリティ警告を生成します。Threat Detectorの詳細はこちらをご覧ください。(図1参照)。
Threat Intelligence Serviceは、シンプルで処方的、かつ統合的なセキュリティをお客様に提供し、多重防御を強化することで、Oracleのセキュリティに対するアプローチを支える重要なコンポーネントです。Cloud GuardおよびThreat Detectorとの統合は始まりに過ぎません。私たちは、防御的な脅威インテリジェンスに対応した機能を、ネットワーク・エッジからIDレイヤーまで拡大していきます。
Threat Intelligence Serviceの仕組み
脅威インテリジェンス・データの取り込みとキュレーションをOracleが管理することで、セキュリティ・エンジニアの負担を軽減することができます。Threat Intelligence Serviceは、データの取り込み、混同の解除、正規化、処理を行った後、悪質性を示す総合的な信頼度スコアを付与します。信頼度スコアに影響を与える要因としては、ソースの品質、行動観察、目撃頻度、再来訪などが考えられます。総合的な信頼度はその時点の評価ですが、アラートのトリアージと修正を加速するために、対応者に文脈に応じた洞察を与える指標履歴も提供します(図2参照)。
Threat Intelligence Serviceの実現
テナントでThreat Intelligence Serviceの価値を得るには、Cloud Guardを有効にする必要があります。
このサービスはCloud Guardと統合されているため、Cloud Guardを有効にすると、自動的にその検出の恩恵を受けることができます。
IOCに関する追加のコンテキスト情報を取得したり、Threat Intelligence Serviceデータベースにアクセスしたりするには、ドキュメントの手順に従って、テナントでThreat Intelligence Serviceを有効にする必要があります。Cloud Guard Threat Detectorを活用するには、Cloud Guardの使用を開始し、ドキュメントに示されているように、ターゲットにThreat Detectorのレシピを追加するだけでよいのです。
さっそく、今日から始めましょう。また、Oracle Cloud Securityブログで、セキュリティ製品の発表やクラウド・リソースを保護するためのベスト・プラクティスをご確認ください。