Threat Intelligence Portal:より深い解析のために

この記事が万人向けでないことは重々承知している。95%の人々にとっては何の役にも立たないことだろう。ただ、残る5%の人々に関しては、1週間の(そして週末の)労働を大幅に簡素化できる可能性を秘めている。何が言いたいかと言うと、サイバーセキュリティのプロ—SOCチーム、組織に属さないリサーチャー、探求心のある技術者—である皆さんに、我々からちょっとしたお知らせがある。当社のキツツキたち(マルウェアアナリストの愛称)やGReATのメンバーが、サイバー脅威に関する調査研究レポートを世に送り出すため日常的に利用しているツール「Threat Intelligence Portal」のライトバージョンが、無料で誰でも利用できるようになった。すぐにでもブックマークすることをお勧めしたいと思う。

Threat Intelligence Portal(脅威インテリジェンスポータル)は、過剰に広範な業務に携わる現代のサイバーセキュリティエキスパートが抱える2つの主な問題を解決する。第1に「疑わしいファイルが数百もあるが、どれから手を付けるべきだ?」 問題。第2に「よし、このファイルは感染していないとウイルス対策製品が言っている。で、次のファイルはどうだろう?」問題だ。

従来からあるエンドポイントセキュリティ級の製品は、危険かそうでないかの簡潔な判定を返すが、Threat Intelligence Portalに組み込まれた解析ツールは、ファイルがどのように不審なのか、どのような状況にあるのかといった詳細情報を提供する。ファイルだけではない。ハッシュ、IPアドレス、URLも調べることができる。これらはすべて当社のクラウドによって迅速に分析され、それぞれの結果が戻される。問題点(もしあれば)は何か、感染の希少性、わずかでも似たところのある既知の脅威、作成に使用されたツール、といった具合だ。さらに、実行可能ファイルは特許取得済みのクラウドサンドボックス内で実行され、数分のうちに結果が判明する。

さて、人々の声が聞こえるようだ…「VirusTotalと同じではないか!」

そうだとも言えるし、そうでないとも言える。

両者の目的は同じだ。具体的なインシデントの解析と確かな情報に基づいた意思決定に役立つ付加的な手段を、専門家の皆さんへ提供するという目的だ。一方で、当社のアプローチはVirusTotalのそれとはまったく異なる。

VirusTotalは、シンプルなマルチスキャナーとして考案された。さまざまなウイルス対策エンジンを集約し、利用者がアップロードしたファイルをそれらエンジンに送り込む。そのため、「Xというファイルを検知しない」という非難が、当社を含む全ベンダーへ投げかけられることになる。しかし、「従来のファイルスキャナーではXを検知しない」と言った方が正確だ。後述するが、当社では別の手段を用いて検知できる。しかし、VirusTotal上でそれを目にすることはない。確かにVirusTotalにはいくつかの手段が追加されたが、今でも一番の注力ポイントは、作成から30年以上が経つ保守的なテクノロジーを採用したエンジンをいかに多く網羅するかにある。

複雑な脅威を深く解析するエキスパート集団として、我々はこの「深み」を専門家コミュニティ全体が利用できるようにすることを目指している。Threat Intelligence Portalの場合、さまざまな痕跡(アーティファクト)を分析するのは、各種機関から高評価を受けている当社のエンジンただ1つだ。このエンジンは高度な分析テクノロジーをいくつも組み合わせて解析し(テクノロジーの詳細はこの記事この記事この記事さらにこのあたりを参照してほしい)、詳細な結果を提供する。VirusTotal上にある当社エンジンの一部分と比べ、Threat Intelligence Portalでの検知レベルは当然ながら大きく異なる。

Threat Intelligence Portalの利用に加えて、VirusTotalでファイルをスキャンするのも同様に価値がある。第2、第3、第4の意見は決して悪いことではない。しかし、こうした意見を適切に重み付けする方法を知ることが肝要だ。なお、仮に他のベンダーとパートナーシップを結び情報提供を受けることでThreat Intelligence Portalを拡張することにした場合、当社のデューデリジェンスは格別に厳格なものとなるだろう。

Threat Intelligence PortalとVirusTotalのもう1つの違いは、ぴったりくる言葉がうまく見つからないが、情報の限定的な開示とでも言おうか。VirusTotalにアップロードされたファイルは有料会員なら誰でもアクセス可能だが、Threat Intelligence Portalの場合、他の人がアップロードしたファイルにはアクセスできない。

有料での利用についても少し触れる。

Threat Intelligence Portalには有料版があり、より豊富な情報が得られる。その1つに、検知されたサイバー脅威に関する、当社のトップアナリストが作成した詳細レポートがある。 アップロードされたファイルが、たとえば、既知の金融マルウェアに似ていることが判明した場合、そのマルウェアの開発者がどのような攻撃を実施するのか、どういったツールを使用するのかなど、詳細な最新情報を入手することができる。

コメントを読む 0
コメントを書く