こんばんは。柊です。
だいぶ間が空いてしまいましたが、最近読んだセキュリティの本を紹介します。
「インテリジェンス駆動型インシデントレスポンス 攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法」です。
まず、「サイバー脅威インテリジェンス」とは何かがわからないですよね。本書では、「攻撃者がどのようにサイバー領域を利用し、目的を達成するか、その手口を分析すること」と定義されています。インテリジェンスの作成から利用までのサイクルと、インシデントの発生から復旧までのサイクルをひとつなぎにして対応しましょうというモデル(「F3EADモデル」)の紹介と説明に多くのページが割かれています。
読んだ感想としては、ある程度基本的なセキュリティ対策ができている組織がインテリジェンスの活用に取り組み始める組織や、自社流のインテリジェンス活用を実施しておりプロセスを改善したい組織に役立ちそうです。
逆に言うと、現時点で資産管理やセキュリティ対応組織、セキュリティ対策機器の整備ができていない組織にとってはレベルの高い話かと思います。
目次は以下のとおり。
第1部 基礎編
1章 導入
2章 インテリジェンスの基礎
3章 インシデント対応の基礎
第2部 実践・応用編
4章 調査フェーズ
5章 決定フェーズ
6章 完了フェーズ
7章 活用フェーズ
8章 分析フェーズ
9章 配布フェーズ
第3部 発展編
10章 戦略的インテリジェンス
11章 インテリジェンスプログラムの構築
付録A インテリジェンス成果物
付録のインテリジェンス成果物はもう1つ、といったところでしょうか。この本の読者としては、マルウェアのレポートサンプルよりも、攻撃組織に焦点を当てたサンプルがほしくなるのではないかと思います(Mandiant社のAPT1のレポートで良いかもしれませんが…)。
ただ、インテリジェンスサイクルやインシデント対応サイクルといった基本的な内容から解説されているので、インテリジェンスになじみのない方も読みやすいと思います。
インテリジェンスの活用はほとんどの組織で大なり小なり実施されていると思われるものの、体系的に活用するためには、それぞれの組織で試行錯誤が必要になりそうです。