スターバックスでは、次のような注文をよく聞きます。「豆乳バニラ カプチーノ、ハーフ*、スーパー ホットをください。」おそらく私たちもこのように注文します。実際のところ、私たちは物事を自分の思いどおりに行うことに慣れており、それはコーヒーのような小さなものにも反映されており、そこではバリスタが私たちの期待に確実に応えられるようにする責任があります。
テクノロジーの世界も同様ですが、キャラメルやバニラシロップで個人の好みを満たすのではなく、テクノロジーや製品は経験、慣れ、個人の好みに基づいて選択されます。商業の世界では、ブランドの好み、特定のチームの経験と専門知識、動作環境、プロセスとワークフロー、サポートが必要な特定の既存のエンタープライズ インフラストラクチャなどのパラメータに合わせてカスタマイズする必要があるため、カスタマイズはさらに複雑になります。このカスタマイズ需要は「スターバックス効果」とも呼ばれ、IT 業界全体に波及し、ハードウェア、ソフトウェア、サービスなどに影響を及ぼします。
その典型的な例は、普遍的な安全保障が存在しないということです。これは、インフラストラクチャと防御層の開発の歴史から見ることができます。長年にわたり、企業は最新の脅威に対処したり、ビジネス ニーズを満たすために、拡大し続ける最終製品の中から選択してきました。企業ごとにニーズは異なり、その結果得られるセキュリティ インフラストラクチャも異なります。
同じ状況が脅威インテリジェンスにも反映されています。すべての脅威データが同じように重要であるわけではなく、自社には関連しても他の企業には重要ではないデータもあります。さらに、脅威インテリジェンスを活用する方法は、インフラストラクチャと人員によって異なります。たとえば、十分な人的資源を備えた大企業は、2 つまたは 3 つの分離度で脅威データ (ダウンストリーム IP アドレス、ドメイン名登録者など) を追跡するためのリソースを持っています。このようなリソースのない企業は、現在活動している脅威、自社の業界を標的とする脅威、または既知の敵に関連する脅威のみを調査し、選択的に追跡する必要があります。
包括的な脅威インテリジェンス プロジェクトの構築は、通常、サブスクライブするさまざまな脅威データ フィード ソースを選択することから始まります。商用ソース、オープンソース、業界ソースなどを選択することも、既存のセキュリティ ベンダーからの脅威データ ソースを組み込んでデータを統合することもできます。図書館の中央保管庫。次に、防御層および SIEM 内の各最終製品に、この中央リポジトリと通信するためのチャネルを装備して、グローバルな脅威データと、これらのソリューションによって生成される膨大な量のログおよび時間データを結合できるようにする必要があります。
豊富なデータはもちろん良いことですが、それには多くのノイズも含まれています。一部の脅威データ フィードやセキュリティ ベンダーは、脅威スコアを公開することでノイズの軽減に努めています。ただし、これらの評価は世界共通です。本当に必要なのは、環境に関連した評価です。コーヒーの注文と同じように、自分が何を好み、何が必要かを知っているのはあなただけです。実際のノイズをフィルタリングできるように、脅威スコアをカスタマイズし、脅威インジケーターのソース、タイプ、属性、コンテキストに加えて敵対者の属性に基づいて脅威インテリジェンスを分類できる必要があります。
カスタマイズされた脅威インテリジェンスだけでは十分ではなく、パーソナライズされた方法で脅威インテリジェンスを使用する能力も必要です。これには、双方向に通信できるソリューションが必要です。内部システムからデータを受信するだけでなく、厳選された脅威インテリジェンスを中央リポジトリから環境内のすべての必要なツールに送信することもできます。たとえば、脅威インテリジェンスを既存のインシデント管理ソリューションや SIEM ソリューションに送信すると、これらのテクノロジーがより効率的に機能を実行し、誤検知を減らすことができます。この脅威インテリジェンスは、将来の攻撃を予測して防止するためにも使用できます。脅威インテリジェンスを防御層 (ファイアウォール、ウイルス対策、IPS/IDS、Web および電子メールのセキュリティ、エンドポイントの検出と対応、ネットワーク トラフィック分析など) に自動的に送信して、そして、リスクを軽減するために最新のポリシーとルールを適用します。
脅威インテリジェンス自体とその統合方法をカスタマイズできるソリューションを使用すると、脅威インテリジェンスを「注文」できます。ただし、すべての企業がこのカスタマイズ プロセスを独自に完了できるわけではありません。
世界的なサイバーセキュリティ人材不足は悪化し続けており、2019 年までにセキュリティ関連の求人が 200 万件発生すると予想されています。脅威インテリジェンス プログラムを開発または実装するセキュリティ専門家がいない場合は、マネージド セキュリティ サービス プロバイダー (MSSP) が役立ちます。 MSSP は、必要なサービスを簡単に受けられるようにするためのさまざまなオプションを提供します。お客様に代わってカスタム プロセスを完了し、データを実用的な脅威インテリジェンスに変換し、それをインフラストラクチャと運用に統合できます。また、企業に関連する脅威インテリジェンスを使用して全体的なセキュリティ運用を改善し、企業にとって最も重要な脅威を直接ターゲットにすることもできます。
スターバックス効果は IT 業界では非常に一般的であり、脅威インテリジェンスもこの動きの影響を受けます。適切なテクノロジーとサービスがあれば、あらゆる企業は、適切な時間、場所、適切な方法で関連する脅威インテリジェンスを取得し、分類することができます