« Cloud Security Alliance 災害復旧 as a Serviceのガイド | Main | NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか? »

2021.05.15

U.S. Rand研究所 拡張性のある警告・回復モデル(SWARM) - サイバースペースにおける防御側の予測能力の強化

こんにちは、丸山満彦です。

Rand研究所が、「拡張性のある警告・回復モデル(SWARM) - サイバースペースにおける防御側の予測能力の強化」という研究報告書を公開していますね。。。

RAND Corporation

・2021.05 RAND's Scalable Warning and Resilience Model (SWARM)

Enhancing Defenders' Predictive Power in Cyberspace

この4つのステップでインテリジェンスベースの防御を考えるということですね。。。

20210514-161535

パワーポイントです。。。[PPTX]

 

さて、報告書です。。。

・[PDF]

20210514-153727

Preface 序文
Figures and Tables 図と表
Summary まとめ
Acknowledgments 謝辞
Abbreviations 省略記号
CHAPTER ONE
Introduction, Research Methodology, and Historical Evolution of Concepts
第1章
はじめに、研究方法、概念の歴史的変遷
Research Methodology and Report Organization 調査方法と報告書の構成
History and Evolution of Indications and Warning Frameworks in the USIC USICにおける指標と警告のフレームワークの歴史と進化
Main Definitions of I&W Frameworks I&Wフレームワークの主な定義
History and Evolution of the Concept of Resilience レジリエンスの概念の歴史的変遷
CHAPTER TWO
Indications and Warning Frameworks
第2章
指標と警告のフレームワーク
CHAPTER THREE
RAND’s Scalable Warning and Resilience Model at a Glance
第3章
ランド研究所の拡張性のある警告・回復モデルの概要
CHAPTER FOUR
SWARM Step One: Identify Relevant Cyber Adversaries
第4章
SWARMステップ1:関連するサイバー敵対者を特定する
Identify Organization Type to Be Protected 保護すべき組織のタイプを特定する
Categorizing Cyber Threat Classes サイバー脅威のクラスを分類する
Identifying the Main Cyber Threat Classes Targeting an Organization 組織を標的とする主なサイバー脅威クラスの特定
CHAPTER FIVE
SWARM Step Two: Focus All-Source Intelligence Collection
第5章
SWARMステップ2:あらゆる情報を収集する
Technical CTI Collection 技術的なCTIの収集
Nontechnical OSINT Collection and Analysis 非技術的なOSINTの収集と分析
CHAPTER SIX
SWARM Step Three: Apply a Threat Model
第6章
SWARMステップ3.脅威モデルを適用する
CHAPTER SEVEN
SWARM Step Four: Adversary Emulation
第7章
SWARMステップ4 敵対者をまねる
CHAPTER EIGHT
Case Study: Applying SWARM to Predict Phishing Campaigns from the North Korea–Nexus Kimsuky Threat Actor
第8章
ケーススタディ:SWARMを適用して、北朝鮮と関係のあるKimsuky脅威アクターからのフィッシング・キャンペーンを予測する
Step One Applied—Identify Relevant Cyber Adversaries ステップ1 応用 - 関連するサイバー敵対者を特定する
Step Two Applied—Focus All-Source Intelligence Collection ステップ2 応用 - あらゆる情報を収集する
Step Three Applied—Apply a Threat Model ステップ3 応用 - 脅威モデルを適用する
Step Four Applied—Adversary Emulation ステップ4 応用 - 敵対者をまねる
CHAPTER NINE
Conclusion
第9章
結論
References 参考文献

 

まだ、読んでいませんが、興味深そうな報告書です。。。

 

 

 

 

 

In the first two decades of the 21st century, the coevolutionary adaptation of cyber threat actors and technology has been akin to an escalatory arms race between cyber offense and cyber defense. Paradigm-shifting technology advancement, transparent unclassified reporting on cyber incidents, and the proliferation of open-source hacking tools in the context of complex geopolitical dynamics further exacerbate the cyber defense challenge. Although the integration of such practices as cyber threat modeling, information-sharing, and threat-hunting into defensive strategies has become more common in recent years, the cyber defense community needs to continue to push the envelope to become more resilient and, ideally, get ahead of the threats facing organizations. 21世紀に入ってからの20年間、サイバー脅威の主体とテクノロジーの共進化的適応は、サイバー攻撃とサイバー防衛の間のエスカレートする軍拡競争のようなものでした。複雑な地政学的ダイナミクスの中で、パラダイムシフトする技術の進歩、サイバーインシデントに関する透明性の高い未分類の報告、オープンソースのハッキングツールの拡散は、サイバー防衛の課題をさらに悪化させています。近年、サイバー脅威のモデル化、情報共有、脅威探索などを防御戦略に組み込むことが一般的になってきていますが、サイバーディフェンスのコミュニティは、弾力性を高め、理想的には組織が直面している脅威の先を行くために、限界を超え続ける必要があります。
   
This research endeavors to contribute to the community via the formulation of a process-based model called the Scalable Warning and Resilience Model (SWARM), which focuses on cyber threats from state-sponsored actors but without the assumption of access to classified information or assets. SWARM prioritizes threat detection, facilitates better prediction of cyber incidents, and enhances network resilience by combining processes that seek to help organizations anticipate and defend against attackers. The model tailors data collection, cyber threat intelligence, and penetration testing to the particular type of intrusion sets most likely to target one's network. 本研究では、「拡張性のある警告・回復モデル(SWARM)」と呼ばれるプロセスベースのモデルを策定することで、このコミュニティに貢献しようとしています。このモデルは、機密情報や資産へのアクセスを前提とせずに、国家組織からのサイバー脅威に焦点を当てています。SWARMは、組織が攻撃者を予測して防御するためのプロセスを組み合わせることで、脅威の検知を優先させ、サイバーインシデントの予測を容易にし、ネットワークの回復力を高めます。このモデルは、データ収集、サイバー脅威インテリジェンス、侵入テストを、ネットワークを標的とする可能性の高い特定のタイプの侵入セットに合わせて調整します。
   
This proposed model adapts the concept of applying both resilience and indications and warning (I&W) frameworks to information environments while also incorporating a combination of tailored threat modeling and emulation. This report also includes a case study—based on cyber incidents that occurred at the RAND Corporation—that demonstrates how the model has the potential to produce promising results for defenders by proactively protecting their systems through early warning of cyber incidents before they occur. このモデルは、レジリエンスとI&W(指標と警告)の両方のフレームワークを情報環境に適用するという概念を応用し、さらに脅威のモデル化とエミュレーションを組み合わせたものです。また、本レポートでは、ランド研究所で発生したサイバーインシデントをベースにしたケーススタディを行い、このモデルが、サイバーインシデントが発生する前に早期に警告を発してシステムをプロアクティブに保護することで、防御側に有望な結果をもたらす可能性があることを示しています。
   
Key Findings 主な調査結果
The variety of cyber threats that organizations face necessitates a tailored and targeted approach to cyber security 組織が直面している多様なサイバー脅威に対応するためには、サイバーセキュリティに対してカスタマイズされたターゲットを絞ったアプローチが必要である。
・The current wide spectrum of actors, methods, and scenarios that can pose a risk to U.S. and allied interests is reflected in a broader definition of threats in cyberspace. ・現在、米国および同盟国の利益にリスクをもたらす可能性のある行為者、方法、およびシナリオが多岐にわたっていることは、サイバースペースにおける脅威の定義が広がっていることに反映されている。
・Current cyber defenses primarily focus on identifying and managing cyber threats after the cyber adversary has already breached the networks, not beforehand. ・現在のサイバー防御は、サイバー敵対者がネットワークに侵入した後にサイバー脅威を特定・管理することに主眼が置かれており、事前ではない。
・I&W frameworks—that have been developed by the U.S. intelligence community and are intended to be analytical processes providing ways of monitoring, reporting on, and detecting developments related to threats—can be effectively applied to cyberspace and can increase cyber defenders' ability to anticipate threats before those threats breach the networks of an organization. ・I&Wフレームワークは、米国の情報機関が開発したもので、脅威に関する動向を監視、報告、検知するための分析プロセスを目的としているが、これをサイバー空間に効果的に適用することで、脅威が組織のネットワークに侵入する前に、サイバー防御者が脅威を予測する能力を高めることができる。
SWARM is a four-step threat-centric process that facilitates the prioritization of threats while enhancing resilience and predictive power SWARMは、4つのステップからなる脅威中心のプロセスであり、脅威の優先順位付けを行うとともに、回復力と予測力を高めることができます。
・SWARM is adaptable across organizations and helps defenders prioritize state-sponsored threats to their information environment. ・SWARMは、組織を超えて適用可能であり、情報環境に対する国家的な脅威の優先順位付けを支援します。
・SWARM is designed to increase predictive power by providing advance warning for cyber incidents through early and more-comprehensive indicators, both technical and nontechnical. ・SWARMは、技術的、非技術的に関わらず、より包括的な指標を用いてサイバーインシデントを事前に警告することで、予測力を高めるように設計されています。
・SWARM intends to enhance network resilience against targeted cyber incidents. ・SWARMは、標的となるサイバーインシデントに対するネットワークの回復力を高めることを目的としています。

 

|

« Cloud Security Alliance 災害復旧 as a Serviceのガイド | Main | NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« Cloud Security Alliance 災害復旧 as a Serviceのガイド | Main | NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか? »