U.S. Rand研究所 拡張性のある警告・回復モデル(SWARM) - サイバースペースにおける防御側の予測能力の強化
こんにちは、丸山満彦です。
Rand研究所が、「拡張性のある警告・回復モデル(SWARM) - サイバースペースにおける防御側の予測能力の強化」という研究報告書を公開していますね。。。
・2021.05 RAND's Scalable Warning and Resilience Model (SWARM)
Enhancing Defenders' Predictive Power in Cyberspace
この4つのステップでインテリジェンスベースの防御を考えるということですね。。。
パワーポイントです。。。[PPTX]
さて、報告書です。。。
・[PDF]
Preface | 序文 |
Figures and Tables | 図と表 |
Summary | まとめ |
Acknowledgments | 謝辞 |
Abbreviations | 省略記号 |
CHAPTER ONE Introduction, Research Methodology, and Historical Evolution of Concepts |
第1章 はじめに、研究方法、概念の歴史的変遷 |
Research Methodology and Report Organization | 調査方法と報告書の構成 |
History and Evolution of Indications and Warning Frameworks in the USIC | USICにおける指標と警告のフレームワークの歴史と進化 |
Main Definitions of I&W Frameworks | I&Wフレームワークの主な定義 |
History and Evolution of the Concept of Resilience | レジリエンスの概念の歴史的変遷 |
CHAPTER TWO Indications and Warning Frameworks |
第2章 指標と警告のフレームワーク |
CHAPTER THREE RAND’s Scalable Warning and Resilience Model at a Glance |
第3章 ランド研究所の拡張性のある警告・回復モデルの概要 |
CHAPTER FOUR SWARM Step One: Identify Relevant Cyber Adversaries |
第4章 SWARMステップ1:関連するサイバー敵対者を特定する |
Identify Organization Type to Be Protected | 保護すべき組織のタイプを特定する |
Categorizing Cyber Threat Classes | サイバー脅威のクラスを分類する |
Identifying the Main Cyber Threat Classes Targeting an Organization | 組織を標的とする主なサイバー脅威クラスの特定 |
CHAPTER FIVE SWARM Step Two: Focus All-Source Intelligence Collection |
第5章 SWARMステップ2:あらゆる情報を収集する |
Technical CTI Collection | 技術的なCTIの収集 |
Nontechnical OSINT Collection and Analysis | 非技術的なOSINTの収集と分析 |
CHAPTER SIX SWARM Step Three: Apply a Threat Model |
第6章 SWARMステップ3.脅威モデルを適用する |
CHAPTER SEVEN SWARM Step Four: Adversary Emulation |
第7章 SWARMステップ4 敵対者をまねる |
CHAPTER EIGHT Case Study: Applying SWARM to Predict Phishing Campaigns from the North Korea–Nexus Kimsuky Threat Actor |
第8章 ケーススタディ:SWARMを適用して、北朝鮮と関係のあるKimsuky脅威アクターからのフィッシング・キャンペーンを予測する |
Step One Applied—Identify Relevant Cyber Adversaries | ステップ1 応用 - 関連するサイバー敵対者を特定する |
Step Two Applied—Focus All-Source Intelligence Collection | ステップ2 応用 - あらゆる情報を収集する |
Step Three Applied—Apply a Threat Model | ステップ3 応用 - 脅威モデルを適用する |
Step Four Applied—Adversary Emulation | ステップ4 応用 - 敵対者をまねる |
CHAPTER NINE Conclusion |
第9章 結論 |
References | 参考文献 |
まだ、読んでいませんが、興味深そうな報告書です。。。
In the first two decades of the 21st century, the coevolutionary adaptation of cyber threat actors and technology has been akin to an escalatory arms race between cyber offense and cyber defense. Paradigm-shifting technology advancement, transparent unclassified reporting on cyber incidents, and the proliferation of open-source hacking tools in the context of complex geopolitical dynamics further exacerbate the cyber defense challenge. Although the integration of such practices as cyber threat modeling, information-sharing, and threat-hunting into defensive strategies has become more common in recent years, the cyber defense community needs to continue to push the envelope to become more resilient and, ideally, get ahead of the threats facing organizations. | 21世紀に入ってからの20年間、サイバー脅威の主体とテクノロジーの共進化的適応は、サイバー攻撃とサイバー防衛の間のエスカレートする軍拡競争のようなものでした。複雑な地政学的ダイナミクスの中で、パラダイムシフトする技術の進歩、サイバーインシデントに関する透明性の高い未分類の報告、オープンソースのハッキングツールの拡散は、サイバー防衛の課題をさらに悪化させています。近年、サイバー脅威のモデル化、情報共有、脅威探索などを防御戦略に組み込むことが一般的になってきていますが、サイバーディフェンスのコミュニティは、弾力性を高め、理想的には組織が直面している脅威の先を行くために、限界を超え続ける必要があります。 |
This research endeavors to contribute to the community via the formulation of a process-based model called the Scalable Warning and Resilience Model (SWARM), which focuses on cyber threats from state-sponsored actors but without the assumption of access to classified information or assets. SWARM prioritizes threat detection, facilitates better prediction of cyber incidents, and enhances network resilience by combining processes that seek to help organizations anticipate and defend against attackers. The model tailors data collection, cyber threat intelligence, and penetration testing to the particular type of intrusion sets most likely to target one's network. | 本研究では、「拡張性のある警告・回復モデル(SWARM)」と呼ばれるプロセスベースのモデルを策定することで、このコミュニティに貢献しようとしています。このモデルは、機密情報や資産へのアクセスを前提とせずに、国家組織からのサイバー脅威に焦点を当てています。SWARMは、組織が攻撃者を予測して防御するためのプロセスを組み合わせることで、脅威の検知を優先させ、サイバーインシデントの予測を容易にし、ネットワークの回復力を高めます。このモデルは、データ収集、サイバー脅威インテリジェンス、侵入テストを、ネットワークを標的とする可能性の高い特定のタイプの侵入セットに合わせて調整します。 |
This proposed model adapts the concept of applying both resilience and indications and warning (I&W) frameworks to information environments while also incorporating a combination of tailored threat modeling and emulation. This report also includes a case study—based on cyber incidents that occurred at the RAND Corporation—that demonstrates how the model has the potential to produce promising results for defenders by proactively protecting their systems through early warning of cyber incidents before they occur. | このモデルは、レジリエンスとI&W(指標と警告)の両方のフレームワークを情報環境に適用するという概念を応用し、さらに脅威のモデル化とエミュレーションを組み合わせたものです。また、本レポートでは、ランド研究所で発生したサイバーインシデントをベースにしたケーススタディを行い、このモデルが、サイバーインシデントが発生する前に早期に警告を発してシステムをプロアクティブに保護することで、防御側に有望な結果をもたらす可能性があることを示しています。 |
Key Findings | 主な調査結果 |
The variety of cyber threats that organizations face necessitates a tailored and targeted approach to cyber security | 組織が直面している多様なサイバー脅威に対応するためには、サイバーセキュリティに対してカスタマイズされたターゲットを絞ったアプローチが必要である。 |
・The current wide spectrum of actors, methods, and scenarios that can pose a risk to U.S. and allied interests is reflected in a broader definition of threats in cyberspace. | ・現在、米国および同盟国の利益にリスクをもたらす可能性のある行為者、方法、およびシナリオが多岐にわたっていることは、サイバースペースにおける脅威の定義が広がっていることに反映されている。 |
・Current cyber defenses primarily focus on identifying and managing cyber threats after the cyber adversary has already breached the networks, not beforehand. | ・現在のサイバー防御は、サイバー敵対者がネットワークに侵入した後にサイバー脅威を特定・管理することに主眼が置かれており、事前ではない。 |
・I&W frameworks—that have been developed by the U.S. intelligence community and are intended to be analytical processes providing ways of monitoring, reporting on, and detecting developments related to threats—can be effectively applied to cyberspace and can increase cyber defenders' ability to anticipate threats before those threats breach the networks of an organization. | ・I&Wフレームワークは、米国の情報機関が開発したもので、脅威に関する動向を監視、報告、検知するための分析プロセスを目的としているが、これをサイバー空間に効果的に適用することで、脅威が組織のネットワークに侵入する前に、サイバー防御者が脅威を予測する能力を高めることができる。 |
SWARM is a four-step threat-centric process that facilitates the prioritization of threats while enhancing resilience and predictive power | SWARMは、4つのステップからなる脅威中心のプロセスであり、脅威の優先順位付けを行うとともに、回復力と予測力を高めることができます。 |
・SWARM is adaptable across organizations and helps defenders prioritize state-sponsored threats to their information environment. | ・SWARMは、組織を超えて適用可能であり、情報環境に対する国家的な脅威の優先順位付けを支援します。 |
・SWARM is designed to increase predictive power by providing advance warning for cyber incidents through early and more-comprehensive indicators, both technical and nontechnical. | ・SWARMは、技術的、非技術的に関わらず、より包括的な指標を用いてサイバーインシデントを事前に警告することで、予測力を高めるように設計されています。 |
・SWARM intends to enhance network resilience against targeted cyber incidents. | ・SWARMは、標的となるサイバーインシデントに対するネットワークの回復力を高めることを目的としています。 |
« Cloud Security Alliance 災害復旧 as a Serviceのガイド | Main | NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか? »
Comments