サイバーセキュリティの世界では、専門家たちが新出の脅威に追いつくべく奮闘を余儀なくされており、状況の変化に対応することが多分に求められる分野であると考えられています。専門家たちが、より人間中心的でプロアクティブな対応を目指すなか、私はそのような新出の脅威に有効な、新しいモデリングプロセスの設計を試みました。
このモデリングプロセスは、攻撃者の費用対効果分析を用いた、概念的で大まかな従来型の経済学的リサーチと、現在の脅威分析で使用される静的かつ汎化されたモデルを組み合わせたものです。
このフレームワークの開発における最初のステップでは、モデル化の対象とする攻撃者に関する情報を広く収集する必要がありました。組織は自分のセクターに関連する脅威を特定したら、それらの脅威の識別、分類、調査を適切に行い、攻撃のタイプを把握しなければなりません。その結果から、ディシジョンツリー(決定木/意思決定ツリー)を作成します。
このディシジョンツリーの最初の分岐は、攻撃者にとって最も一般的な最初の攻撃ベクターです。この分岐には、「Success(成功)」または「Failure(失敗)」という「不確実な(起こりうる)要素」があり、このどちらに進むかでその後のステップが決まります。
たとえば、もし「Success(成功)」すれば、攻撃者は攻撃プロセスのその先のステップへと進みます。しかし、攻撃の試みが「Failure(失敗)」しても、攻撃が失敗して、脅威が存在しなくなったということにはなりません。攻撃者が、得意な侵入経路を1つしか持たない場合もあれば、数多くの攻撃手法があり、それらを使って最初の侵害を実行する場合もあります。
最初の分岐を作成したら、最初の足掛かりを得た攻撃者が次に起こす可能性のあるアクションを考慮して、それに続く分岐を追加します。1つの攻撃手法しか使用しない傾向がある脅威の場合、非常に単純なプロセスとなる可能性があります。しかし、このフレームワークの新しさは、これらのステップの1つが失敗した場合に、攻撃者のアクションを柔軟に考慮できるところにあります。
たとえば、攻撃者が既存のプロセスを検知できない場合でも、攻撃が失敗したことにはなりません。むしろ、攻撃者がマルウェアを実行しようと、別のアカウントやシステム内のプロセスを探す可能性もあります。
プロセスの最後まで進んだら、ツリーをロールバックして重要なポイントを探します。この重要なポイントとは、「Success(成功)」が攻撃の成功(緑色で表示)を意味し、「Failure(失敗)」が攻撃の失敗(赤色で表示)を意味するポイントです。
次に例として示すモデルは、Turlaグループのアクションに基づいて作成されたものです。Turlaは、広く分析され、比較的狭い攻撃ベクターを持つことがわかっています。
企業がどの攻撃者を最も懸念するかを判断したら、意思決定者は、このフレームワークを使用して、減災と監視を最優先で行う領域を決定することができます。このリサーチ結果を適用することにより、企業は自分の業界、地理的地域、および過去の脅威に固有の情報に基づいて、対策を「パーソナライズ」することができます。
しかし、意思決定者は、そのようなアプローチを過剰適合させないように注意し、予想外の攻撃者が悪用する可能性のある脆弱性を見落とさないよう気を付けなければなりません。このフレームワークは、アクション対象の領域の優先順位付けを支援するために使用できますが、「攻撃の可能性は低いが攻撃の影響が大きい領域」を考慮した一般的なリスク評価に取って代わるものではありません。
将来的には、数学的背景を持つ研究者と協力して、このモデルから得た情報に基づいてリスク管理に関する意思決定を行った場合に得られる利益を定量化して検証してみたいと思います。
さらにこの方法は、実際の侵害から収集されたデータや、特定の攻撃者をシミュレートした侵入テストから取得したデータを通して、実際の攻撃シナリオのライブデータに適用することにより、利益を得ることができるでしょう。
執筆者について: Emily Shawgoは、最近カーネギーメロン大学で社会政策とマネジメントの修士号を取得しました。特にサイバーセキュリティマネジメントの研究に力を入れました。また、カーロー大学の心理学と政治学の学士号も取得しています。彼女は、侵入テスト、脅威分析、および人間行動学をサイバーセキュリティの分野に取り入れることに関心を持って活動しています。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
