1年前、私はサイバーセキュリティのエキスパート向けに、当社の開発した新しいツールについてお知らせした。この、誰でも利用可能なThreat Intelligence Portalでは、GReATのエキスパートたちが複雑な脅威(または単に不審なファイル)の解析に使用するのと同じ機能を利用できる。今やThreat Intelligence Portalでは、毎月膨大な数のファイルがチェックされている。
しかし、状況は昨年から大きく変化した。新型コロナウイルスのためにまさに世界全体がリモートワークを余儀なくされ、その只中で、サイバーセキュリティエキスパートの仕事はいっそう厳しいものとなった。企業ネットワークのセキュリティを維持することは、いまや以前の何百倍も大変な仕事だ。COVID-19の流行前から貴重なものであった「時間」は、現在、さらに重い価値を持つ。技術力や知識の高い利用者の皆々さまからは、シンプルかつ直接的な要望が寄せられるようになった。APIの提供と、上限の引き上げだ。
ご要望に、我々はお応えした。
新しくなったThreat Intelligence Portalでは、ユーザー登録が可能になった。普段からよくご利用なのであれば、登録をお勧めする。登録ユーザーになると、有料版のThreat Intelligenceの情報が(それも、かなりの部分が)利用可能となる。
第1に、APIの提供だ。Threat Intelligence Portalを自社ないしは自組織で運用している解析プロセスに連携させることにより、ファイルのほかURL、IPアドレス、ハッシュを、自社プロセスからThreat Intelligence Portalへ直接送信することができる。アップロード可能なファイルの数に上限はない。
第2に、実行ファイル解析情報の充実だ。疑わしいコンテンツに関する判断を示すだけでなく、より多くの解析用生データを提供可能になった。例えばPEファイルの構造に関する情報のほか、そこから抽出した文字列などだ。有料製品のサンドボックス機能も利用可能だ。
今回のアップデートではこのほか、自分がThreat Intelligence Portalで調べたURLやハッシュなどの履歴が誰にも知られないようにするための[Private submission]ボタンが追加された。元々、他の人がアップロードしたファイルを見ることはできないようになっているが、チェックの履歴も非表示にすることが可能となった。
ユーザー登録をしなくても、Threat Intelligence Portalの改良点は目にとまることと思う。Webインターフェイスがいっそう見やすく、使いやすくなり、解析結果も分かりやすくなった。
また、ふるまい分析テクノロジーも追加された。バージョンアップされたThreat Intelligence Portalは、従来のエンドポイント保護のように「感染しているか、していないか」の判断を示すだけでなく、疑わしい属性に関する詳細な分析も提示するため、アナリストにとっては、さらに詳しい調査をすべきかどうかの判断基準を得られる。疑わしいURLに関しては、危険な属性のカテゴリも併せて提示される。
さらなる情報が必要な方々には、より情報量の豊富な有料版のThreat Intelligenceがある。こちらでは、検知されたサイバー脅威に関する、当社のトップアナリストたちによる詳細なレポートを参照可能となっている。
百聞は一見にしかず
漠然とした説明はこのくらいにしよう。実際に使って確かめるのが一番だ。素性の疑わしいファイルを、Threat Intelligence Portalにアップロードしてみていただきたい。
Threat Intelligence Portalを初めて利用する方にも、このツールの有用性は伝わるものと思う(VirusTotalがあるのは分かっているが、この話は前回の記事ですでに触れた)。とりわけ、ありとあらゆるタイプのサイバー脅威を解析する日常の中でこのツールをご利用いただいたなら、これが欠くことのできないツールであると実感していただけることだろう。