Threat Intelligence専業の新興企業NORSEでは、世界中に数百万のハニーポット（攻撃を受けるために設置されたセンサー）を設置し、IPアドレスごとに、そのIPアドレスがどのような挙動を取ってきたか、その所有組織や地理的な位置も含めた詳細かつ膨大なデータを、一日に数百テラバイト単位で収集し、ネットワークの深い部分まで監視、解析を行っています。

 同社のデータベースには約400万件の脅威IPアドレスが含まれており、それぞれについて、「いつ、どんなマルウェアを配布したか」といった履歴や、脅威度のスコアがひもづいています。これを参照することで、「今アクセスしようとしているIPアドレスは安全か、それとも危険か」を判断できるのです。

 既存セキュリティベンダーが提供する脅威情報の範囲が、製品導入先の企業内で観測されたマルウェアや攻撃に限られるのに対して、NORSEのようなThreat Intelligence専業企業は、そもそもの脅威発生源である攻撃者が活動するインターネットにおける情報を、グローバル規模でライブで得られる点が大きく異なります。

 NORSEではこのデータベースを核として、疑わしいIPアドレス・URLの情報を問い合わせできる「DarkViking」や脅威IPアドレスに関する情報をCSVファイルとしてダウンロードできる「Darklist」といったサービスを提供しており、こうして得た情報は、CSIRTを運営する先進的な企業では、SIEMと連携してモニタリングに活用されはじめています。

 一方で、こうして収集された膨大な情報を、どのように活用していくのか、という新たな課題も浮上しています。企業レベルでの回答としては、Threat Intelligenceと、セキュリティ監視やセキュリティマネージドサービスなどとの併用などが提案されています。また、産業界としては、たとえば、金融や重要インフラなどの業界では、企業の枠を超え、脅威に関する情報を共有するための枠組みが広がりつつあります。

 近年、米国政府の支援を受けた非営利団体が「STIX（Structured Threat Information eXpression）」と呼ばれる、サイバー攻撃に関するさまざまなアラートやログなどの情報を、すべての製品やソフトウェアで共通化する、標準記述形式を開発しています。こうした標準を活用し、インシデントレスポンス活動の自動化や、脅威に対し予防的に対応する仕組み作りが期待されています。