F5 CTO オフィスの一部である Advanced Threat Research Center of Excellence は、インターネットを悩ませている最も蔓延している脅威の秘密を明らかにすることに重点を置いています。 F5 Labsの脅威インテリジェンスへの重点を補完するために、ATRCoE は高度な脅威研究を実施し、サイバーセキュリティのリスクに関する外部からの見解を提示します。 この研究は分析され、サイバーセキュリティの分野における説得力のある思想的リーダーシップと洞察を生み出します。
Aditya Sood 博士が率いるこの新しいグループは、すでに高度な脅威を発見し、Virus Bulletin、Elsevier Magazines、BlackHat Arsenal などの複数の出版物や、Texas Cyber Summit、BSides Berlin、Hack-in-Paris、Secure 360、Virus Bulletin などの業界をリードするセキュリティ カンファレンスで研究成果を発表しています。 注目すべき作品をいくつか以下に紹介します。
チームは脅威研究者と開発エンジニアで構成されています。
ATRCoE チームは、脅威の戦略的、運用的、戦術的、分析的側面に重点を置いています。 高度な脅威のビジネスリスクと影響を理解することで、脅威の調査トピックを決定します。 次に、それらの脅威を分析して、TTP (テクニック、戦術、手順)、KSA (知識、スキル、能力)、AIL (攻撃インフラストラクチャとランチパッド) を見つけます。 この背景と既存の研究を研究することで、チームは研究の基盤を形成し、それに取り組むための最善のアプローチを決定します。 アプローチは、防御的、攻撃的、またはハイブリッドにすることができます。 使用される手法は、予防的、受動的、またはその両方の組み合わせである場合があります。 彼らは、オープンソース ツールを構築し、さまざまなセキュリティ ポータルやカンファレンスで研究成果を公開することで、脅威インテリジェンスを共有しています。
研究テーマの選択方法は、社内で開発された TRIG (脅威の調査とインテリジェンス生成) フレームワークに基づいています。 調査は、インターネット上で進行中の高度な脅威との関連性に基づいて選択されます。 ゼロデイ脆弱性を含む、非常に深刻で広く報道されている高度な脅威は、緊急性があり、F5 の製品に影響を及ぼすため、最も注意が必要です。 たとえば、ATRCoE は、国家レベルの敵対者が特に使用する AZORult、Collector-stealer、Blackguard などの高度な脅威を分析しました。
さらに、ATRCoE は、サイバーセキュリティの課題に対処するために ML/AI の使用に注力しています。 たとえば、F5 のセキュリティ データ ウェアハウス内で構造化された形式で大量の DNS (ドメイン ネーム サーバー) および HTTP (ハイパーテキスト転送プロトコル) ログを分析し、そのデータを探索して脅威の状況における興味深い脅威アーティファクトや傾向を見つけ、現在の課題を把握します。 例としては、Covid-19 をテーマにしたフィッシング サイトに関するチームの公開された研究や、Project Astra の DGA 検出研究などが挙げられます。
チームは、社内設計のカスタム スクリプト、nmap、masscan、wireshark、tshark、bro、Radare2/Cutter、Ghidra、python などのオープンソース ツール、Burp proxy などのエンタープライズ ツールなど、分析、自動化、インテリジェンスにさまざまなツールを活用するハイブリッド アプローチを実践しています。
_____
この種の研究の性質上、新しいコンテンツがいつ公開されるかを予測することは困難ですが、このグループから近いうちにさらに多くのコンテンツが公開されると予想されます。