Talos での初勤務の日、Dave Liebenberg は Mac でターミナルを開いたことすらありませんでした。Snort ルールを作成したことも、ダーク Web フォーラムに潜入したこともなかったのは言うまでもありません。
サイバーセキュリティの経験なしにセキュリティの世界に飛び込んだ人材が Talos には何人もいるものの、自分こそがその第 1 号で、流れを作り出したのだと冗談めかして話します。同僚の Azim Khodjibaev の例で言うと、現実世界の軍事諜報活動にキャリアの大半を費やした後、Liebenberg の数年後に Talos で働くようになりました。
Liebenberg の経歴を紹介すると、大学では中国の文化と中国語、国際関係を学びました。中国で数年間英語を教え、米国に戻ってからはシンクタンクで中国の伝統的な安全保障問題の分析に従事。その後、Talos の脅威インテリジェンスおよび脅威阻止チームで翻訳者として働く機会を得たことで、情報セキュリティの世界に飛び込むことを決意しました。
それから 7 年が過ぎ、現在は脅威インテリジェンスアナリストと脅威ハンターからなるチーム全体を監督しています。世界最大規模の攻撃者グループの監視にあたっているチームの長を務めているのです。ターミナルが何かも、Python コードの書き方も今では理解しています。
「最初の頃は、問題があると報告すると、『解決策を探ってみて、分からないことがあれば聞いてください』と言われるような感じでした」と Liebenberg は語っています。「自分で学ばなければならないことが多く、指導やトレーニングもかなり必要でしたが、コーディングを習得し、脅威インテリジェンスのスキルを開発することができました。その甲斐あって、さまざまな種類の脅威インテリジェンスの分析や技術的な分析を行えるようになったのです」。
Talos の戦略分析責任者である Liebenberg と彼のチームは、脅威ハンティングと分析のための独自の方法を開発してきました。また、脅威環境を大局的に見ることを専門としています。たとえば Talos では初となる 2022 年版『一年の総括』レポートをまとめたのは Liebenberg のチームです。過去 1 年間の主要な攻撃者の動向とマルウェアファミリについて概括しました。
総括レポートで取り上げた情報は最終的に、ホワイトペーパーや Talos のブログ記事、ニュースレター、政府や業界パートナー向けの報告書に掲載されています。
「長期的に攻撃者を追跡し、動向を分析して、包括的な脅威分析を行いたいと考えています」と語り、「チームでは全体的なアプローチをとり、『データをどのように整理、分析、比較すれば脅威環境について分かりやすく伝えられるか』を問い続けています」と言います。
一方、中国が支援する APT が脅威環境において特に活発に活動を続ける中、中国語に堪能で中国の文化に造詣が深い Liebenberg が現場に貢献する様子は今も見られます。サイバー攻撃につながる国際問題は往々にして複雑ですが、Liebenberg は自分の経歴を活かして翻訳に携わり、そうした問題の裏にある政治的あるいは文化的な背景を補足しています。
Liebenberg によると、過去数年間、こうした攻撃者グループの日々の活動に大きな変化は見られなかったものの、米中関係が現在と比べてはるかに良好だった 10 年前とは様変わりしているとのことです。
「現在の状況は信じられないほど緊迫しています」と語り、「ただ、特定の国を発信源とする脅威活動の大半がそうなのですが、攻撃者のエコシステムは信じられないほど複雑な状況です。サイバー犯罪者、国家と直接的な関わりを持つ攻撃者など、あらゆるタイプが存在します。中国から受ける攻撃で典型的なものは何かと問われると、特定するのは困難です。APT の活動について言えば、スパイ活動にかなり集中しながらも、窃盗にさらに重点が置かれている状況で、一般に考えられているほど向こう見ずではありません」と指摘しています。
Liebenberg は、もともと中国について学ぼうとしていたわけではありません。大学では、高校で学んだフランス語を必修科目として履修しようと考えていました。無事合格できると思っていたのに入試に失敗してしまったことを、Liebenberg は今では懐かしく思い出します。代わりに中国語を履修するよう大学のアドバイザーに勧められたのだそうです。
Liebenberg は、サイバーセキュリティの世界では型破りな経歴を持つ執筆陣と研究者からなるチームを作り上げました。その多くは他業界の出身者で、行政に数年間携わった経験を持つ人もいます。Liebenberg 自身も、外交問題評議会と海軍分析センターで米中関係を担当した経験があります。
チームは、テレメトリ、パートナーの共有情報、ハニーポット、ダーク Web フォーラムの投稿を丹念に調べ上げ、さまざまな人材が集まった Talos の各分野の専門家と常に相談しながら最新のイベントの把握に努めています。チームの脅威ハンティングは、悪意のあるインフラ、ペイロード、ツールをシスコのセキュリティ製品スイートで追跡しブロックする担当者へのアシストにもなっています。Talos インシデント対応チームと緊密に連携し、インシデント対応の動向に関する四半期レポートを発行しているのもこのチームです。多くの場合、これが Talos が提供する「伝統的な」検出機能である Snort ルールや ClamAV シグネチャ、IP や URL のブロックなどにつながっています。
「分析のバックグラウンドで言うと、厳密にはサイバー分析とは呼べない経歴を持つ人材が集まったニッチなグループなのですが、今ではさまざまな分野にまたがる取り組みを行っています」と語る Liebenberg がマネージャとして初めて採用したのが Kendall McKay と Caitlin Huey です。この両名は、チームの成長とポートフォリオ拡大の鍵となる人材でした。
サイバーセキュリティの現場ではよくあることですが、実際に身を粉にして働くことは少なくありません。そこで Liebenberg は妻や愛犬とくつろぐ時間を大切にしています。読書や映画鑑賞も好きですが、現実の政治や国際関係に関心はあるのにノンフィクションはほとんど読まないのだと冗談まじりに話します。
仕事の話に戻ると、活発な動きが続いているセキュリティインシデントに対処し、リアルタイムで問題を解決するのが何より楽しいとのことです。
「進行中の深刻な問題で困っているお客様の役に立つことができ、チームで実際に大きな効果を上げられたとき、その現実の成果こそが一番誇らしく思えます」と語っています。
本稿は 2023 年 03 月 13 日に Talos Group のブログに投稿された「Researcher Spotlight: How David Liebenberg went from never having opened Terminal to hunting international APTs0」の抄訳です。