Cyberキルチェーンvs. Mitre ^ATT&CK®：4つの主な違いと相乗効果

サイバーキルチェーンフレームワークとは？

サイバーキルチェーンフレームワークは、サイバー敵がどのように行動するかを理解し、説明するためのモデルである。ロッキード・マーティン社によって開発されたこのフレームワークは、「キル・チェーン」として知られる軍事的概念に基づいており、最初の偵察から最終的な目標（その目標が流出であれ、可用性の否定であれ、純粋な破壊であれ、あるいはその組み合わせであれ）に至るまでの攻撃の構造を記述しています。

サイバーキルチェーンフレームワークは、サイバー攻撃を7つの段階に分類している：

1. 偵察
2. 兵器化
3. 配送
4. 搾取
5. インストール
6. コマンド＆コントロール（C2）
7. 目標に対する行動

このフレームワークは、サイバー攻撃のライフサイクルを理解するための体系的なアプローチを提供する。段階をマッピングすることで、各段階における脅威の特定と緩和が容易になる。各段階は、防御側にとって攻撃を検知、防止、妨害する好機となる。

サイバーキルチェーンフレームワークは強力なツールではあるが、限界がないわけではない。その直線的で逐次的なモデルは、サイバー攻撃の複雑で反復的、そしてしばしば並列的な性質を正確に反映していない可能性がある。さらに、外部からの脅威に焦点を当てる傾向があり、極めて重要な脅威タイプである内部脅威や侵害後の活動を見落とすことが多い。

推薦図書：UEBA（ユーザーとエンティティの行動分析）：完全ガイド.

MITRE ATT&CKフレームワークとは？

フレームワークMITRE ATT&CKフレームワークは、敵の行動を理解するための知識ベースであり、モデルである。非営利団体MITRE Corporationによって開発され、元々は米軍を支援するために設計されたもので、偵察や最初のアクセスから影響に至るまで、攻撃者が使用する戦術、技術、手順の全領域をカバーしている。

ATT&CKフレームワークは、単に攻撃のステージをマッピングするだけではありません。ATT&CKフレームワークは、攻撃者が各ステージで使用するテクニックを、緩和策や検知方法とともに詳細に説明しています。ATT&CKフレームワークは、最新の脅威インテリジェンスと研究を考慮し、定期的に更新・拡張されています。

ATT&CKフレームワークは、非常にきめ細かく包括的であり、サイバー脅威を理解する上で深さと広さを提供します。ATT&CKフレームワークは、グローバルなセキュリティチームによって広く使用されており、防御力の向上、脅威の発見能力の開発、インシデントレスポンスの強化に役立てられています。

サイバーキルチェーン対 ATT&CK：主な違い

どちらのフレームワークも、サイバー脅威と攻撃に関する貴重な洞察を提供してくれるが、いくつかの重要な部分で異なっている。

1.焦点と視点

サイバーキルチェーンは、攻撃者の視点から見た攻撃の段階に焦点を当てている。ハイレベルな視点を提供することで、防御者は攻撃者のプロセスを理解し、どの段階でも連鎖を中断できる可能性がある。

一方、ATT&CKフレームワークは、攻撃者が使用するテクニックに焦点を当てている。ATT&CKフレームワークはより詳細な視点を提供し、防御者は攻撃者が使用する具体的な戦術や手順を理解することができる。この焦点と視点の違いは、2つのフレームワークが互いに補完し合い、サイバー脅威の包括的な理解を提供することを意味する。

2.深さと広さ

Cyberキルチェーンは、攻撃の段階の有用な内訳を提供しているが、ATT&CK フレームワークの深さと広さには欠けている。ATT&CK フレームワークは、攻撃者が使用する各手法について、緩和戦略や検知方法とともに詳細に説明している。このため、ATT&CK フレームワークは、防御を改善し、脅威ハンティング能力を開発するための貴重なツールとなっています。

3.アプリケーションとユースケース

サイバーキルチェーンは、脅威の検知と予防の初期段階でよく使用される。潜在的な脅威を特定し、危害を加える前に破壊するのに役立つ。

ATT&CKフレームワークは、リコンディションの発見、脅威の検出と防止、インシデントレスポンスと脅威のハンティングに至るまで、サイバーセキュリティのライフサイクル全体にわたって使用されます。

4.コミュニティへの参加と最新情報

ロッキード・マーティンが開発したサイバーキルチェーンは、ATT&CKフレームワークほど定期的に更新・拡張されていない。また、コミュニティ主導の更新・改善プロセスもない。

一方、ATT&CK フレームワークは、MITRE Corporation がサイバーセキュリティ・コミュニティからのインプットを受けて定期的に更新・拡張している。このようにコミュニティが関与することで、フレームワークが最新の脅威情報や研究を反映した適切なものに保たれる。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、CyberキルチェーンとMITRE ATT&CKのフレームワークをより良く活用するためのヒントを紹介する：

レッドチームとブルーチームの演習を強化する
サイバーキルチェーンを使用してレッドチームのシナリオを構成し、ブルーチームが ATT&CK に記載されているテクニックを検出し、対応できるように導きます。この二重フレームワークのアプローチは、現実的な攻撃をシミュレートし、検知能力を向上させる。

キルチェーンと ATT&CK を組み合わせて攻撃を完全に可視化
Cyberキルチェーンを使用して攻撃のハイレベルなステージを理解し、ATT&CK フレームワークを適用して各ステージで使用される具体的なテクニックや戦術に踏み込みます。この組み合わせにより、敵がどのように行動するかを詳細に把握することができます。

侵害後の分析にATT&CKを使用する
キルチェーンは、攻撃前と初期侵入の段階に重点を置いていますが、ATT&CK を使用して、横方向への移動、持続性、データ流出など、初期アクセス後の敵の行動を追跡します。

両方のフレームワークで検知を自動化
SIEM や XDR システムをキルチェーンと ATT&CK の両方に対応させることで、脅威の検知を自動化できます。例えば、偵察のような初期段階の脅威はキルチェーンで検知し、コマンド＆コントロールのような深い段階は ATT&CK テクニックにマッピングすることができます。

ATT&CK技術に基づく防御投資の優先順位付け
どのATT&CKテクニックがあなたの組織のセクターに対して一般的に使用されているかを分析し、それらのテクニックを中心とした防御対策に優先順位を付けます。これにより、現実の脅威に対する集中的かつ効果的な防御戦略を確保することができます。

Cyberキルチェーンと ATT&CK フレームワークの相乗効果

Cyberキルチェーン」と「MITRE ATT&CK Framework」は、どちらもサイバー脅威を理解し対処する上で役立つものであるが、それぞれ独自の視点を提供している。これら2つのフレームワークを組み合わせることで、脅威の状況を包括的に把握することができる。Cyberキルチェーンは、脅威が攻撃プロセスのどこで特定されたかを特定することができ、ATT&CK は、各段階で使用される具体的な戦術やテクニックに光を当てることができる。

CyberキルチェーンとATT&CKの相乗効果によって、組織が利益を得る方法をいくつか紹介しよう。

主要なユースケースを決定する

この2つのフレームワークを効果的に組み合わせるには、貴社独自のビジネス・コンテクストにおける使い方を理解する必要がある。技術インフラ、データ資産、重要なビジネスプロセス、潜在的な脆弱性など、自社のビジネスオペレーションをしっかりと把握する必要がある。この理解に基づいて、これらのフレームワークが価値を提供できる主要分野を特定することができる。

例えば、クラウドベースのデータストレージに大きく依存しているビジネスでは、これらのフレームワークを採用するユースケースとして、潜在的なクラウドベースの攻撃ベクトルを特定し、適切な防御策を開発することが考えられる。同様に、あなたのビジネスが機密性の高い顧客データを扱っている場合、潜在的なデータ漏洩シナリオを理解し、緩和することがユースケースになるかもしれない。

それぞれのユースケースに対して、Cyberキルチェーンは「典型的な」攻撃パターンのモデル化を支援し、ATT&CK は特定の関連する脅威ベクトルに対する準備を支援する。

ビジネスリスクに対するログソースのマッピング

主要なユースケースを特定したら、次のステップは、ビジネスリスクに対してログソースをマッピングすることである。これには、潜在的な脅威に関する洞察を提供できるデータ・ソースを特定し、それらをビジネス・リスクが最も高い領域と整合させることが含まれる。

ログソースには、ネットワークログ、システムログ、アプリケーションログ、セキュリティログなどがある。これらのログは、疑わしい活動、潜在的な脆弱性、進行中の攻撃に関する貴重な洞察を提供することができる。

主要分野のカバレッジを見直す

ビジネスリスクに対してログソースをマッピングした後は、最優先のビジネスリスクに対して、Cyberキルチェーンおよび ATT&CK フレームワークが提供するカバレッジを確認します。これは、これらのフレームワークが、特定された潜在的な脅威の特定、予防、および緩和にどの程度役立つかを評価することを含む。

レビュープロセスでは、対象範囲の包括性、提供される洞察の深さ、各フレームワークの特定のビジネスコンテキストへの適用可能性を考慮する必要がある。また、導入のしやすさや事業運営への潜在的な影響を考慮することも重要である。この分析に基づいて、どのビジネスリスクにどのフレームワークを使用するかを決定し、また、どちらのフレームワークも適切な脅威モデルを提供していないギャップを特定することができる。

結果を上向きに報告する

最後に、Cyberキルチェーン、ATT&CKフレームワークを導入し、その適用範囲を評価したら、その結果を上向きに報告することが重要である。これには、努力の成果を上層部や利害関係者に伝えることが含まれる。

報告書は、主要な発見事項、実施した措置、およびビジネスリスクへの影響を強調するものでなければならない。また、得られた知見に基づき、今後の対応についての提言も行うべきである。

この報告書の目的は、サイバー防衛の状況を経営陣に伝えるだけでなく、今後の取り組みに対する経営陣の賛同を得ることである。これにより、脅威フレームワークの導入と適切な活用のために十分なリソースが割り当てられるようになる。

エクサビーム、ATT&CKフレームワークを採用

Exabeam Fusion Enterprise Edition Incident Responder-Exabeam Fusion, Exabeam Security Investigation, Exabeam Security Analytics, Exabeam Fusion SIEM, Exabeam Security Log Management- は、ATT&CKフレームワークに対して、攻撃、アラート、コアユースケースをマッピングします。

Threat Intelligence Service (脅威インテリジェンスサービス)組織は、カスタム相関ルールを作成、テスト、公開、監視することで、最も重要なビジネス・エンティティやアセットに焦点を当てることができる。

すべての製品に付属するExabeam Fusion Enterprise Edition Incident Responderは、ATT&CK フレームワークを重要なレンズとして使用し、セキュリティ態勢の可視化を支援します。