目次
MITRE ATT&CKクラウドマトリックスとは?
クラウドマトリックスMITRE ATT&CKクラウドマトリクスは、クラウドセキュリティの計画、議論、改善に用いられる知識ベースである。クラウド環境における敵の戦術、技術、手順を包括的に理解することができる。このフレームワークは、パブリック、プライベート、ハイブリッドなど、各組織のクラウドアーキテクチャに特有のセキュリティリスクの特定と軽減を支援することを目的としている。
クラウドマトリックスは、もともと企業ネットワークに焦点を当てた一般的なMITRE ATT&CK フレームワークの拡張版として設計され、AWS、Azure、Google Cloud などのさまざまなクラウドプラットフォームに対応する戦術とテクニックを規定しています。これにより、セキュリティ・チームは、各自の運用環境に関連する的を絞った洞察を得ることができ、クラウド・リソースのより安全な展開を促進することができる。
下の画像は、MITRE ATT&CKクラウドマトリックスに含まれる敵対的な戦術とテクニックを示している。
このコンテンツはMITRE ATT&CK.
推薦図書:UEBA(ユーザーとエンティティの行動分析):完全ガイド.
MITRE ATT&CKクラウドマトリックスの使用例とメリット
脅威への認識
MITRE ATT&CK for Cloud は、クラウドサービスに対する攻撃ベクトルを体系的に分類することで、脅威に対する認識を強化します。この体系的なアプローチにより、セキュリティ担当者は潜在的な脅威を予測し、進行中の攻撃をより効果的に検知できるようになります。攻撃者の典型的な行動を理解することで、チームは監視システムを改良し、侵害の重大な兆候を捉えることができます。
リスク管理
MITRE ATT&CKのクラウドリサーチを活用することで、企業はリスク管理戦略を改善することができます。これは、既知の攻撃シナリオに対するクラウド環境のセキュリティ態勢を評価するための構造化された方法を提供します。この評価は、脆弱性とそれを軽減するために必要な対策を特定するのに役立ち、セキュリティ侵害の潜在的な影響を軽減します。
ツール選択
MITRE ATT&CKを利用することで、組織固有のニーズに合わせたクラウド・セキュリティ・ツールの選択がより容易になる。このフレームワークの攻撃手法に関する詳細な分析により、関係者はさまざまなセキュリティ・ソリューションの機能をこれらの手法に照らし合わせることができる。このようにターゲットを絞ったアプローチにより、選択したツールが、組織の特定のクラウド環境とユースケースにおいて効果的であることが保証される。
研究とコラボレーション
MITRE ATT&CKのクラウドマトリックス研究とサイバーセキュリティコミュニティ内のコラボレーション。セキュリティ研究者は、新しいクラウド特有の脅威を調査するためのベースラインとしてこのフレームワークを使用し、その結果をフィードバックして知識ベースを充実させています。このような研究とフィードバックの継続的なサイクルにより、フレームワークは常にダイナミックで効果的なものとなっています。
MITREマトリックスについての説明をお読みください。
クラウドマトリックスの主な構成要素
戦術
MITRE ATT&CKクラウドマトリックスでは、戦術は攻撃の「理由」、つまり敵が達成しようとする戦略的目標を表しています。これらの戦術は、初期アクセス、実行、永続化などの段階に分類され、攻撃ライフサイクルの構造化されたタイムラインを提供します。これらの戦術を理解することで、防御者は攻撃者の戦略的目標を予測し、よりプロアクティブなセキュリティ対策に貢献することができます。
フレームワーク内の各戦術は、これらの目標を達成する「方法」を詳述する様々なテクニックの概要を示している。攻撃を理解しやすいセグメントに分解することで、組織は、攻撃シーケンスの特定の側面をブロックまたは軽減するために、防御戦略を効果的に調整することができます。
テクニック
MITRE ATT&CKクラウドマトリックスのテクニックは、敵対者が戦術的目標を達成するために実際に使用する方法を詳細に示しています。各テクニックは、侵害の指標、ミティゲーションステップ、検知のヒントを含む詳細な情報を提供します。この深さにより、脅威がクラウド領域でどのように動作するかを技術的に理解し、対応することができます。
このフレームワークのテクニックの特異性により、クラウド環境特有の構成や課題に合わせた標的型防御が可能になります。これらの洞察は、効果的なバリアメカニズムと検出戦略を形成し、攻撃の試みを大幅に削減するために不可欠です。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、MITRE ATT&CKクラウドマトリックスをより良く活用するためのヒントを紹介しよう:
クラウド特有の動作に対する異常検知の統合
クラウド環境には特有の使用パターンがあります。異常検知ツールを導入して、不正アカウントのログイン、異常なデータ転送、クラウド設定の変更など、侵害のシグナルとなり得る異常な行動を監視する。
特定のクラウドプラットフォームに合わせた防御
クラウドのサブマトリックス(AWS、Azure AD、Google Workspace、Office 365)を使用して、組織が使用するクラウドサービスに基づいてセキュリティ戦略をカスタマイズする。各プラットフォームには固有の攻撃ベクトルがあるため、これらのプラットフォーム固有の脅威に対処できるように防御手法を調整する必要がある。
初期アクセスに対するセキュリティ管理の優先順位
初期アクセスやクレデンシャル・アクセスのような戦術に防御を集中させる。クラウド環境は、フィッシングやアクセス制御の設定ミスなど、IDベースの攻撃に対して脆弱であることが多い。多要素認証(MFA)と強力なID管理を導入して、これらの重要な領域を保護する。
クラウドマトリクスでセキュリティギャップをマッピング
現在のクラウドセキュリティ対策をMITRE ATT&CKクラウドマトリックスの手法にマッピングしてギャップ分析を行います。これにより、脆弱性が存在する可能性のある領域を特定し、防御力向上のためにリソースをどこに集中させるべきかを導きます。
クラウドマトリックスをレッドチーム演習に活用
クラウドマトリックスを活用して、レッドチームの演習で実際の敵のテクニックを使った攻撃をシミュレートしましょう。これにより、クラウド環境を標的とする既知の最新TTPに沿ったテストが可能になり、自社の防御をより正確に評価することができます。
MITRE ATT&CKクラウドに含まれるサブマトリックス
MITREは、異なるクラウドプラットフォームに特化した情報を提供するいくつかのサブマトリックスを提供している。これらのサブマトリックスは、親クラウドマトリックスといくつかのテクニックを共有し、特定のクラウドにのみ関連する特定のテクニックをいくつか持っています。
オフィス365
MITRE ATT&CK Cloud フレームワーク内の Office 365 サブマトリックスでは、Microsoft Office 365 アプリケーションスイートに特化したテクニックと戦術を詳しく説明しています。このマトリックスは、Outlook、Word、Excel、Teamsなどの広く使用されているツールを含むOffice 365に関連する固有のセキュリティ課題と攻撃ベクトルに焦点を当てています。
このサブマトリックスに特有なのは、Office 365 アプリケーションの統合された性質を悪用するテクニックです。例えば、攻撃者は、あるアプリケーションに付与された権限を利用して別のアプリケーションに不正アクセスしたり、電子メールやカレンダーの招待の相互接続性を利用してフィッシング攻撃を展開したりする可能性があります。
Azure AD
Azure AD のサブマトリクスは、Azureアクティブディレクトリに集中している。Azure AD は、マイクロソフトのサービスを使用するクラウド環境における ID 管理に不可欠なコンポーネントである。
このサブマトリックスでは、トークンの窃取、誤ったロールの設定による権限の昇格、オンプレミス環境と Azure AD 間の同期機能の悪用など、ID ベースの攻撃ベクトルに焦点を当てている。これらの手法には、多要素認証セットアップに対する攻撃や、管理者権限の悪用がしばしば含まれます。
Googleワークスペース
Google Workspaceのサブマトリックスでは、Gmail、Drive、Docs、Calendarなど、Googleのクラウドアプリケーション群に特有のセキュリティ上の懸念に重点を置いています。このマトリックスでは、Googleが管理する環境のリスクを取り上げ、OAuthトークンのハイジャック、電子メールのなりすまし、共有ドライブのアクセス許可の悪用などの攻撃に焦点を当てています。
SaaS
Software as a Service(SaaS)サブマトリクスは、様々な SaaS プラットフォームにまたがり、SaaS 製品特有の一般的な脅威と新たな脅威について詳述しています。このサブマトリックスでは、セキュリティがプロバイダと顧客の両方の行動に依存する SaaS の責任共有モデルを悪用する攻撃に焦点を当てています。攻撃手法には、設定ミスの悪用、セッション・ハイジャック、SaaSユーザーを狙った標的型フィッシング・キャンペーンなどがあります。
IaaS
IaaS(Infrastructure as a Service)サブマトリックスでは、クラウド環境の基盤であるクラウドサービスのインフラ層に特有の脅威を扱う。これには、AWS、Azure、Google Cloudなどのプラットフォームにおける仮想マシン、ストレージサービス、ネットワークコンポーネントが含まれます。このサブマトリックスでは、ハイパーバイザーの脆弱性や安全でないAPI設定の悪用など、クラウドアーキテクチャの下層に焦点を当てています。
MITRE ATT&CKクラウドマトリックスにおける戦術
クラウドマトリックスに含まれる戦術を紹介しよう。記事冒頭の画像にあるように、それぞれいくつかの具体的な攻撃手法が含まれている。MITREのウェブサイトでは、すべての戦術とテクニックを見ることができる。
初期アクセス
クラウド環境で最初のアクセスを得るには、公開アプリケーションを悪用したり、盗まれた認証情報を使用したりすることがよくあります。このMITREの戦術では、敵がシステムに侵入する際に使用する手法に焦点を当て、これらの侵入ポイントを効果的に防御するための防御策を示します。これらのテクニックを理解することで、組織は境界セキュリティを強化し、強固な認証手段を採用することができます。
この段階で不正アクセスを防止することは、クラウド・リソースのさらなる搾取を避けるために極めて重要である。プロアクティブな監視と厳格なアクセス制御により、初期の侵害リスクを大幅に低減し、強固な防御基盤を構築することができます。
実行
実行戦術は、敵が目的を達成するためにクラウド環境内で悪意のあるコードを実行する方法を定義する。これには、既存のソフトウェアの脆弱性を利用したリモート実行や、特権を昇格させるスクリプトの実行などが含まれます。MITRE ATT&CKクラウドマトリックスは、実行テクニックを詳しく説明することで、組織が不正な活動を理解し、阻止するのに役立ちます。
このような手口に対して調整された防御策は、攻撃者がアクセス権を得たとしても、攻撃計画を実行する能力を阻止できるようにする。これには、ランタイム環境を保護し、スクリプトの実行ポリシーを厳格に管理することが含まれる。
永続性
クラウド環境における永続性メカニズムにより、攻撃者は長期間にわたってアクセスを維持することができる。この手口には、不正なインスタンスの作成や認証プロセスの変更といった手法が含まれる。これらのテクニックを理解することは、クラウドインフラ内の不正な存在を検知し、排除するために非常に重要です。
対策としては、クラウドの設定やアクセスログを定期的に見直し、監査することで異常を発見する。永続化の兆候に迅速に対応することで、長期的なセキュリティ侵害や潜在的なデータ損失を防ぐことができる。
権限昇格
特権の昇格とは、攻撃者が不正に高いアクセス権を獲得し、管理者や特権ユーザーに予約されたアクションを実行することです。クラウド環境では、設定ミスを悪用したり、フィッシングの手口を使ったりすることがよくあります。MITREのクラウドマトリックスでは、これらのアプローチを概説し、このようなシナリオを効果的に軽減するための戦略を提供しています。
役割に基づいてユーザー権限を制限し、構成を継続的に検証することは、権限の昇格に対抗する上で重要な役割を果たします。ユーザがタスクを実行するために最低限必要なアクセス権を確保することで、全体的なリスクプロファイルを大幅に削減することができます。
防御回避
防御回避のテクニックは、クラウド上で悪意のある活動を行いながら、セキュリティシステムによる検知を回避することに重点を置いている。これには、セキュリティ・ツールを無効にしたり、ログを改ざんしたり、暗号化を使用して行動を隠したりすることが含まれます。このような手口を理解することで、企業は検知能力を強化し、回避の試みを確実に特定し、迅速に対抗することができます。
包括的なロギングと監視を実施し、ビヘイビアベースの検知システムを採用することで、クラウド環境内で使用されている回避手法の兆候を特定することができる。
クレデンシャル・アクセス
クレデンシャル・アクセスの手口は、ユーザー名、パスワード、およびトークンを取得して、シス テムやデータへの不正アクセスを容易にすることを目的としている。手法には、ブルートフォース攻撃、クレデンシャル・ダンピング、フィッシングが含まれる。そのMITREのフレームワークは、認証メカニズムを保護し、クレデンシャルを安全に管理するためのガイダンスを提供する。
多要素認証の採用と定期的なパスワード監査は、クレデンシャルの盗難を防ぐ効果的な手段である。さらに、フィッシングやその他の詐欺に基づく技法についてユーザを教育することは、ログイン認証情報の完全性を維持するのに役立つ。
ディスカバリー
ディスカバリー戦術は、敵が効果的にナビゲートし、貴重な資産を特定するために、侵害した環境を理解しようとするものです。ネットワーク・スキャンや機密設定ファイルへのアクセスなどの手法がよく用いられます。このような手口を特定することで、組織は情報の露出を制限し、異常なアクセスパターンを監視することができます。
不必要なユーザー権限を制限し、ネットワーク・セグメントを分離することで、侵害時にアクセス可能な情報量を減らすことができる。また、異常なアクセス要求に対するアラートシステムを強化することで、迅速な対応と封じ込めを行うことができます。
横の動き
ラテラル・ムーブメント(横方向への移動)技術とは、攻撃者が最初のアクセスを獲得した後、どのようにネットワーク内を移動し、クラウド環境内でその範囲を広げようとするかを説明するものである。これには、盗んだ認証情報を使って他のシステムにアクセスしたり、ネットワークベースのバックドアを設置したりすることが含まれる。このような動きを阻止することは、攻撃の広がりを抑えるために極めて重要です。
厳格なネットワーク・アクセス制御や、ユーザーやマシンの動作の頻繁な監査などの実装は、不正な動きを防ぐのに役立つ。内部接続に認証とロギングが必要なようにシステムが設定されていることも、横の動きの追跡と傍受に役立つ。
コレクション
収集戦術は、対象環境からデータを集約し、抽出に備えることに重点を置く。これには、大規模なデータセットをふるい分け、価値ある情報を特定するためのデータフィルタリングなどの技術が含まれる。収集に使用される方法を理解することは、不正な集約やアクセスからデータを保護するための取り組みの指針となる。
データ損失防止技術を適用し、輸送中および静止中の機密データを暗号化することは、効果的な戦略である。さらに、アクセスパターンを監視することで、不正なデータ収集活動を早期に発見することができる。
流出
流出手口とは、攻撃者が侵害されたクラウド環境からデータを削除し、その情報を悪意を持って分析、販売、活用する手口を指します。多くの場合、送信前にデータを暗号化して検知を回避したり、クラウドサービスの正当な機能を活用して目立たないようにデータを削除したりする手法が用いられます。
このような手口に対抗するため、組織は厳格な出口管理を実施し、機密データの流出がないかをアウトバウンドコミュニケーションで検査する必要がある。また、データを暗号化することで、不正な持ち出しが発生した場合でも、そのデータの利用を防ぐことができる。
インパクト
インパクト戦術の焦点は、業務を中断させること、クラウド環境に損害を与えること、あるいはビジネスや地政学的な利点を得るためにデータを操作することである。その手口には、重要データの削除、サービスの中断、データの完全性の侵害などがあります。これらの攻撃形態を理解することで、企業は強固な災害復旧プロセスやインシデント対応計画を準備することができます。
強力なバックアップ・ポリシーを導入し、システムの冗長性を確保し、定期的な完全性チェックを実施することで、このような攻撃の影響を軽減することができる。このような悪意のある活動による業務への影響を最小限に抑えるためには、迅速な検知と対応能力が不可欠です。
エクサビームがMITREのフレームワークを採用
Exabeam ファミリー製品(Exabeam Fusion、Exabeam Security Investigation、Exabeam Security Analytics、Exabeam Fusion SIEM、Exabeam Security Log Management)は、攻撃、アラート、コアユースケースをMITRE ATT&CK フレームワークにマッピングします。
組織は、カスタム相関ルールを作成、テスト、公開、監視することで、最も重要なビジネス・エンティティや資産に焦点を当てることができる。これには、より高い重要度や、Threat Intelligence Service (脅威インテリジェンスサービス)をソースとする特定の条件を含めることを定義し、特定のMITRE ATT&CK ® TTP を割り当てることも含まれる。
ホワイトペーパーを入手する
MITRE ATT&CK ®ナレッジベースを使用して、脅威のハンティングとインシデントレスポンスを改善する。
ATT&CKナレッジベースを使用して、脅威の発見とインシデントレスポンスを改善する方法を学びます。
その他のMITRE ATT&CK説明者