MITRE ATT&CKナビゲーターユースケース、レイヤー、始め方

MITRE ATT&CKナビゲーターとは？

MITRE ATT&CK Navigatorは、サイバーセキュリティの専門家がサイバー敵対者の行動に関する包括的なデータベースを視覚化して理解するのを支援するために設計されたツールです。MITRE ATT&CK フレームワーク.ユーザーがさまざまな攻撃戦術、技術、手順（TTP）を探索するのに役立ち、サイバーセキュリティの防御と分析への組織的なアプローチを促進します。

このツールは主にウェブベースで、どのユーザーでも無料で利用でき、ATT&CKデータモデルのカスタマイズ可能な視覚的表現を作成するためのプラットフォームとして機能します。これらの視覚化は、セキュリティ戦略、レッドチームの作戦、潜在的な敵対的手法に関する認識の拡大などの計画や編成を支援します。

MITRE ATT&CKナビゲーターはこちらからアクセスできます。

推薦図書：UEBA（ユーザーとエンティティの行動分析）：完全ガイド.

MITRE ATT&CKナビゲーターの使用例

優先脅威とTTPの特定

MITRE ATT&CK Navigatorは、セキュリティチームが脅威の優先順位を付け、組織に最も関連性の高い攻撃ベクトルを理解できるようにすることで、脅威に対する認識を高めます。さまざまな攻撃の手口やテクニックを可視化することで、特定の TTP に対して最も脆弱なシステムの領域を効果的に特定することができます。

この優先順位付けにより、チームはリソースを効率的に集中させ、防御態勢の最も重要な側面を最初に強化することができます。ナビゲータは、脅威行為者の行動や類似の組織が直面する一般的なセキュリティ課題に関する実世界のデータを統合することで、戦略立案を支援します。

検知能力の評価

MITRE ATT&CK Navigatorは、ATT&CKフレームワークで概説されているさまざまなTTPに対する組織の現在の検知能力を評価するのに役立ちます。セキュリティ・チームは、既知の攻撃手法に対して既存のセキュリティ対策をマッピングし、防御対策の検出ギャップや弱点を特定することができます。

各手法が検知可能かどうか、また攻撃のどの段階で検知されるかを系統的にテストすることで、組織は防御メカニズムを段階的に改善することができます。この反復的なアプローチにより、検知能力の継続的な強化が保証され、進化する脅威のランドスケープに適応する。

特定の脅威主体に対するクラウドネイティブ・セキュリティの評価

クラウドネイティブアーキテクチャを採用する組織は、MITRE ATT&CK Navigatorを活用することで、自社のクラウド環境を標的とする可能性のある特定の脅威アクターや脅威行為者を特定することができる。これにより、攻撃者に悪用される可能性のあるクラウドセキュリティの弱点を特定し、必要な防御を実施することができます。

さらに、このツールは、クラウドインフラストラクチャに対して一般的に使用される敵の戦術とテクニックの詳細な分析に基づいて、チームがセキュリティ戦略を調整することを可能にします。チームは予防策を適応させることができ、クラウドネイティブなアプリケーションとサービスの強固なセキュリティを確保することができます。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、MITRE ATT&CK Navigatorを活用してサイバーセキュリティ戦略を強化するためのヒントを紹介する：

脅威インテリジェンスをカスタムレイヤーに組み込む
Navigatorのレイヤーに脅威インテリジェンスのフィードや最近の脅威行為者の活動をインポートします。これにより、チームは新たな脅威を常に把握し、防御を最新の敵対戦術に合わせることができます。

レイヤーを使用して脅威行為者を追跡・比較
組織が直面する脅威行為者ごとに、ナビゲータに個別のレイヤーを作成します。これらのレイヤーを重ね合わせることで、敵対者間で使用される共通の戦術やテクニックを特定します。これにより、最も頻繁に使用される攻撃手法に対する防御の優先順位付けに役立ちます。

検出能力のギャップを可視化
Navigatorで、ATT&CK手法に対する既存のセキュリティ制御をマッピングします。カバーできていない領域を強調表示することで、検出のギャップをすばやく特定し、最も脆弱な部分の防御を強化するための対策を講じることができます。

特定の攻撃シナリオに特化したレイヤーのカスタマイズ
カスタムレイヤーを使用して、業界や組織に関連する特定の攻撃シナリオをモデル化します。例えば、ランサムウェアの脅威に頻繁に直面する場合、そのような攻撃に対する防御を強化するために、永続性、横方向への移動、データ流出に関する技術に焦点を当てます。

Navigatorで検知と対応の成熟度を追跡
SOCの検出能力を反映するために、Navigatorのレイヤを継続的に更新します。時間の経過とともに、新旧のレイヤーを比較することで、検出と対応の成熟度がどのように向上したかを追跡できます。

ATT&CK Navigatorのレイヤーとは？

レイヤーは、ATT&CK Navigatorのユーザー・インターフェースの核となる部分です。

戦術とテクニックのレイヤー

MITRE ATT&CKナビゲーターでは、戦術とテクニックのレイヤーは、各列が戦術を表し、各列の下のセルがその戦術にリンクされたテクニックを表す視覚的なレイアウトを提供する。この階層構造により、ユーザーは複数の攻撃シナリオに関連する情報を体系的に迅速に調査・管理することができます。

戦術とテクニックのレイヤーを採用することで、チームは戦術と攻撃者が使用する可能性のある後続のテクニックの系譜と関係を追跡することができる。

脅威アクターのレイヤー

MITRE ATT&CK Navigator内の脅威行為者レイヤーは、特定の敵対グループと、彼らが一般的に利用するテクニックやツールに関する洞察を提供します。各レイヤーは特定の脅威行為者に焦点を当て、その手口を構造化された理解しやすい形式で説明しています。

この機能は、特定のタイプの攻撃者に対して防御メカニズムをカスタマイズしたい組織にとって特に有用である。これらの攻撃者の行動やテクニックを理解することで、防御戦略を実際の脅威パターンに合わせてより効果的に調整することができます。

レイヤーのインポート

MITRE ATT&CK Navigatorにレイヤーをインポートすることで、ユーザーはカスタマイズしたデータやサードパーティの情報を既存のナビゲーションのフレームワークに統合することができます。この機能により、新たな脅威情報やコミュニティで共有されている洞察を取り入れることが可能になり、安全保障業務の全体的な分析能力が強化される。

ユーザーは、ATT&CKフレームワークの構造化アプローチに沿ったJSON形式でレイヤーをインポートできるため、データ統合がシームレスかつ首尾一貫したものとなります。このようなデータ統合の柔軟性により、Navigatorは動的な脅威環境において汎用性の高いツールとなっている。

カスタムレイヤー

MITRE ATT&CK Navigatorのカスタムレイヤーは、特定の組織のニーズや独自のセキュリティシナリオに応じて、ユーザがツールをパーソナライズできるようにするものである。チームは、これらのレイヤーをゼロから構築し、各自の運用状況に関連する戦術やテクニックだけを組み込むことができます。

このようなカスタマイズにより、Navigatorは単なる一般的な可視化ツールとしてではなく、組織のセキュリティ態勢のユニークな側面を反映したカスタマイズされた分析支援ツールとして機能するようになります。カスタムレイヤーは、シナリオに特化した脅威モデリングと戦略的プランニングへの集中的なアプローチを提供します。

MITRE ATT&CKナビゲーターを使い始める

MITRE ATT&CKナビゲーターへのアクセス

MITRE ATT&CK Navigatorにアクセスするには、公式GitHubリポジトリからツールをダウンロードするか、ホストされたバージョンのツールを使用します。

特定の要素を検索する

MITRE ATT&CKナビゲータ内で特定の脅威やテクニックを検索する場合、ツールバーにある虫眼鏡のアイコンを使用することができます。これにより、MITRE ATT&CK フレームワーク内の特定の要素を検索することができます。

レイヤーを使う

MITRE ATT&CK Navigatorのレイヤーは、グラフィック編集ソフトのレイヤーと同様の機能です。レイヤーを使用すると、基本的な情報を変更することなく、比較や分析目的で異なるデータセットを重ね合わせることができます。

例えば、複数のAPT（Advanced Persistent Threat：高度な持続的脅威）グループを追跡している場合、グループごとに個別のレイヤーを作成し、それらを重ね合わせることで、共通の脆弱性を特定し、それに応じてセキュリティ対策の優先順位を決めることができる。

データのダウンロード

ナビゲータには、JSON、SVG、Excelを含む複数の形式でデータをダウンロードするオプションが用意されています。ナビゲーターのインターフェースから直接データをエクスポートして、脅威情報を同僚と共有することができます。

エクサビーム、MITREのフレームワークを採用

Exabeam ファミリー製品（Exabeam Fusion、Exabeam Security Investigation、Exabeam Security Analytics、Exabeam Fusion SIEM、Exabeam Security Log Management）は、攻撃、アラート、コアユースケースをMITRE ATT&CK フレームワークにマッピングします。

組織は、カスタム相関ルールを作成、テスト、公開、監視して、最もクリティカルなビジネス・エンティティや資産に焦点を当てることができる。これには、より高いクリティカリティや、Threat Intelligence Service (脅威インテリジェンスサービス)ソース条件を含む特定の条件を定義し、特定のMITRE ATT&CK ^{®TTP を}割り当てることも含まれる。