MITRE ATT&CKとは?
MITRE ATT&CK は、サイバーセキュリティの脅威に関する 実際の観察に基づく、敵の戦術とテクニックに関するグローバルにアクセス可能な知識ベースです。これらは、最初のシステムアクセスからデータの窃取やマシンの制御まで、攻撃の段階別にマトリックスで表示されます。一般的なデスクトップ・プラットフォーム(Linux、macOS、Windows)、クラウド、コンテナ、ネットワーク、ICS、モバイル・プラットフォームなどのテクノロジーに対応したマトリックスが用意されている。
ATT&CKフレームワークにおける戦術とは何か?
ATT&CKとは、敵対的戦術、技術、共通知識の略である。戦術とは、サイバー攻撃を見る現代的な方法である。攻撃の結果、別名インジケータ・オブ・コンプローム(IoC) 攻撃が進行中であることを示す戦術を特定する。戦術とは、攻撃テクニックの「理由」である。
エンタープライズATT&CKマトリックス(以下、3つのマトリックスすべてについて学ぶ)には14の戦術がある:
偵察
資源開発
初期アクセス
実行
永続性
権限昇格
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コマンド&コントロール
コレクション
流出
インパクト
ATT&CKフレームワークのテクニックとは?
ATT&CKの2番目の "T "はテクニックを意味する。各戦術には、マルウェアや脅威行為者によって使用されることが確認されている一連のテクニックが含まれています。テクニックは、攻撃者が実際にどのように戦術を実行するかという「方法」を表します。例えば、戦術が特権の昇格である場合、テクニックは、攻撃者が実際の攻撃で特権の昇格を実行するさまざまな方法となります。
現在、Enterprise ATT&CK マトリックスには、185 のテクニックと 367 のサブテクニックがあり、Mitre 社は継続的に追加しています。各テクニックには 4 桁のコードがあり、たとえば Abuse Elevation Control Mechanism は T1548 です。
それぞれの技術には、必要とされる権限、その技術が一般的に使用されるプラットフォーム、その技術に関連するコマンドや活動を検出する方法など、脅威行為者の操作方法に関する具体的な情報が含まれている。
推薦図書: UEBA(ユーザーとエンティティの行動分析):完全ガイド .
ATT&CKフレームワークにおける共通知識とは何か?
ATT&CKの最後の "CK "はコモン・ナレッジの略である。これは敵による戦術やテクニックの使用を文書化したものである。本質的に、共通知識とは手順の文書化である。サイバーセキュリティに詳しい人なら、「戦術、技術、手順」(Tactics, Techniques, and Procedures)、つまりTTPという言葉に馴染みがあるかもしれない。(「CK」は「P」よりもセクシーな頭字語であり、政府プロジェクトでは常に必須である)。
MITREとは?
MITREは マサチューセッツ州ベッドフォードとバージニア州マクリーンに拠点を置く政府出資の研究機関である。同社は1958年にマサチューセッツ工科大学(MIT)から独立し、さまざまな機関の商業プロジェクトや極秘プロジェクトに携わってきた。その中にはFAA航空管制システムやAWACS 空中レーダーシステムの開発も含まれる。MITREは、米国国立標準技術研究所(NIST )から資金提供を受け、実質的なサイバーセキュリティ業務を行っている。
(興味深いことに、MITREは頭字語ではなく、Massachusetts Institute of Technology Research and Engineering(マサチューセッツ工科大学研究工学研究所)の略だと考える人もいた。この名称は、初期の理事会メンバーであったジェームズ・マコーマックの創作である。)
エキスパートからのアドバイス 私の経験から、MITRE ATT&CK フレームワークをセキュリティ業務にうまく活用するためのヒントを紹介する:
実世界の敵対者を模擬したレッドチーム演習
現在の検知・防御ツールと ATT&CK 手法のマッピング
ATT&CKをインシデント対応プレイブックに組み込む
脅威ハンティングにATT&CKを活用する
ATT&CKテクニックを中心とした行動分析のカスタマイズ
MITRE ATT&CKの目標は?
Mitre社のセキュリティ・イニシアチブの目標は、サイバー攻撃時に使用される既知の敵対者の戦術とテクニックの包括的なリストを作成することである。政府機関、教育機関、および営利団体に公開され、攻撃の段階やシーケンスを幅広く、できれば網羅的に収集することができるはずである。MITRE ATT&CKは、組織間のコミュニケーションをより具体的にするための標準的な分類法を作成することを目的としている。
ATT&CKは、MITREのフォートミード実験研究環境において、構造化された敵のエミュレーション演習を実施する一環として、敵の行動を体系的に分類する必要性から生まれた。
ATT&CKマトリックスとは?
ATT&CKフレームワークには3つのマトリックスがある:
Enterprise ATT&CK - 企業ネットワーク内で活動するために攻撃者が取り得る行動を説明する敵対者モデル。主に侵害後の行動に焦点を当てています。このマトリックスは、ネットワーク防御の優先順位付けに役立ち、攻撃者がネットワーク内部に侵入した際に使用する戦術、技術、手順(TTP)を説明します。PRE-ATT&CK- このマトリックスは、攻撃前に行われる活動、主に組織の視界の外で行われる活動に焦点を当てます。攻撃者がどのように偵察を行い、侵入経路を選択するかをセキュリティチームが理解するのに役立ち、企業ネットワークの境界外で攻撃者の活動をより効果的に監視し、特定することが可能になります。Mobile ATT&CK - NIST Mobile Threat Catalogueに基づき、攻撃者がモバイル・デバイスに侵入するために使用できる戦術とテクニックを記述した脅威モデルです。これには、デバイスに直接アクセスすることなく実行できる攻撃手法である「ネットワークベースの効果」が含まれます。
ATT&CKマトリックスをどう使うか?
MITRE ATT&CKマトリックスは、既知のすべての戦術とテクニックを視覚的に理解しやすい形式に整理したものである。攻撃戦術は上部に、個々のテクニックは各列の下に表示されている。
エンタープライズATT&CKマトリックスでは、攻撃シーケンスには1つの戦術につき少なくとも1つのテクニックが含まれ、完成した攻撃シーケンスは左(イニシャルアクセス )から右(コマンド&コントロール )に移動することで構築される。1つの戦術に対して複数のテクニックを使用することも可能である。例えば、攻撃者はスピアフィッシングで添付ファイルとリンクの両方を試すかもしれない。
攻撃者がマトリックスの上部にある11の戦術をすべて使う必要はない。むしろ、攻撃者は目的を達成するために、より効率的で発見の可能性が少ない最小限の戦術を使用します。この攻撃(図3)では、攻撃者は電子メールで配信されたスピアフィッシングのリンクを使用して、CEOの管理アシスタントの認証情報への初期アクセスを実行します。管理者の認証情報を入手すると、攻撃者は発見段階でリモートシステムを探します。
図3は、攻撃の各戦術段階のテクニックを用いた攻撃例を示している。
管理者もアクセスできるDropboxフォルダ内の機密データを狙っていると仮定して、特権をエスカレートさせる必要はないとしよう。最後の段階である収集は、Dropboxから攻撃者のマシンにファイルをダウンロードすることで実行されます。
行動分析を使用する場合、セキュリティアナリストは、異常なユーザー行動を特定することで、攻撃プロセスを検出する可能性があることに注意してください。たとえば、管理者が社内の誰もクリックしたことのないリンクをクリックし、管理者が特定の Dropbox フォルダにいつもと違う時間にアクセスしたとします。攻撃の最終段階で、攻撃者のコンピュータが初めてDropboxフォルダにアクセスしたとします。行動分析では、これらの行動は不審なユーザー行動としてフラグが立てられます。
MITRE ATT&CKとロッキード・マーチンのサイバーキルチェーンとの比較は?
ロッキード・マーチンのCyberキルチェーン®と ATT&CKは、どちらも攻撃者が目標を達成するためのステップを定義したモデルであるという点で、互いに似ています。ロッキード・マーチンのCyberキルチェーンでは、攻撃の7つのステップを特定しています:
偵察
兵器化
配送
搾取
インストール
指揮統制
目標に対する行動
ATT&CKには、アタックチェーンを構成する10のステップがある:
初期アクセス
実行
永続性
特権の昇格
防御回避
クレデンシャル・アクセス
ディスカバリー
横方向の動き
収集とろ過
指揮統制
ATT&CKは、攻撃の連鎖の戦術をより細かくしていることに加え、ロッキード・マーチンのサイバーキルチェーンがそうでないのに対し、各段階で使用可能なテクニックを明確にしている。
MITRE ATT&CKで何ができるか?
組織がMITRE ATT&CKを利用する方法はいくつもある。以下に主な使用例を挙げる。
敵のエミュレーション - ATT&CKは、敵のエミュレーションシナリオを作成し、一般的な敵のテクニックに対する防御をテストおよび検証するために使用することができます。レッドチーム - ATT&CKは、レッドチーム計画を作成し、ネットワーク内で実施されている可能性のある特定の防御手段を回避するためのオペレーションを組織するために使用することができます。行動分析開発 – ATT&CKは、環境内の敵対的な行動を検出するための行動分析を構築およびテストするために使用できます。防御ギャップの評価 - ATT&CKは、組織内の既存の防御のツール、モニタリング、および軽減策を評価するための、一般的な行動に焦点を当てた敵対者モデルとして使用することができます。SOCの成熟度評価- ATT&CKは、SOCが侵入の検出、分析、および対応においてどの程度効果的であるかを判断するための1つの尺度として使用することができます。Cyber脅威インテリジェンスEnrichment- ATT&CKは、敵対グループが使用する可能性のあるツールにとらわれない行動的観点から、敵対グループのプロファイルを理解し、文書化するのに役立つ。
MITRE ATT&CKフレームワーク・ツールとリソース
ここでは、ATT&CKフレームワークを活用するために使用できるツールやリソースのリストを紹介する。
ATT&CK Navigator - これは、あなたのセキュリティ管理をATT&CKテクニックにマッピングするために使用できる無料のツールです。具体的には、検知統制、予防統制を追加し、観察された行動のレイヤーを表示することもできます。Navigatorは、簡単なモデルやシナリオのためにオンラインで使用することも、より恒久的なソリューションとしてダウンロードして社内で設定することもできます。:https://github.com/mitre-attack/attack-navigator
MITRE Cyber Analytics Repository (CAR) - MITRE が提供する分析知識ベース。仮説の大規模なデータセット、解析のコンテキストを指定する情報ドメイン(ホスト、ネットワークなど)、特定の ATT&CK TTP への参照、および解析の実装方法を示す擬似コードを提供します。:https://car.mitre.org/
Caldera- 攻撃をエミュレートし、セキュリティ対応を自動化するために設計されたオープンソースのネットワークセキュリティフレームワーク。インシデント対応担当者だけでなく、レッドチームでも使用できる。自動化されたアクションはMITRE ATT&CK Framework に基づいている。:https://github.com/mitre/caldera
Red Canary Atomic Red Team- このオープンソースツールは、MITRE ATT&CKフレームワークにマップされた敵対的な振る舞いをシミュレートすることができる。このツールは、セキュリ ティチームがセキュリティ対策をテストするために実行できる、単純なテストライブラリです。これらのテストは、焦点を絞ったテストであり、依存関係がほとんどなく、自動化フレームワークで使用できる構造化された形式で定義されています。: https://github.com/redcanaryco/atomic-red-team
Red Team Automation- これはまた別のオープンソースの自動化ツールで、MITRE ATT&CKの戦術とテクニックに基づいて悪意のある行動をシミュレートすることができます。50以上の戦術をシミュレートできるPythonスクリプトと、プロセスの注入やビーコンのシミュレートなどのアクティビティを実行するコンパイル済みバイナリアプリケーションが含まれています。:https://github.com/endgameinc/RTA
Exabeam との関係MITRE ATT&CK
エクサビームのセキュリティ研究者は、MITRE ATT&CKのディスカッションやイベントに参加しています。また、MITRE ATT&CKをセキュリティアナリストの検知手段に効果的に適用するため、機械学習ベースの異常検知の方法について広範な研究を行っています。
エクサビームでは、MITRE ATT&CK。Security Managementプラットフォーム とエクサビームクラウドセキュリティサービス 2019年から
情報セキュリティの主要トピックに関するその他のガイドを参照
コンテンツ・パートナーとともに、私たちは、以下の世界を探検する際にも役立つ、いくつかのトピックに関する詳細なガイドを執筆しています。 情報セキュリティ .
インサイダーの脅威
著者:Exabeam
ログ管理
著者:Exabeam
DDoSプロテクション
著者:ラドウェア
