MITRE ATT&CKとは? MITRE ATT&CK は、サイバーセキュリティの脅威に関する 実際の観察に基づく、敵の戦術とテクニックに関するグローバルにアクセス可能な知識ベースです。これらは、最初のシステムアクセスからデータの窃取やマシンの制御まで、攻撃の段階別にマトリックスで表示されます。一般的なデスクトップ・プラットフォーム(Linux、macOS、Windows)、クラウド、コンテナ、ネットワーク、ICS、モバイル・プラットフォームなどのテクノロジーに対応したマトリックスが用意されている。
ATT&CKフレームワークにおける戦術とは何か? ATT&CKとは、敵対的戦術、技術、共通知識の略である。戦術とは、サイバー攻撃を見る現代的な方法である。攻撃の結果、別名インジケータ・オブ・コンプローム(IoC) 攻撃が進行中であることを示す戦術を特定する。戦術とは、攻撃テクニックの「理由」である。
エンタープライズATT&CKマトリックス(以下、3つのマトリックスすべてについて学ぶ)には14の戦術がある:
偵察 資源開発 初期アクセス 実行 永続性 権限昇格 防御回避 クレデンシャル・アクセス ディスカバリー ラテラルムーブメント コマンド&コントロール コレクション 流出 インパクト ATT&CKフレームワークのテクニックとは? ATT&CKの2番目の "T "はテクニックを意味する。各戦術には、マルウェアや脅威行為者によって使用されることが確認されている一連のテクニックが含まれています。テクニックは、攻撃者が実際にどのように戦術を実行するかという「方法」を表します。例えば、戦術が特権の昇格である場合、テクニックは、攻撃者が実際の攻撃で特権の昇格を実行するさまざまな方法となります。
現在、Enterprise ATT&CK マトリックスには、185 のテクニックと 367 のサブテクニックがあり、Mitre 社は継続的に追加しています。各テクニックには 4 桁のコードがあり、たとえば Abuse Elevation Control Mechanism は T1548 です。
それぞれの技術には、必要とされる権限、その技術が一般的に使用されるプラットフォーム、その技術に関連するコマンドや活動を検出する方法など、脅威行為者の操作方法に関する具体的な情報が含まれている。
推薦図書: UEBA(ユーザーとエンティティの行動分析):完全ガイド .
ATT&CKフレームワークにおける共通知識とは何か? ATT&CKの最後の "CK "はコモン・ナレッジの略である。これは敵による戦術やテクニックの使用を文書化したものである。本質的に、共通知識とは手順の文書化である。サイバーセキュリティに詳しい人なら、「戦術、技術、手順」(Tactics, Techniques, and Procedures)、つまりTTPという言葉に馴染みがあるかもしれない。(「CK」は「P」よりもセクシーな頭字語であり、政府プロジェクトでは常に必須である)。
MITREとは? MITREは マサチューセッツ州ベッドフォードとバージニア州マクリーンに拠点を置く政府出資の研究機関である。同社は1958年にマサチューセッツ工科大学(MIT)から独立し、さまざまな機関の商業プロジェクトや極秘プロジェクトに携わってきた。その中にはFAA航空管制システムやAWACS 空中レーダーシステムの開発も含まれる。MITREは、米国国立標準技術研究所(NIST )から資金提供を受け、実質的なサイバーセキュリティ業務を行っている。
(興味深いことに、MITREは頭字語ではなく、Massachusetts Institute of Technology Research and Engineering(マサチューセッツ工科大学研究工学研究所)の略だと考える人もいた。この名称は、初期の理事会メンバーであったジェームズ・マコーマックの創作である。)
MITRE ATT&CK導入状況と動向 近年、MITRE ATT&CK進化してきた ニッチな脅威インテリジェンス情報源から、サイバー脅威のモデル化、検知、および対応における広く採用されている業界標準へと発展しました。金融、医療、政府、重要インフラなど、さまざまな分野の組織がATT&CKを活用し、自社のセキュリティ運用を現実の攻撃者の行動に合わせています:
汎用性: この手法が広く採用されている主な要因の一つは、サイバーセキュリティのさまざまな機能に実用的に適用できる点にあります。セキュリティチームは、脅威インテリジェンス、検知エンジニアリング、インシデント対応、レッドチーム活動、リスク評価などの場面でATT&CKを活用しています。セキュリティ対策やアラートをATT&CKの手法にマッピングすることで、組織は防御範囲のギャップをより深く理解し、防御策の優先順位付けを行うことができます。 評価: このフレームワークは、サイバーセキュリティツールを評価するためのベンチマークとしても定着しています。 MITREが毎年実施するATT&CK評価は、実世界の攻撃シナリオをシミュレートするものであり、現在ではエンドポイント検出・対応(EDR)および拡張検出・対応(XDR)ソリューションを比較するための主要な基準となっています。これらの評価は業界内で広く注目されており、組織が十分な情報に基づいた購入および導入の意思決定を行う上で役立っています。 発展: 最近の更新状況から、このフレームワークの範囲と深さが継続的に拡大していることがわかります。エンタープライズ版ATT&CKマトリックスには、200以上のテクニックと数百のサブテクニックに加え、詳細な検知戦略や分析手法が含まれており、検知の精度向上と運用上の利便性向上に向けた転換が反映されています。 統合: もう一つの大きなトレンドは、ATT&CKとAIや機械学習といった先進技術との統合であり、これにより脅威の検出と分析の自動化がさらに進む。攻撃者自身が自動化やAIを活用した手法をますます多用する中、防御側にはより洗練された行動ベースのアプローチの採用が求められているため、これは特に重要である。 MITRE ATT&CKこれは現代のサイバーセキュリティにおける基盤となるフレームワークとなり、組織が静的な侵害の兆候から脱却し、脅威に対するより深い、行動ベースの理解へと移行することを可能にしました。
エキスパートからのアドバイス 私の経験から、MITRE ATT&CK フレームワークをセキュリティ業務にうまく活用するためのヒントを紹介する:
実世界の敵対者を模擬したレッドチーム演習 ATT&CKフレームワークを使用して、レッドチームの演習で敵の戦術やテクニックをモデル化します。特定の攻撃グループをエミュレートし、その手法を再現することで、現実の脅威に対する防御の有効性をテストします。
現在の検知・防御ツールと ATT&CK 手法のマッピング 既存のセキュリティ・ツールを、MITRE ATT&CKの技法に徹底的にマッピングする。現在のソリューションでカバーできていないギャップを特定し、その領域への投資に優先順位をつける。
ATT&CKをインシデント対応プレイブックに組み込む インシデント対応プレイブックを構築するための基盤としてMITRE ATT&CKを使用します。実際の攻撃でよく使用される戦術やテクニックを中心に対応を構成し、チームが攻撃ライフサイクルのすべてのフェーズをカバーできるようにします。
脅威ハンティングにATT&CKを活用する ATT&CKマトリックスを活用して、プロアクティブな脅威ハンティングを実施しましょう。お客様の環境が特に陥りやすい高リスクの手口やテクニックに焦点を当て、現在進行中のステルス攻撃を発見するのに役立ちます。
ATT&CKテクニックを中心とした行動分析のカスタマイズ ユーザーとエンティティの行動分析(UEBA)ソリューションをカスタマイズして、ATT&CKに記載されている特定のテクニックを検出します。通常の行動をベースライン化することで、ラテラル・ムーブメントや特権の昇格といった手法に関連する異常を検出することができます。
MITRE ATT&CKの目標は? Mitre社のセキュリティ・イニシアチブの目標は、サイバー攻撃時に使用される既知の敵対者の戦術とテクニックの包括的なリストを作成することである。政府機関、教育機関、および営利団体に公開され、攻撃の段階やシーケンスを幅広く、できれば網羅的に収集することができるはずである。MITRE ATT&CKは、組織間のコミュニケーションをより具体的にするための標準的な分類法を作成することを目的としている。
ATT&CKは、MITREのフォートミード実験研究環境において、構造化された敵のエミュレーション演習を実施する一環として、敵の行動を体系的に分類する必要性から生まれた。
ATT&CKマトリックスとは? ATT&CKフレームワークには3つのマトリックスがある:
Enterprise ATT&CK - 企業ネットワーク内で活動するために攻撃者が取り得る行動を説明する敵対者モデル。主に侵害後の行動に焦点を当てています。このマトリックスは、ネットワーク防御の優先順位付けに役立ち、攻撃者がネットワーク内部に侵入した際に使用する戦術、技術、手順(TTP)を説明します。 PRE-ATT&CK- このマトリックスは、攻撃前に行われる活動、主に組織の視界の外で行われる活動に焦点を当てます。攻撃者がどのように偵察を行い、侵入経路を選択するかをセキュリティチームが理解するのに役立ち、企業ネットワークの境界外で攻撃者の活動をより効果的に監視し、特定することが可能になります。 Mobile ATT&CK - NIST Mobile Threat Catalogueに基づき、攻撃者がモバイル・デバイスに侵入するために使用できる戦術とテクニックを記述した脅威モデルです。これには、デバイスに直接アクセスすることなく実行できる攻撃手法である「ネットワークベースの効果」が含まれます。 ATT&CKマトリックスをどう使うか? MITRE ATT&CKマトリックスは、既知のすべての戦術とテクニックを視覚的に理解しやすい形式に整理したものである。攻撃戦術は上部に、個々のテクニックは各列の下に表示されている。
エンタープライズATT&CKマトリックスでは、攻撃シーケンスには1つの戦術につき少なくとも1つのテクニックが含まれ、完成した攻撃シーケンスは左(イニシャルアクセス )から右(コマンド&コントロール )に移動することで構築される。1つの戦術に対して複数のテクニックを使用することも可能である。例えば、攻撃者はスピアフィッシングで添付ファイルとリンクの両方を試すかもしれない。
攻撃者がマトリックスの上部にある11の戦術をすべて使う必要はない。むしろ、攻撃者は目的を達成するために、より効率的で発見の可能性が少ない最小限の戦術を使用します。この攻撃(図3)では、攻撃者は電子メールで配信されたスピアフィッシングのリンクを使用して、CEOの管理アシスタントの認証情報への初期アクセスを実行します。管理者の認証情報を入手すると、攻撃者は発見段階でリモートシステムを探します。
図3は、攻撃の各戦術段階のテクニックを用いた攻撃例を示している。
管理者もアクセスできるDropboxフォルダ内の機密データを狙っていると仮定して、特権をエスカレートさせる必要はないとしよう。最後の段階である収集は、Dropboxから攻撃者のマシンにファイルをダウンロードすることで実行されます。
行動分析を使用する場合、セキュリティアナリストは、異常なユーザー行動を特定することで、攻撃プロセスを検出する可能性があることに注意してください。たとえば、管理者が社内の誰もクリックしたことのないリンクをクリックし、管理者が特定の Dropbox フォルダにいつもと違う時間にアクセスしたとします。攻撃の最終段階で、攻撃者のコンピュータが初めてDropboxフォルダにアクセスしたとします。行動分析では、これらの行動は不審なユーザー行動としてフラグが立てられます。
MITRE ATT&CKとロッキード・マーチンのサイバーキルチェーンとの比較は? ロッキード・マーチンのCyberキルチェーン®と ATT&CKは、どちらも攻撃者が目標を達成するためのステップを定義したモデルであるという点で、互いに似ています。ロッキード・マーチンのCyberキルチェーンでは、攻撃の7つのステップを特定しています:
偵察 兵器化 配送 搾取 インストール 指揮統制 目標に対する行動 ATT&CKには、アタックチェーンを構成する10のステップがある:
初期アクセス 実行 永続性 特権の昇格 防御回避 クレデンシャル・アクセス ディスカバリー 横方向の動き 収集と外部への流出 指揮統制 ATT&CKは、攻撃の連鎖の戦術をより細かくしていることに加え、ロッキード・マーチンのサイバーキルチェーンがそうでないのに対し、各段階で使用可能なテクニックを明確にしている。
MITRE ATT&CKで何ができるか? 組織がMITRE ATT&CKを利用する方法はいくつもある。以下に主な使用例を挙げる。
敵のエミュレーション - ATT&CKは、敵のエミュレーションシナリオを作成し、一般的な敵のテクニックに対する防御をテストおよび検証するために使用することができます。 レッドチーム - ATT&CKは、レッドチーム計画を作成し、ネットワーク内で実施されている可能性のある特定の防御手段を回避するためのオペレーションを組織するために使用することができます。 行動分析開発 – ATT&CKは、環境内の敵対的な行動を検出するための行動分析を構築およびテストするために使用できます。 防御ギャップの評価 - ATT&CKは、組織内の既存の防御のツール、モニタリング、および軽減策を評価するための、一般的な行動に焦点を当てた敵対者モデルとして使用することができます。 SOCの成熟度評価- ATT&CKは、SOCが侵入の検出、分析、および対応においてどの程度効果的であるかを判断するための1つの尺度として使用することができます。 Cyber脅威インテリジェンスEnrichment- ATT&CKは、敵対グループが使用する可能性のあるツールにとらわれない行動的観点から、敵対グループのプロファイルを理解し、文書化するのに役立つ。 MITRE ATT&CKフレームワーク・ツールとリソース ここでは、ATT&CKフレームワークを活用するために使用できるツールやリソースのリストを紹介する。
ATT&CK Navigator - これは、あなたのセキュリティ管理をATT&CKテクニックにマッピングするために使用できる無料のツールです。具体的には、検知統制、予防統制を追加し、観察された行動のレイヤーを表示することもできます。Navigatorは、簡単なモデルやシナリオのためにオンラインで使用することも、より恒久的なソリューションとしてダウンロードして社内で設定することもできます。 直接リンク:https://github.com/mitre-attack/attack-navigator
MITRE Cyber Analytics Repository (CAR) - MITRE が提供する分析知識ベース。仮説の大規模なデータセット、解析のコンテキストを指定する情報ドメイン(ホスト、ネットワークなど)、特定の ATT&CK TTP への参照、および解析の実装方法を示す擬似コードを提供します。 直接リンク:https://car.mitre.org/
Caldera- 攻撃をエミュレートし、セキュリティ対応を自動化するために設計されたオープンソースのネットワークセキュリティフレームワーク。インシデント対応担当者だけでなく、レッドチームでも使用できる。自動化されたアクションはMITRE ATT&CK Framework に基づいている。 直接リンク:https://github.com/mitre/caldera
Red Canary Atomic Red Team- このオープンソースツールは、MITRE ATT&CKフレームワークにマップされた敵対的な振る舞いをシミュレートすることができる。このツールは、セキュリ ティチームがセキュリティ対策をテストするために実行できる、単純なテストライブラリです。これらのテストは、焦点を絞ったテストであり、依存関係がほとんどなく、自動化フレームワークで使用できる構造化された形式で定義されています。 直接リンク: https://github.com/redcanaryco/atomic-red-team
Red Team Automation- これはまた別のオープンソースの自動化ツールで、MITRE ATT&CKの戦術とテクニックに基づいて悪意のある行動をシミュレートすることができます。50以上の戦術をシミュレートできるPythonスクリプトと、プロセスの注入やビーコンのシミュレートなどのアクティビティを実行するコンパイル済みバイナリアプリケーションが含まれています。 直接リンク:https://github.com/endgameinc/RTA
Exabeam との関係MITRE ATT&CK エクサビームのセキュリティ研究者は、MITRE ATT&CKのディスカッションやイベントに参加しています。また、MITRE ATT&CKをセキュリティアナリストの検知手段に効果的に適用するため、機械学習ベースの異常検知の方法について広範な研究を行っています。
エクサビームでは、MITRE ATT&CK。Security Managementプラットフォーム とエクサビームクラウドセキュリティサービス 2019年から
情報セキュリティの主要トピックに関するその他のガイドを参照 コンテンツ・パートナーとともに、私たちは、以下の世界を探検する際にも役立つ、いくつかのトピックに関する詳細なガイドを執筆しています。 情報セキュリティ .
インサイダーの脅威
著者:Exabeam
ログ管理
著者:Exabeam
DDoSプロテクション
著者:ラドウェア