MITRE D3FEND™とは？

MITRE ^{D3FEND®Framework}は、米国で連邦政府資金による研究開発センターを運営する非営利団体 MITRE Corporation が開発したサイバーセキュリティフレームワークです。D3FEND は、広く認知されているMITRE ATT&CKこの^フレームワークは、サイバーセキュリティ領域における敵対的な戦術、技術、手順（TTP）の記述と分類に焦点を当てています。

ATT&CK フレームワークが、敵対者がどのように活動するかを詳述することによって、組織がサイバー脅威を理解し、防御することを支援することに重点を置いているのに対し、D3FEND フレームワークは、防御的なサイバーセキュリティ対策を実施するための構造化された体系的なアプローチを提供することを目的としている。D3FEND フレームワークは、防御テクニックを記述するための共通言語と分類法を提供し、サイバーセキュリティの専門家がより良いコミュニケーションを図り、協力し、より効果的なセキュリティ戦略を策定できるようにします。

D3FENDフレームワークは、データ保護、ネットワーク防御、エンドポイント防御、アイデンティティとアクセス管理など、複数のカテゴリーにわたるさまざまな防御技術をカバーしている。このフレームワークは、柔軟で適応性の高い設計となっているため、企業は独自のニーズや脅威の状況に合わせてセキュリティ戦略を調整することができます。

推薦図書：UEBA（ユーザーとエンティティの行動分析）：完全ガイド.

なぜMITRE D3FENDが重要なのか？

D3FEND はサイバーセキュリティ対策のナレッジグラフです。サイバーセキュリティ領域における主要な課題に対応し、組織やセキュリティ専門家に貴重なリソースを提供します。MITRE D3FENDを使用する主な理由は以下のとおりです：

ATT&CKフレームワークを補完する

D3FEND フレームワークは、広く使用されている ATT&CK フレームワークと対をなすものであり、敵対的な戦術、技術、手順の理解と分類に重点を置いています。ATT&CK が組織がサイバー脅威を認識し、防御するのに役立つのに対して、D3FEND は、全体的なセキュリティ態勢を改善するための防御策を実施するための構造化されたアプローチを提供します。

共通言語と分類法

D3FENDは、防御的サイバーセキュリティ技術のための標準化された語彙と分類システムを提供します。これにより、セキュリティ専門家は、より効果的にコミュニケーションを図り、協力し、知識を共有することができるようになり、より優れた戦略とより強固な防御につながります。

情報に基づいた意思決定をサポート

D3FEND フレームワークは、防御策に関する明確で実行可能なガイダンスを提供することで、組織がサイバーセキュリティ戦略について十分な情報に基づいた意思決定を行うことを支援します。これにより、組織は、固有のニーズと脅威の状況に基づいて、セキュリティ技術、人材、トレーニングへの投資に優先順位を付けることができます。

ベストプラクティスを奨励

D3FENDは、防御技術の包括的かつ組織的なリポジトリを提供することで、ベストプラクティスと実証済みのセキュリティ対策の採用を促進し、組織がサイバー攻撃のリスクを低減し、侵害が成功した場合の影響を最小限に抑えることを支援します。

継続的改善の促進

サイバーセキュリティの状況が進化するにつれ、新たな脅威に対する防御手法も進化しなければなりません。D3FEND は、時間の経過とともに更新・拡張可能な生きたフレームワークとして機能し、組織が最新の防御戦略を維持し、必要に応じてセキュリティ態勢を適応させるのに役立ちます。

アクセスしやすく、ベンダーに依存しない

MITREは非営利団体として、D3FENDフレームワークを無償のパブリックリソースとして提供しており、あらゆる規模の組織やさまざまな業種の組織がアクセスできるようにしています。さらに、D3FEND はベンダーニュートラルであり、特定のセキュリティ製品やサービスに縛られることがないため、組織はそれぞれのニーズに最も適したソリューションを選択することができます。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、MITRE D3FENDを活用してセキュリティ防御を強化するためのヒントを紹介します：

SOCのプレイブックにD3FENDを組み込む
セキュリティオペレーションセンター（SOC）のプレイブックを、プロセスエビクションやクレデンシャルエビクションのようなD3FEND技術で更新します。これにより、インシデント対応手順が、脅威が出現したときにその脅威を除去するプロアクティブな防御戦略と整合するようになります。

D3FENDのテクニックをセキュリティ・ギャップにマッピングする
自社の防御が弱い部分やカバーできていない部分を特定し、そのギャップにD3FENDのテクニックをマッピングします。例えば、ネットワークの分離方法が不十分であれば、セグメンテーションを改善するために、D3FENDの実行やネットワーク分離のような分離テクニックを検討する。

ATT&CKとD3FENDを組み合わせてバランスの取れた戦略を
D3FENDを使用して、あなたの環境で見た特定のATT&CKテクニックを打ち消します。攻撃戦術と関連する防御テクニックを連携させることで、バランスの取れた脅威情報に基づいた防御戦略を構築することができます。

検知戦略に欺瞞を組み込む
おとりクレデンシャルやネットワークリソースなどのD3FENDの欺瞞テクニックを使用して、敵対者を偽の環境に誘い込みます。これにより、攻撃者を遅らせるだけでなく、実際の資産を危険にさらすことなく貴重な脅威インテリジェンスを提供します。

D3FENDの技術に基づく重要資産の堅牢化
プラットフォームやアプリケーションのハードニングなど、D3FENDのハードニング技術に焦点を当て、攻撃対象領域を縮小します。定期的にパッチを適用し、強力なアクセス制御を実施し、脆弱性への露出を最小限に抑えるようにシステムを構成する。

MITRE D3FEND マトリックス

MITRE ATT&CK フレームワークは 3 つのマトリックス（企業、ICS、モバイル）に分かれているが、MITRE D3FEND には現在マトリックス1 つしかない。D3FEND の対策ガイダンスは、TTP の ATT&CK 階層と同様に配置されているが、攻撃ではなく防御に重点を置いている。

D3FEND 階層の最も高い分類は「戦術」であり、各戦術は攻撃の所定の段階に関連する防御目標を表している。戦術」の中には、「戦術」の目標を達成するために使用される方法を記述した「技術（Techniques）」と「サブ技術（Sub-Techniques）」があり、これには業界のセキュリティ標準やツールの参照も含まれる。

戦術とハイレベルなテクニック

MITRE D3FEND は以下のハイレベルなカテゴリーから構成されている：

1. ハードニング：アクセス制限と監視に重点を置き、攻撃対象領域を減らすための対策を扱う。この技法には、プラットフォーム、メッセージ、クレデンシャル、アプリケーションの堅牢化が含まれる。このカテゴリーは、認証とアクセス制御に関するセキュリティ・プロトコルと規制を反映し、脆弱性のリスクを低減するための更新とパッチを重視する。
2. 検出：特定された脅威をMITRE ATT&CK フレームワークに基づいて分析することに重点を置く。ファイル、識別子、メッ セージ、プロセス、ユーザーの行動分析、およびプラットフォームの監視が含まれる。このカテゴリーには、SIEM ソリューションと MDR サービスも含まれる。SIEM は、特定された脅威に対する防御を分析するためにデータを集約することができ、MDR は、プラットフォーム、ネットワーク、およびプロセスの監視と分析を容易にすることができる。
3. 隔離：脆弱なホストや侵害されたホストの隔離に重点を置く。継続的なトラフィック監視とDNS/IPフィルタリングを支援するネットワークと実行の分離が含まれます。
4. 欺瞞：ネットワーク・リソース、ファイル、ユーザー、認証情報などのオブジェクトを含む、IT環境全体の囮を作成することに重点を置く。その目的は、攻撃者を欺き、実際の環境から被害が及ばないような偽の環境へと誘導することである。
5. 立ち退き：組織のセキュリティプロファイルを強化するために、侵害された脆弱なコンポーネントを停止する方法について説明する。これには、攻撃対象領域を減らし、防御を容易にするプロセスとクレデンシャルの立ち退きも含まれます。

MITRE D3FEND は、MITRE ATT&CKには含まれていない Digital Artifacts と呼ばれる関連情報の階層的カタログも提供している。デジタル・アーティファクトには、デジタル・オブジェクトとデジタル・コンセプトが含まれ、トップレベルのアーティファクト、ファイル、ネットワーク・トラフィック、ソフトウェアの 4 つに分類されます。ATT&CK の敵対的 TTP の一部は D3FEND の「技術」にマッピングすることができ、「デジタルアーティファクト」は関連する攻撃手段や対抗策を特定するためのリファレンスとなる。

MITRE D3FEND を使用するための 7 つのベストプラクティス

MITRE D3FEND は、防御的なサイバーセキュリティ技術の分類法を提供する包括的なフレームワークです。このフレームワーク自体は「ベストプラクティス」の概要を明示していないが、組織は以下のガイドラインを考慮することで、サイバーセキュリティ戦略の策定や改善に活用することができる：

1. 組織のリスクプロファイルを理解する：組織のリスク許容度を評価し、最も価値のある資産と日常業務に対する潜在的な脅威を特定する。これにより、どのD3FEND手法が組織にとって最も適切かつ重要であるかを判断することができます。
2. に合わせる。MITRE ATT&CK フレームワーク:D3FENDをATT&CKと併用し、脅威の状況をより包括的に理解する。D3FENDの防御テクニックを関連するATT&CKの戦術、技術、手順にマッピングし、脅威情報に基づいたプロアクティブな防御戦略を構築する。
3. レイヤーセキュリティを導入する：組織のインフラストラクチャのさまざまなレイヤーにわたって複数の防御技術を適用し、深層防御戦略を構築する。このアプローチにより、単一障害点が発生する可能性を低減し、セキュリティ態勢の全体的な回復力を高めることができます。
4. 防御策を定期的に見直し、更新する：防御策の有効性を継続的に監視し、必要に応じて調整を行う。新たな脅威や新しい防御手法に関する情報を常に入手し、組織のセキュリティ対策が効果的かつ最新の状態に保たれるようにします。
5. 従業員の教育と訓練全従業員にサイバーセキュリティの重要性を認識させ、安全な環境を維持するための役割と責任を理解させる。継続的なトレーニングと教育を実施し、従業員が最新の脅威と防御技術に対応できるようにする。
6. コラボレーションと情報の共有他の組織、業界パートナー、政府機関と連携し、脅威インテリジェンスやベストプラクティスを共有する。このような集合的な知識は、脅威の状況をよりよく理解し、全体的なセキュリティ態勢を改善するのに役立ちます。
7. パフォーマンスを測定し、追跡する：防御技術の有効性を追跡し、改善すべき領域を特定するための指標を確立する。これらの指標を定期的に見直し、サイバーセキュリティ戦略についてデータに基づいた意思決定を行う。

これらのガイドラインに従い、MITRE D3FEND マトリックスを使用して、最も可能性の高い攻撃ベクトルにセキュリティ戦略と対策をマッピングすることで、組織は資産を保護し、潜在的なリスクを軽減するための強固で効果的なサイバーセキュリティ戦略を策定することができます。

MITRE D3FEND with Exabeam

業界で最も強力かつ先進的なクラウドネイティブSIEMとして、Exabeam Fusion、よく知られた脅威の監視、コンプライアンス違反の特定、Exabeam Threat Intelligence Service (脅威インテリジェンスサービス)からのコンテキストを使用したシグネチャベースの脅威の検出を行い、ATT&CKフレームワークのTTPに特化した独自の相関ルールをマッピングするオプションも用意されています。マルウェアや侵害された認証情報の最も一般的なユースケースに対応する120以上の相関ルールとモデルが事前に構築されており、ATT&CKフレームワークをサポートする事前構築済みコンテンツを提供するSIEMやネイティブXDRプロバイダーは他にありません。

Exabeam Fusionは、観察されたユーザーとエンティティの行動を自動的に関連付け、セキュリティ担当者に疑わしい行動をリアルタイムで分類するための高速で信頼性の高い方法を提供します。また、Exabeam では、これらのフレームワークに基づいてカスタム・レスポンスを作成することができるため、セキュリティ・チームは、各組織固有のセキュリティ・ポスチャーを考慮しながら、各組織に特化した独自のポリシー、ワークフロー、自動化を開発することができます。

エクサビームは、MITRE ATT&CKの知識ベースをサポートするために、2つの技術を提供している。