目次
MITRE ATT&CKフレームワークとは?
MITRE EngageはMITRE社が開発した知識ベースで、当初はMITRE Shieldとして知られていた。10年にわたる敵との交戦経験に基づく能動的な防衛情報を提供する。エンゲージは以下のような様々なレベルの情報を提供します:
- 防衛戦術、技術、手順(TTP)に関する実務者向けの議論。
- CISOが目標と機会について考慮すること。
情報は構造化されたものと非構造化されたものの両方で提供されるが、最初のリリースでは構造化された要素にのみ焦点を当てている。データを利用しやすくするために、MITRE はビューを整理するマッピングを提供している。これには Engage とMITRE ATT&CK ®framework間のマッピングが含まれる。ナレッジ・ベースは拡張を続けており、ビューが追加されている。
マサチューセッツ工科大学によると、エンゲージは現在進行中である。敵の関与と能動的防衛、そして防衛側が能動的防衛を採用する方法についての会話を刺激するためにリリースされた。
このコンテンツはMITRE ATT&CK.
推薦図書:UEBA(ユーザーとエンティティの行動分析):完全ガイド.
アクティブ・ディフェンスとは?
米国防総省によると、能動的防衛とは、敵が紛争地域や陣地に侵入するのを防ぐ目的で、限定的な攻撃的反撃や行動を用いることである。
MITRE Engageは、基本的なサイバー防御行動に加えて、敵との交戦やサイバー欺瞞作戦など、いくつかのアクティブな防御タイプを組み合わせています。これらの防御を組み合わせることで、組織は攻撃に対抗すると同時に、敵に関する追加情報を得ることができます。このインテリジェンスは、組織が将来の攻撃によりよく備えるのに役立ちます。
MITRE ATT&CK、セキュリティの脅威を軽減するための詳細な解説をお読みください。
MITRE Engageはあなたの組織をどのように支援できますか?
サイバー防衛全般
MITRE Engage は、どのような防御計画にも適用できる基本的な防御テクニックを概説しています。組織は、MITRE Engage のテクニックを企業ネットワーク内で使用することで、敵対者を抑止し検出することができます。組織が直面する特定のリスクや脅威を理解するためにアセスメントを実施し、関連する Engage テクニックを適用するのが理想的です。
サイバー詐欺
デセプション・セキュリティは、トリップワイヤ・アプローチとしても知られ、脅威をプロアクティブに探索する。デセプション・システムは、通常のプロダクション・システムと見分けがつかないように設計されており、忠実度の高いシステムとして機能することができる。組織は、検知、抑止、またはその他の効果を目的として、ディセプションを適用することができる。
敵の関与
MITRE Engage テクニックの大部分は、防御者が標的とするシステムに対して実行される敵の活動を収集、観察、理解するのに役立つように設計されています。組織は、効果的かつ生産的なエンゲージメントを促進するために、本番環境だけでなく、合成環境においても MITRE Engage テクニックを展開することができます。
さらに、MITRE Engageの知識ベースは、(ATT&CKインサイトを使用して)特定の敵対者に関する既知の情報を分析し、適切な防御を計画し、将来の検討に必要な情報を把握するのに役立ちます。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験では、MITRE ATT&CKと MITRE Engage の両方をアクティブ・ディフェンス戦略にうまく活用するためのヒントがあります:
ATT&CKで敵の行動を監視し、Engageで対応する
ATT&CKをマッピングした検知システムで敵の行動を継続的に監視し、MITRE Engageのテクニックを適用して積極的に対応することで、進化する脅威に適応する俊敏な防御ループを構築します。
MITRE ATT&CKテクニックをエンゲージ・ディフェンス・テクニックにマッピングする
具体的な ATT&CK テクニック(敵の行動)を Engage 防御テクニックにマッピングすることから始める。こうすることで、アクティブ・ディフェンスの方法を用いて特定の敵の戦術に対抗する方法を明確に理解することができる。
Engage を使用して動的な欺瞞戦略を策定
MITRE Engage を活用することで、おとりシステムや認証情報の配備など、敵の手口を欺くプロアクティブな欺瞞キャンペーンを設計することができます。これらの作戦は、重要な資産を危険にさらすことなく情報を収集します。
Engage をレッドチーム演習に組み込む
Engage の防御テクニックをレッドチーム活動と組み合わせることで、実際の敵との交戦をシミュレートできます。これにより、組織のアクティブな防御能力をテストし、敵の行動に関する実用的な洞察を収集することができます。
Engage の戦術に基づく能動的防御のプレイブックを開発する。
MITRE Engage の 8 つの防御戦術(検出、封じ込め、破壊など)を中心に、対応プレイブックを構築する。これらのプレイブックは、将来の防御を改善するためのインテリジェンスを収集しながら、敵対者とどのようにエンゲージするかを概説することができる。
MITREエンゲージ(MITREシールド)モデル、戦術、技術、手順
MITRE Engage モデルには、以下のようないくつかのコンポーネントが含まれています:
- テクニック-エンゲージ・モデルの基礎となるもので、守備側の積極的な防御作戦を含む。
- 戦術-作戦を適用することによって守備側が達成したい目的についての抽象的でハイレベルな説明が含まれる。タクティクスは、必要に応じて参照できるテクニックのグループを分類したもので、より高度なプランニングのための略語として機能する。
このモデルは、守備側が戦術を使用する際に、各戦術目標に最も関連するテクニックを素早く特定するのに役立つ。守備側はこのモデルを用いて、エンゲージの多様なアクティブディフェンスから最も適切なディフェンスソリューションを構築することができる。
関連コンテンツ:解説を読むTTPとは何か?
MITRE Engage マトリックス
MITREのエンゲージマトリックス(旧シールドマトリックス)は、テクニックと戦術の関係を示しています。構成は以下の通り:
- 戦術-ディフェンダーの目的(下の欄に図示)。
- テクニック-各ディフェンスがどのように1つまたは複数の戦術を達成するのに役立つか(個々のセルに図示)。
テクニックと手順
MITRE Engageのテクニック能動的な防御行動を概説する。防御者は、1 つまたは複数のアクションを実行することで、事前に定義された戦術的目的を達成することができる。例えば、防御者は敵のエンゲージメント・システムにおとりクレデンシャルを追加することができる。このアクションは、敵がこれらのクレデンシャルをダンプし、それを使ってエンゲージメント・ネットワーク内にある他のシステムへのアクセスを試みるかどうかを確認するのに役立つ。
MITRE Engageのテクニックには、以下のような幅広いアクションが含まれる:
- 基本的な基礎技術 -幅広い組織に適用でき、高度な技術の上に重ねることができる。基礎技術には、ネットワーク監視、システム活動監視、バックアップとリカバリなどが含まれる。
- 高度なテクニック-ソフトウェアやネットワークを操作する目的で導入される。高度なテクニックは通常、欺瞞ベンダーや、より深いレベルで敵に関与したり研究しようとする組織によって展開される。
- MITRE Engageの手順テクニックの実装方法を詳しく説明する。
リンクの戦術とテクニック
MITRE Engage は能動的防衛戦術と関連するテクニックを関連付けている。テクニックは作戦環境におけるシステムとコントロールを構築するのに役立つため、これはアクティブ・ディフェンス作戦の重要な側面です。
戦術とテクニックをリンクさせる場合、一つのテクニックが複数の戦術をサポートすることができる。同様に、一つの戦術が複数のテクニックを使うこともできる。例えば、敵の活動を妨害するためにセキュリティ管理を強化したり、さらなる関与を可能にするために特定の管理を緩めたりすることができる。
MITRE ATT&CK vs MITRE Engage
MITRE ATT&CKは、敵対的行動に関連する技術的、戦術的、サブテクニカル、手続き的側面を含む継続的に更新される知識ベースを提供する。2013年に初めて作成され、これまでに数回の大幅な更新と改善が行われている。最新の知識ベースでは、企業、産業制御システム、モバイル向けのマトリックスを提供しています。
MITRE ATT&CKは敵側の視点に重点を置き、MITRE Engage は防御側の視点に重点を置いている。どちらの知識ベースもマトリックスを使用していますが、Engage は敵対的な行動ではなく、防御のテクニックや戦術を考慮しています。Engage は、防衛側が目的を達成するのに役立つ 8 つの防衛戦術を提供している。
エンゲージの8つの戦術傘には、チャネル、封じ込め、収集、探知、促進、テスト、混乱、正当化が含まれる。各戦術の傘には34の防衛技術が含まれ、これらによって関係するすべての方法がさらに洗練され、定義される。エンゲージ・マトリックス全体は、一般的な防衛、敵との交戦、欺瞞など、能動的な防衛を達成するために必要なすべての基本技術で構成されている。
MITRE EngageとATT&CKのマッピング
MITRE Engage の防御技術と ATT&CK の敵対技術は密接に関連しています。このため、MITRE は ATT&CK テクニックと戦術に特化したページを作成しました。各 ATT&CK テクニックには、関連する敵の ATT&CK テクニックと、該当するすべてのアクティブ防御情報が含まれています。
Engageは、ATT&CKの知識ベースを使用できる具体的な方法を提供する。ATT&CKとEngageのマッピングは、特定の敵に対処するアクティブ・ディフェンスのプレイブックを作成するのに役立つ。2つの知識ベースを併用することで、防衛側は主に2つの目的を達成することができる:
- 敵の行動と交戦(ATT&CK)についての理解を深める。
- より積極的な守備を実現する方法を発見する(エンゲージ)
Exabeam Fusion、XDRはどのようにMITRE ATT&CKフレームワークを活用するか。
エクサビームのセキュリティ研究者は、MITRE のディスカッションやイベントに参加しています。また、MITREのコンテンツをセキュリティアナリストの検知ツールに効果的に適用するため、機械学習をベースとした異常検知の方法について広範な研究を行っています。
Exabeam Fusion SIEMとXDRには、あらかじめパッケージ化されたユースケースのセットが含まれています。これらの事前パッケージ化されたユースケースには、脅威特有のコンテンツ、事前定義された調査チェックリスト、定義された各シナリオに合わせた対応プレイブックが含まれています。Exabeam 社内のセキュリティ専門家は、各ユースケースのシナリオを にマッピングし、各ユースケースに関連する MITRE の具体的な戦術やテクニックを含めることで、Exabeam で潜在的な脅威を調査するセキュリティアナリストにより深い洞察を提供します。例えば、漏洩したクレデンシャルのユースケースは、9 つの異なる MITRE の技術にマッピングされています。MITRE ATT&CK フレームワーク
®フレームワークとSOCのメリット" class="wp-image-221127"/>Exabeam Fusionにはこの2つの製品が含まれている:
- Exabeam Fusion XDR:市場をリードする行動分析、アラートトリアージ、脅威ハンティング、事前構築された調査プレイブック、TDIRワークフローの自動化、および数百ものサードパーティ製セキュリティツールや生産性向上ツールとの統合により、企業は多様な環境において気づかれないことの多い複雑な脅威を発見することができます。
- Exabeam Fusion SIEM: Fusion XDRの全機能と特徴に加え、集中ログストレージ、強力な検索機能、レポーティング機能により、一般的な規制やコンプライアンスのユースケースに対応します。
他のSIEMやXDRプロバイダーは、フレームワークをサポートする、すぐに使えるコンテンツを提供していません。ExabeamのMITRE ATT&CKフレームワークのサポートに関する詳細なマッピングは、こちらのリンクからご覧ください - ExaberamのMITREサポートは緑の濃淡で表示されています-ATT&CK®Navigator.
その他のMITRE ATT&CK説明者
