MITREマトリックスとは？

MITRE ATT&CKとは？

セキュリティフレームワークMITRE ATT&CK^Frameworkは、包括的で最新のサイバー脅威インテリジェンスを提供するセキュリティフレームワークであり、組織がサイバーリスクから身を守るのに役立つ。

MITREは、セキュリティチームが検知したセキュリティイベントの監視と分析に役立つ、戦術、技術、手順をマッピングしたマトリックスを開発した。

MITREのマトリックスは主に3つある：Enterprise ATT&CK：攻撃者が組織に侵入するために使用する14の手口を含む、Mobile ATT&CK：攻撃者がモバイル・アプリケーションを侵害するために使用する14の手口を含む、ICS ATT&CK：産業制御システムを攻撃するために使用する12の手口を含む。

推薦図書：UEBA（ユーザーとエンティティの行動分析）：完全ガイド.

MITREマトリックスタイプ

エンタープライズATT&CKマトリックス

ATT&CK for Enterpriseは、サイバー攻撃者が企業ネットワークに侵入し、内部に入ってから目標を達成するためにできることを詳細に説明するモデルを提供します。これは、組織がサイバー防御に優先順位を付け、特定のビジネスにとって最大のリスクをもたらす防御に集中するのに役立ちます。

このマトリックスには、ネットワーク、Windows、macOS、Linuxのようなオペレーティングシステム、Office 365やGoogle WorkspaceのようなSaaSアプリケーション、パブリッククラウドシステム、Azure ADのようなアイデンティティサービスなど、さまざまな環境に侵入するために攻撃者が使用する具体的な戦術やテクニックが記載されている。

このマトリックスには現在、以下の14の戦術がある。

モバイルATT&CKマトリックス

モバイル ATT&CK マトリックスは、iOS および Android モバイル・デバイスを侵害するために使用される戦術とテクニックを説明します。この目的のため、ATT&CK for Mobileは、NISTのモバイル脅威カタログに基づいており、現在のモバイルデバイスの特性とその脆弱性を中心に設計されています。

Mobile ATT&CKには、攻撃者がモバイルデバイスに対して使用する12の戦術と100以上のスキルが含まれています。このマトリックスには、物理的なデバイスにアクセスしなくても使用できる、ネットワークベースの効果、戦術、テクニックもリストアップされています。

このマトリックスには現在、以下の14の戦術がある。

ICS ATT&CKマトリックス

このマトリックスは、電力網、工場、製造工場、その他の組織などの産業制御システム（ICS）を対象としている点を除けば、エンタープライズ ATT&CK に似ている。これらのシステムは、相互接続された機械、デバイス、センサー、ネットワークに依存しています。

このマトリックスでは、ICSシステムに対する攻撃のライフサイクル、潜在的な攻撃で使用される各手法や戦術の詳細な技術的説明、その目標、検知方法、その緩和と対応方法について説明している。

このマトリックスには現在、以下のように12の戦術がある。

MITRE ATT&CKマトリックス戦術とテクニック

MITRE ATT&CKナレッジベースは、サイバーセキュリティの専門家にとって最も確立され、頻繁に引用されるセキュリティリソースの1つとして急速に成長しています。これは、SOC、CERT、CTI、および侵入テストで一般的に使用され、多くのサイバー脅威の出版物で引用されています。

このフレームワークの主な利点の1つは、異なるバックグラウンドを持つネットワーキングの専門家が、定期的に更新され進化する技術・戦術・手順（TTPs）のリポジトリを中心に構築された共通言語を使用してコミュニケーションできることである。

戦術は、ATT&CK フレームワークの最も重要な要素である。これらは、脅威技術の背後にある理由や技術的目的を提供する。これらは脅威行為者の戦術的目的であり、攻撃者が特定の攻撃行動を開始する理由を説明します。攻撃者が使用する戦術には、"発見する"、"横方向に移動する"、"ファイルを実行する"、"ネットワーク内に留まる "といった行動が含まれます。

MITRE ATT&CKテクニックは、戦術によって分類され、攻撃者が目標を達成するために使用できる技術的な操作の特定のセットであり、戦術に記載されている目標を達成する。

MITREマトリックス使用例

MITRE マトリクスは攻撃者の行動に関する知識ベースであり、マトリクスのすべての使用はその 知識の活用を中心に展開される。マトリックスは以下のような目的で使用することができます：

• ペネトレーションテスト -サイバーセキュリティ研究者は、マトリックスの情報を使って攻撃テクニックを再現し、解釈することができる。侵入テスト担当者は、利用可能なツールを使用して特定のテクニックを実行し、組織がそのテクニックに対して脆弱であるかどうかを特定することができます。
• レッドチーム-セキュリティチームは、マトリックスを使用して、訓練で組織を攻撃する方法を見つけることができる。これは、犯罪グループによる攻撃をシミュレートしたり、組織が実装している防御をテストしたり、他のチームに防御テクニックをトレーニングしたりするために使用できる。また、マトリックスは、本番システムに影響を及ぼす可能性のあるアクションを計画するときに、組織とレッドチームとの間の理解を確実にする共通言語を提供する。
• 異常検知と脅威ハンティング -他の過去の攻撃、行為者、またはサイバー犯罪者グループの行動を理解し体系化することで、セキュリティツールとそれを使用する専門家は、特定の侵害指標（IoC）を既知のエクスプロイトまたは特定の攻撃者の典型的な行動と関連付けることができます。
• 防御対策の構築 -攻撃から得られた知識により、セキュリティ・チームはより高度な防御ソリューショ ンを導入して、起こり得る攻撃行動を抑止できるようになる。ファイアウォールや侵入検知システム（IDS）などのセキュリティツールは、MITRE Matrixのデータを直接利用し、特定の悪意のある行為をブロックするために使用することができます。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験では、MITRE ATT&CK フレームワークを活用してセキュリティ態勢を改善するのに役立つヒントを以下に挙げる：

ATT&CKを敵のエミュレーション演習に応用する
ATT&CKは、敵対者のエミュレーション演習やレッドチーム演習を構成するために使用します。敵の行動をモデル化することで、実際の攻撃手法に対する防御をテストし、事前予防的なセキュリティ態勢を確保することができます。

MITRE ATT&CKテクニックを既存のセキュリティツールにマッピングする
ファイアウォール、IDS、SIEM などのセキュリティツールが、特定のMITRE ATT&CKテクニックにマッピングされていることを確認します。これにより、攻撃のライフサイクル全体にわたって、敵の行動を検出し、ログに記録し、対応することができます。

部門横断的なコミュニケーションに ATT&CK を使用する
ATT&CK フレームワークは、セキュリティチームに共通言語を提供します。ATT&CK フレームワークを活用して、レッドチーム、ブルーチーム、エグゼクティブの間で作業の整合性を図り、脅威、リスク、テスト結果を伝達する際の明確性を確保する。

ユースケースに特化した脅威検知の開発
組織の脅威状況に基づき、最も関連性の高い技術や戦術に焦点を当てることで、脅威検知戦略を調整します。例えば、フィッシングの標的となることが多い組織であれば、クレデンシャルアクセスや初期アクセスに関するテクニックを優先する。

ATT&CK テクニックに基づく検出ルールの自動化
ATT&CKフレームワークを使用して、SIEMまたはXDRに自動化ルールを構築し、特定の攻撃手法を検出します。例えば、「リモートサービス (T1021)」のような横移動テクニックに対するアラートを設定して、不正な内部アクセスを検出します。

Exabeam との関係MITRE ATT&CK

エクサビームのセキュリティ研究者は、MITRE ATT&CKのディスカッションやイベントに参加しています。また、MITRE ATT&CKをセキュリティ・アナリストの検知ツールに効果的に適用するため、機械学習をベースとした異常検知の方法について広範な研究を行っています。エクサビームでは、MITRE ATT&CKを採用する予定です。Security Managementプラットフォームとエクサビームクラウドセキュリティサービス2019年から