TTPとは何か、そしてTTPを理解することが次の事件を防ぐことにどう役立つのか。

戦術、技術、手順（TTP）とは何か？

TTP 分析は、脅威行為者の活動方法を理解することで、セキュリティチームが攻撃を検知し、軽減するのに役立ちます。以下では、TTP の 3 つの要素（戦術、技術、手順）を定義します。

戦術

一般的に戦術とは、サイバー犯罪者が攻撃を実行するために使用する活動の種類を指します。例えば、機密データへの不正アクセス、ネットワーク内での横の動き、ウェブサイトの侵害などです。

テクニック

スキルとは、攻撃者が目的を達成するために用いる一般的な手法のことである。例えば、ウェブサイトを侵害することが目的であれば、テクニックはSQLインジェクションかもしれない。各戦術は複数のテクニックで構成されることもある。

手続き

手順とは、サイバー犯罪者が攻撃を実行するために使用できる特定の一連のステップのことである。SQLインジェクションを例にとると、標的のウェブサイトの脆弱性をスキャンし、悪意のあるコードを含むSQLクエリを書き、それをウェブサイト上の安全でないフォームに送信してサーバーを制御する、という手順が考えられます。

サイバー犯罪から身を守るためにTTP分析をどのように活用できるか？

TTPの様々な組み合わせを理解することは、サイバー犯罪に対処するための素晴らしい方法である。いくつかの研究機関から入手できる詳細な指示に従うだけで、自動化された行動と人間による検証に基づいた対応を考案することができる。

例えば、MITRE ATT&CK ® Matrixは、サイバーセキュリティチームが遭遇する TTP を特定し、対処するのに役立ちます。このマトリックスでは、セキュリティ担当者が IT システムのアクティビティを継続的に監視し、既知の TTP に関連する異常な動作を検出して、本格的な攻撃に発展する前に阻止する方法を定義しています。MITRE ATT&CKマトリクスは、実際の侵入を検知する際にも、攻撃の計画段階や偵察段階にある行為者を特定する際にも役立ちます。

新たなTTPへの対処に役立つ取り組みは他にもある：

• オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト（OWASP）- ウェブ・アプリケーションに影響を及ぼす一般的な脆弱性に関するオープン・リサーチと、それらを修正するためのベスト・プラクティスを提供する。
• Cyber Threat Alliance (CTA)- サイバーセキュリティに関する知識を共有し、すべての人にとってより安全な環境を構築する多数の企業間の協定。

同時に、ユーザーとエンティティの行動分析（UEBA）や脅威インテリジェンスなどのテクノロジーは、これらの研究機関からのデータを補完することができます。行動分析を活用して異常な行動を特定し、脅威インテリジェンス・フィードを活用して既知の攻撃パターンと脅威アクターを多数提供することで、ネットワーク・トラフィック内の TTP を特定することができます。

TTPは本質的に "ハッキング活動 "であるため、通常の行動というレンズを通して活動を見るUEBAは、それを自然に補完するものである。

サイバー犯罪者がTTPを更新し、新たなTTPを考案し続ける中、セキュリティ・ソリューションは新たなテクニックを迅速に発見し、適応しなければなりません。TTPに関するデータは、セキュリティ・オペレーション・センター（SOC）における日々の活動に不可欠であり、セキュリティ・アナリストが攻撃者の一歩先を行くのに役立ちます。

行動分析でTTPを検知する

TTP分析は、攻撃がどのように発生したかを分析者が理解するのに役立ちます。しかし、TTPに一致するデジタル証拠が本当に悪意のある活動によるものなのか、それともネットワーク上のユーザーが実行した通常の操作に過ぎないのかを判断するのは難しい場合があります。

例えば、アナリストは、攻撃者がアカウント作成、画面共有アクティビティ、リモートデスクトップアクセスを悪意を持って利用する方法をよく知っている。しかし、これらは企業のIT部門が合法的な意図を持って毎日行っている日常的な作業です。

SOCアナリストが利用できるツールは、通常のアカウント作成と悪意のあるアカウント作成を区別し、悪意のあるアクティビティと思われる場合にのみアラートを発するのに十分でなければならない。そうでなければ、多数の誤検知が発生し、セキュリティチームに過度の負担をかけることになる。

行動分析では、機械学習を使用して、すべてのユーザーと資産の行動を監視し、理解します。行動ベースラインを確立し、通常の行動からの逸脱を特定することで、悪意のあるTTPを正確に検出します。

TTPを特定するための行動分析の例

Exabeamは、ユーザーおよびエンティティの行動分析（UEBA）機能を備えた次世代セキュリティ情報・イベント管理（SIEM）プラットフォームを提供しています。ExabeamのUEBAは、MITRE ATT&CK フレームワークで定義されているTTPを使用して、攻撃を示す可能性のある行動を特定します。また、正常な行動と異常な行動を区別することができるため、セキュリティ・アナリストが脅威を発見しやすくなります。

攻撃者がTelnet、SSH、VNCなどのリモート接続を許可するように設計されたサービスにログインすることを考えてみましょう。攻撃者は通常、このベクターを使ってネットワークに侵入し、その後、横方向に移動して価値の高い資産を攻撃します。

この方法は、MITRE ATT&CK フレームワークで「リモートサービス」として定義されている TTP である。既存の SOC ツールでは、静的相関ルールを使用して TTP 検出を行う。静的相関ルールは、リモート接続に関連する可能性のある通常の動作状態を判断できないため、ルールがトリガーするリモート接続はすべて、リモート接続に関連する可能性があります。

その結果、このルールは多数の偽陽性を生成し、アナリストがルールによって生成されたアラートを無視する原因となる。しかし、MITRE ATT&CKの情報をユーザー分析および行動分析と組み合わせることで、アナリストは、実際の脅威である可能性が高い、環境で発生する異常な行動に焦点を当てることができる。

SIEMとUEBAの統合ソリューション

ネットワーク上で発見されたTTPを特定し、防御するには、企業全体からデータを集約し、行動分析にかける必要があります。

これはSIEMとUEBAを統合したソリューションによって実現できる。SIEMの幅広いデータと最先端のUEBAエンジンが可能にする深い分析を組み合わせたシステムが、現場でいくつか展開されています。

統合システムの一例として、Exabeam SOC Platformがある。Exabeamは、最新のデータレイク・テクノロジーに基づいた完全なSIEMソリューションです。さらに、次のようなUEBA機能を提供します：

• 行動分析に基づくインシデント検知 -Exabeamは、高度な分析により、事前に定義された相関ルールや脅威パターンによらず、異常で危険な行動を特定します。高度な設定や微調整を必要とせず、誤検知を抑えながら、意味のあるアラートを提供します。
• セキュリティ・インシデントのタイムラインを自動作成 -Exabeamは、関連するセキュリティ・イベントをタイムラインに集約し、複数のユーザー、IPアドレス、ITシステムにまたがるセキュリティ・インシデントを表示します。
• 動的なピアグループ化 -Exabeamは、個々のエンティティの行動ベースライン化を行うだけでなく、類似のエンティティ（同じ部署のユーザーや同じクラスのIoTデバイスなど）を動的にグループ化し、グループ全体の正常な集団行動を分析し、危険な行動を示す個人を検出します。
• 横方向の移動検知 -Exabeamは、機密データや重要な資産を狙って、異なるIPアドレス、認証情報、マシンを使用してネットワーク内を移動する攻撃者を検知します。複数のソースからのデータを結びつけ、点と点を結んで攻撃者がネットワーク内を移動する過程を表示します。