MITRE ATT&CKフレームワークとは?
MITRE ATTACKフレームワークとは、攻撃ライフサイクル全体で脅威アクターが使用する、サイバー攻撃者の戦術および手法を追跡した精選された知識ベースのことです。このフレームワークは、データを集めたものに留まらないように、つまり、組織のセキュリティポスチャを強化するツールとして使用するよう想定されています。
例えば、MITRE ATT&CKは攻撃者の視点に立つので、セキュリティ運用チームは、個々のアクションに対する攻撃者の動機をより簡単に推測し、こうしたアクションが特定の防御クラスにどのように関連しているかを把握できます。
MITRE ATT&CKフレームワークのデータの取得先
MITREのATT&CKは主に、公開されている脅威インテリジェンスおよびインシデントレポートのほか、サイバーセキュリティ分析および脅威ハンターから提供される新しい手法に関するリサーチによって形成されます。これはこのような同じ専門家が、攻撃者の振るまいを検知して阻止できるように、不正アクターによる活動の多様な方法を適切に理解するために使用されます。
MITRE ATT&CKフレームワークの歴史
MITREは、連邦政府にエンジニアリングおよび技術的ガイダンスを提供するために設けられた非営利組織です。この組織が最初に2013年のMITREリサーチプロジェクトで使用するフレームワークを開発し、攻撃者の戦術、手法、および一般的な知識(「Adversarial Tactics, Techniques, and Common Knowledge」、頭字語形式ではATT&CK)という、収集するデータに由来した名前を付けました。
MITRE ATT&CKは、2015年に無料で一般公開され、今日では、既知の脅威と新しい脅威から組織を保護できるように、すべてのセクターのセキュリティチームを支援しています。また、MITRE ATT&CKは元来、Windowsエンタープライズシステムに対する脅威に焦点をあてていましたが、今日ではLinux、モバイル、macOS、ICSにも対応しています。
専門家からのヒント
MITRE ATT&CK™フレームワークは、サイバー攻撃に関する説明の明確化に取り組んでいる意欲的なイニシアチブです。クラウドストライクがMITRE ATT&CKフレームワークで脅威をどのように解明しているかをご覧ください。ブログを読む
MITRE ATT&CKマトリクス:戦術および手法
特定の攻撃者は、特定の手法を使用する傾向があります。MITRE ATT&CKフレームワークは、攻撃者グループと作戦行動とを関連付ける情報を分類しているので、セキュリティチームは、対処している攻撃者をより詳しく理解し、防御策を評価し、セキュリティが最も重要な箇所でセキュリティを強化することができます。
戦術とは?
攻撃者の戦術とは、ラテラルムーブメント、防衛回避、持ち出しなど、攻撃者が達成しようと意図している具体的な技術的目標のことです。戦術は、これらの目標に応じて分類されます。例えば、エンタープライズマトリクスでは現在、次の14個の戦術に分類されています。
- 偵察
- リソース開発
- 初期アクセス
- 実行
- 永続化
- 権限昇格
- 防衛回避
- 認証情報アクセス
- 探索
- ラテラルムーブメント
- 収集
- コマンド&コントロール
- 持ち出し
- 影響
手法とは?
手法は、攻撃者が目標を達成するために試みる可能性のある1つの具体的な方法を表します。多数の手法が各「戦術」カテゴリ下で文書化されています。この理由は、攻撃者が自身のスキルセット、標的のシステム設定、適切なツールの可用性などの要因に応じて、さまざまな手法を使用できるためです。
各手法には、方法、関連するシステムとプラットフォーム、その手法を使用する攻撃者グループ(既知の場合)、アクティビティの緩和方法、現実世界での手法の使用法に関する説明が含まれています。
MITRE ATT&CKでは現在、エンタープライズに対する188の手法と379のサブ手法を特定しています。
手順とは?
手順とは、攻撃者がどのように目標を達成しようと計画しているかを示す段階的な説明のことです。
MITRE ATT&CKとサイバーキルチェーン
脅威検知と脅威ハンティングで使用されるもう1つの一般的なサイバーセキュリティフレームワークがサイバーキルチェーンです。手法のマトリクスであるMITRE ATT&CKとは異なり、サイバーキルチェーンはイベントのシーケンスを定義します。Lockheed Martin社が開発したサイバーキルチェーンは、攻撃の構造を記述したキルチェーンの軍事概念に基づいてモデル化されています。
サイバーキルチェーンには、次の7つのステップがあります。
- 偵察
- 武器化
- 配送
- エクスプロイト
- インストール
- コマンド&コントロール(C2)
- 目的の実行
サイバーキルチェーンは依然として、ダイアモンドモデルと呼ばれる別のセキュリティフレームワークとともに使用されていますが、今日ではMITRE ATT&CKフレームワークが最も広く採用されています。旧来のフレームワークとは異なり、MITRE ATT&CKは、攻撃者側と防御側の両方から得られた攻撃に関するすべての情報にインデックスを設定します。MITRE ATT&CKでマッピングされている攻撃シナリオは、レッドチームが複製し、ブルーチームがテストできます。
MITRE ATT&CKマトリクスのユースケースにはどのようなものがありますか?
セキュリティチームがMITRE ATT&CKを使用する方法は、次のとおりです。
- セキュリティギャップ分析を行い、セキュリティの改善を計画する
- サイバー脅威インテリジェンスを強化する
- アラートのトリアージと調査を迅速化する
- レッドチーム演習と攻撃者エミュレーションのより現実的なシナリオを作成する
- SOCのセキュリティ成熟度を評価する
- ステークホルダーに明確かつ簡潔に伝達する
- コンサルタントやベンダーと連携するときに役立つ共通言語を取得する
詳細情報
クラウドストライクの精鋭によるマネージドサービスが現実世界でどのように機能しているかに関するブログ記事をご覧ください。MITRE ATT&CKフレームワークとクラウドストライク
