MITRE ATT&CK フレームワーク(MITRE ATT&CK)は、サイバー犯罪者の既知の敵対行動に基づいて サイバーセキュリティーの 脅威をモデル化し、検出、防止、戦うための、普遍的にアクセス可能で継続的に更新されるナレッジ・ベースです。(MITRE ATT&CK の ATT&CK は 、Adversarial Tactics 、 Techniques & Common Knowledgeの略です。)
MITRE ATT&CKは、攻撃者の最初の情報収集や計画行動から最終的な攻撃の実行に至るまで、サイバー 攻撃の ライフサイクルの各段階におけるサイバー犯罪者の戦術、技術、手順(TTP)をカタログ化したものです。MITRE ATT&CK の情報はセキュリティー・チームに役立ちます
サイバー攻撃を正確にシミュレートしてサイバー防御をテストする
より効果的なセキュリティー・ポリシー、セキュリティー管理、 インシデント対応 計画を策定する
サイバー脅威をより適切に検出、防止、軽減するためのセキュリティー・テクノロジーを選択および構成する
さらに、MITRE ATT&敵の戦術、テクニック、サブテクニックに関するCK分類法(下記参照)は、セキュリティー専門家がサイバー脅威に関する情報を共有し、脅威の予防について協力するために使用できる共通言語を確立します。
MITRE ATT&CK 自体はソフトウェアではありません。しかし、 ユーザーとエンティティの行動分析(UEBA)、拡張検知と応答(XDR)、セキュリティー・オーケストレーション、自動化と応答(SOAR)、 セキュリティー情報とイベント管理(SIEM)などの多くの企業セキュリティー・ソフトウェア・ソリューションは、脅威の検知と応答機能を更新し強化するために、MITRE ATT&CKの脅威情報を統合することができます。
MITRE ATT&CK は、非営利団体の MITRE Corporation によって開発され、サイバーセキュリティー専門家の世界的なコミュニティからの意見をもとに MITRE によって維持されています。
MITRE ATT&CK は、敵の戦術とテクニック (およびサブテクニック) をマトリックスに編成します。各マトリックスには、特定のドメインに対する攻撃に対応する戦術とテクニックが含まれています。
エンタープライズ マトリックスには、エンタープライズ インフラストラクチャに対する攻撃で使用されるすべての攻撃者のテクニックが含まれています。このマトリックスには、Windows、MacOS、Linuxプラットフォームのほか、ネットワークインフラ、クラウドプラットフォーム、 コンテナ 技術のサブマトリックスが含まれています。 また、攻撃の前に使用される準備技術の PRE マトリックスも含まれています。
モバイル マトリックスには、モバイル デバイスに対する直接攻撃と、モバイル デバイスへのアクセスを必要としないネットワーク ベースのモバイル攻撃で使用される手法が含まれています。この行列には、iOS および Android モバイル プラットフォームの部分行列が含まれています。
ICXマトリックスには、産業用制御システム、具体的には工場、公共事業、輸送システム、その他の重要なサービスプロバイダーのオペレーションを制御または自動化するために使用される機械、デバイス、センサー、ネットワークに対する攻撃に使用される技術が含まれています。
各 MITRE ATT&CK タクティクスは、特定の敵対的な目標、つまり攻撃者が特定の時点で達成したいことを表します。ATT&CK タクティクスは、サイバー攻撃の段階または段階に密接に対応しています。たとえば、エンタープライズ マトリックスでカバーされる ATT&CK 戦術には次のようなものがあります。
偵察: 攻撃を計画するための情報を収集する
リソース開発: 攻撃作戦をサポートするリソースの確立
初期アクセス: ターゲット システムまたはネットワークに侵入
実行:侵害されたシステム上で マルウェアや 悪意のあるコードを実行。
永続性: 侵害されたシステムへのアクセスを維持 (シャットダウンまたは再構成の場合)。
特権昇格: より高いレベルのアクセス権または権限を取得 (例: ユーザー アクセス権から管理者アクセス権への移行)。
防御回避: システム内に入ったら検出を回避。
資格情報へのアクセス: ユーザー名、パスワード、その他のログオン資格情報の盗用
発見: ターゲット環境を調査して、計画された攻撃をサポートするためにどのリソースにアクセスまたは制御できるかを学習
横方向の移動: システム内の追加リソースへのアクセスの取得
収集:攻撃目標に関連するデータの収集(例: ランサムウェア 攻撃の一環として暗号化および/または流出させるデータなど)
コマンドアンドコントロール: 攻撃者がシステムを制御できるようにする秘密の/検出不可能な通信を確立
漏洩: システムからデータを盗むこと
影響: データまたはビジネス プロセスの中断、破損、無効化、または破壊
繰り返しますが、戦術とテクニックはマトリックスごとに (およびサブマトリックスごとに) 異なります。たとえば、モバイル マトリックスには偵察とリソース開発の戦術は含まれていませんが、エンタープライズ マトリックスにはない他の戦術 (ネットワーク効果 と リモート サービス効果)が含まれています。
MITRE ATT&CK テクニックが攻撃者が達成したい ことを 表す場合、MITRE ATT&CK テクニックは攻撃者がそれを どのように 達成しようとするかを表します。例えば、ドライブバイ・プロセッションや スピアフィッシングは 初期アクセス技術の一種であり、 ファイルレス・ストレージの 使用は防御回避技術の一例です。
ナレッジ・ベースでは、各テクニックについて次の情報が提供されます。
手法の説明と概要。
テクニックに関連する既知のサブテクニック。例えば、 フィッシングの サブテクニックには、 スピアフィッシングの添付ファイル、スピアフィッシングのリンク 、 スピアフィッシングのサービス経由などがある。 この記事の執筆時点で、MITRE ATT&CK は 196 の個別テクニックと 411 のサブテクニックを文書化しています。
関連する手順の例。これらには、攻撃グループによる手法の使用方法や、手法の実行に使用される悪意のあるソフトウェアの種類が含まれる場合があります。
緩和策 - セキュリティーの実践 (例: ユーザートレーニング) またはソフトウェア (例:ウイルス対策ソフトウェア、侵入防御システムなど)を使用してこの手法をブロックまたは対処できます。
検出方法 - 通常、これらは、セキュリティー・チームまたはセキュリティー・ソフトウェアが技術の証拠を監視できるログ データまたはシステムのデータソースです。
MITRE ATT&CK は、ナレッジ・ベースを表示および操作するための他の方法をいくつか提供します。マトリックスを介して特定の戦術やテクニックを研究する代わりに、ユーザーは以下に基づいて研究することができます。
データ ソース- セキュリティー・チームまたはセキュリティー・ソフトウェアが試行された攻撃手法の証拠を監視できるすべてのログ・データまたはシステムのデータ・ソースとデータ・コンポーネントのインデックス。
緩和策- ナレッジ・ベースで参照されているすべての緩和策のインデックス。ユーザーはドリルダウンして、特定の緩和策がどの手法に対応しているかを知ることができます。
グループ- 敵対的なグループと、そのグループが使用する攻撃戦術とテクニックのインデックス。この記事の執筆時点で、MITRE ATT&CK は 138 のグループを記録しました。
ソフトウェア- 攻撃者が特定の手法を実行するために使用する可能性のある悪意のあるソフトウェアまたはサービス (この記事の執筆時点では 740) のインデックス。
キャンペーン- 基本的には、サイバー攻撃またはサイバースパイ活動のキャンペーンのデータベースであり、それらを開始したグループ、使用された技術やソフトウェアに関する情報が含まれます。
MITRE ATT&CK ナビゲーター は、ナレッジ・ベースのデータを検索、フィルタリング、注釈付け、表示するためのオープンソース・ツールです。セキュリティー・チームは、MITRE ATT&CK Navigatorを使用することで、特定の脅威グループが使用する戦術やテクニックの迅速な特定と比較、特定のテクニックを実行するために使用されるソフトウェアの特定、特定のテクニックに対する緩和策の照合などを行うことができます。
ATT&CK ナビゲーター は、結果を JSON、Excel、または SVG グラフィック形式 (プレゼンテーション用) でエクスポートできます。セキュリティー・チームは、オンライン (GitHub でホストされている) を使用することも、ローカルのコンピューターにダウンロードすることもできます。
MITRE ATT&CK は、組織がセキュリティー運用を最適化し、全体的なセキュリティー体制を向上させるために使用する多数のアクティビティーとテクノロジーをサポートします。
アラートのトリアージ。脅威の検出と対応MITRE ATT&CK の情報は、一般的な企業ネットワーク上のソフトウェアやデバイスによって生成される大量のセキュリティー関連のアラートを選別して優先順位を付けるのに非常に役立ちます。実際、SIEM(セキュリティー情報およびイベント管理)、UEBA(ユーザーとエンティティーの行動分析)、 EDR(エンドポイントの検出と対応)、 XDR(拡張検出と対応)を含む多くのエンタープライズ・セキュリティー・ソリューションは、MITRE ATT&CKから情報を取り込み、それを使用してアラートをトリアージし、他のソースからのサイバー脅威インテリジェンスを強化し、インシデント対応プレイブックまたは自動化された脅威対応をトリガーできます。
脅威ハンティング脅威ハンティングとは 、セキュリティー・アナリストが既存のサイバーセキュリティー対策をすり抜けた脅威をネットワークから探し出す、プロアクティブなセキュリティー演習である。 敵対者の戦術、テクニック、手順に関する MITRE ATT&CK 情報は、脅威ハンティングを開始または継続するための文字通り何百ものポイントを提供します。
レッドチーム/敵対者のエミュレーション。セキュリティー・チームは MITRE ATT&CK の情報を使用して、現実世界のサイバー攻撃をシミュレートできます。これらのシミュレーションは、導入されているセキュリティー・ポリシー、慣行、ソリューションの有効性をテストし、対処する必要がある脆弱性を特定するのに役立ちます。
セキュリティー・ギャップ分析と SOC 成熟度評価セキュリティー・ギャップ分析では、組織の既存のサイバーセキュリティーの実践とテクノロジーを現在の業界標準と比較します。SOCの成熟度評価では、サイバー脅威やサイバー攻撃を最小限の手動介入または手動介入なしで一貫してブロックまたは軽減する能力に基づいて、組織の セキュリティー・オペレーション・センター(SOC )の成熟度を評価します。 いずれの場合も、MITRE ATT&CK データは、組織がサイバー脅威の戦術、技術、緩和策に関する最新データを使用してこれらの評価を実施するのに役立ちます。
MITRE ATT&CK と同様、ロッキード・マーチンの Cyber Kill Chain は、サイバー攻撃を一連の敵対的戦術としてモデル化しています。戦術の中には同じ名前が付いているものもあります。 しかし、それは類似性が終わるところです。
Cyber Kill Chain は、知識ベースというよりは説明的なフレームワークです。MITRE ATT&CK よりもはるかに詳細ではありません。MITRE ATT&CK の 18 の戦術 (モバイルおよび ICS のみの戦術を含む) と比較して、対象となる戦術は偵察、兵器化、配送、悪用、設置、指揮統制、目標への行動の7 つだけです。モバイルまたは ICS プラットフォームに対する攻撃のための個別のモデルは提供されません。また、MITRE ATT&CK の戦術、テクニック、手順に関する詳細情報のレベルに近いものはカタログ化されていません。
もう一つ重要な違い:Cyber Kill Chainは、サイバー攻撃が成功するためには、敵の戦術を 、順番に達成しなければならないという仮定に基づいており、戦術の一つでもブロックすれば、「キルチェーンを断ち切る」ことができ、敵が最終目標を達成するのを阻止することができる。 MITRE ATT&CK はこのアプローチを採用しません。これは、セキュリティー専門家が、遭遇する状況がどのような状況であっても、個々の敵対的な戦術やテクニックを特定し、ブロックまたは軽減できるよう支援することに重点を置いています。
統制された最新セキュリティー・スイートで脅威に打ち勝つQRadar ポートフォリオにはエンタープライズグレードの AI が組み込まれており、エンドポイントセキュリティー、ログ管理、SIEM、SOAR 用の統合製品を提供しており、すべて共通のユーザーインターフェース、共有された洞察、接続されたワークフローを備えています。
プロアクティブな脅威ハンティング、継続的な監視、脅威の詳細な調査は、すでに多忙な IT 部門が直面している優先事項のほんの一部にすぎません。信頼できるインシデント対応チームを待機させると、対応時間が短縮され、サイバー攻撃の影響が最小限に抑えられ、より迅速な復旧が可能になります。
最新のランサムウェアの攻撃を阻止し対処するために、IBMは、800 TBの脅威アクティビティー・データ、1,700万件以上のスパムおよびフィッシング攻撃に関する情報、2億7千万のエンドポイントから得た約100万件の悪意のあるIPアドレスのレピュテーション・データを活用して洞察を導き出しています。