MITRE Engenuity ATT&CK?Evaluationsの活用方法と注意点
MITRE Engenuity ATT&CK Evaluationsは、実際のサイバー攻撃者グループの手法を模したシミュレーションを使い、セキュリティソリューションを評価するテストです。セキュリティ強化のための活用方法を解説します。
Save to Folio
ハイブリッド环境やテレワークの浸透により、攻撃対象领域が急速に拡大し続ける今、滨罢环境全体にわたるサイバーリスクを改めて検証することが求められています。
こうした状況において、サイバー攻撃の流れと手法を体系化したフレームワークであるMITRE ATT&CKと、サイバー攻撃に対する評価テストである「ATT&CK? Evaluations」は、最新の高度なサイバー攻撃に対する組織の防御力を可视化し、追加投資を判断するための基礎的な情報として有効活用することができます。
MITRE Engenuity ATT&CK Evaluations とは?MITRE Engenuity ATT&CK Evaluationsは、MITRE ATT&CKのフレームワークに沿って、実在するサイバー攻撃者グループの攻撃手法を再現し、標的型攻撃に対するセキュリティソリューションを評価するテストです。この評価では、ランキングやレーティングは一切なされません。つまり、一般的なセキュリティソリューションの検証とは異なり、MITRE Engenuity ATT&CK Evaluationsは、侵害が発生した後の各ソリューションの防御と検出能力のみに焦点をあてています。
2022年の評価では、サイバー攻撃者グループWizard SpiderやSandwormの攻撃を模倣し、テストが実施されました。
Sandwormはロシアのサイバー攻撃者グループといわれ、ウクライナの電力会社を標的とした2015年と2016年の攻撃、および2017年のNotPetya攻撃が広く知られています。また、Wizard Spiderによるランサムウェアキャンペーンは少なくとも2018年から確認されており、今に至るまで、企業から病院に至るまでさまざまな組織に対して攻撃を行っています。
とくにWizard Spiderは、EMOTET再構築やランサムウェアConti開発にも関与しているといわれ、特定の業種、地域に依らず、多くの組織に被害を与えているサイバー攻撃者グループであることから、日本の組織にとっても今回の評価結果は有用な情報といえるでしょう。
2022年のMITRE Engenuity ATT&CK Evaluationsは、これらのサイバー攻撃者グループの攻撃を模倣し、2つのシナリオ、109の攻撃ステップでシミュレーションを実施しています。この評価において、トレンドマイクロのサイバーセキュリティ?プラットフォームは前年度と同様、高い評価を得ました。
※2022 MITER Engenuity ATT&CK Evaluation Wizard Spider + Sandworm Enterprise Evaluation 2022
※実际の攻撃をもとに、目标达成までの攻撃者の行动を、戦术とそれを実行するための技术?手法に分类し、攻撃シミュレーションを実施。このうち、评価対象となったのは、11の戦术とそれを実行するための46の技术。
?Tactics(戦術):組織への侵入を試みる“初期アクセス(Initial Access)”から、目標達成のための“影響(Impact)”まで攻撃者の戦術を分類。
?罢别肠丑苍颈辩耻别蝉(技术?手法):目标达成までの戦术の各ステップにおいて、利用される技术?手法を示す。攻撃の実例やリスク軽减と検知方法なども提案されている。
?滨尘辫补肠迟(影响):攻撃者にとって最后の戦术。ターゲットのシステムやデータを操作、
停止、破壊を试みる。ここでは最终目标の达成のため、あるいは情报窃取の隠れ蓑となるよう、攻撃技 术が利用される。攻撃者を理解した、セキュリティの计画、実装が必要。
ーーーーーーーーーーーーーーーーーーーーーー
| トレンドマクロの评価概要 | ||
|---|---|---|
| ※サブステップとは:个々の攻撃ステップ。2つのシミュレーションで109の攻撃ステップが用意された | ||
| 分析カバレッジ | 可视化 | 防御 |
| 100/109 | 105/109 | 100% |
| サブステップ | サブステップ | 防御 |
| ATT&CK Techniquesとのマッピングまたはアラートの説明などのコンテキストが付加された高度な検出となっています。 | 攻撃手法の可视化により、お客様は攻撃の全体像を把握し、より迅速に対応することができます。分析またはテレメトリ情報が収集可能だった箇所を示しています。 | 早期にリスクを回避し调査リソースを开放できるため、セキュリティチームはより困难なセキュリティ课题に集中することができるようになります。 |
| 厂翱颁レベル1アナリスト: トリアージに有効なデータ |
厂翱颁レベル2/3アナリスト: 胁威ハンティング/インシデント対応の担当者に有効なデータ |
防御者およびセキュリティチーム: 防御能力を测るのに有効 |
※2022 MITER Engenuity ATT&CK Evaluation live casino online Overview
表中の结果の説明はトレンドマイクロによるもの
评価とフレームワークの活用方法MITRE ATT&CKは、戦術や技術?手法等の観点で攻撃を整理、標準化したフレームワークです。サイバー攻撃者グループの行動を説明する共通言語として役立つため、サイバーセキュリティ業界にとって貴重なツールになっています。
このフレームワークは、組織全体のセキュリティ状況を可视化し、説明する際にも有用です。攻撃者の目標達成までの戦術、技術が整理されたこのフレームワークを利用し、現在の対策をマッピングしていくことで、脅威に対して脆弱な箇所を発見することができます。また、セキュリティ状況の可视化により対策の重複を判断し、コストを最適化することも可能になります。
MITERのフレームワークにより自組織のセキュリティニーズを特定したうえで、MITRE Engenuity ATT&CK Evaluationsを活用すれば、そのニーズに適した追加投資やソリューション選定を行うことができるでしょう。
评価活用において考虑すべき点検出の品质評価を見る際には、攻撃テストに対する検出タイプの階層を考慮することが重要です。MITRE Engenuity ATT&CK Evaluationsでは、検出の情報(コンテキストの量)に応じて、以下の5つのタイプに検出結果を分類しています。
戦术や技术といった攻撃者の意図を推察できる精度の高い検出结果、アラートを受け取ることができれば、限られた人员やスキルであっても、迅速に攻撃に対処し、被害を未然、最小限に抑えることが可能になります。検讨しているソリューションの検出タイプが、组织のリソースやスキル、环境といったニーズに适切なものであるか考虑が必要です。
① None(なし):検出情報が提供されていませんが、検出が行われなかったという意味ではありません。MITRE Engenuity ATT&CK Evaluationsが設定した必要な検出基準を満たさなかったことを意味します。
② Telemetry(テレメトリ):テスト対象に検出基準を満たすイベントが発生したことを示します。
③ General(ジェネラル):何か疑わしいと判断されたことを示す検出ですが、特定の戦術や技術を示すものではなく、詳細な情報は提供されないか、もしくは限定的です。
④ Tactic(戦術):検出が戦術的目標(例:認証情報のアクセス)に起因する可能性があることを意味します。
⑤ Technique(技術?手法):検出が特定の攻撃者の行為(例:認証情報窃取)に起因する可能性があることを意味します。
出典:MITER Engenuity
参考:MITRE Engenuity WIZARD SPIDER AND SANDWORM DETECTION CATEGORIES
组织固有のセキュリティニーズの理解が大前提検出率やカバー率といった评価结果にフォーカスする前に、组织固有の胁威やセキュリティニーズを理解しておくことが重要です。组织に必要な対策やソリューションを明らかになれば、追加投资や见直しの判断において、この评価を基础的な情报として有効活用できるでしょう。
MITRE Engenuity ATT&CK Evaluationsは、客観性の点で有用な情報です。しかし、組織固有のニーズや環境、要件については、もちろん考慮されていません。MITER自身も指摘しているように、それらは組織ごとに考える必要があるのです。組織固有の脅威、そしてニーズを理解するためには、MITER ATT&CKのフレームワークやセキュリティ機関等から提供される脅威情報などが役に立つでしょう。
参考:MITRE ATT&CK USING RESULTS TO EVALUATE ENDPOINT DETECTION PRODUCTS
高度なサイバー攻撃に対しては、MITRE ATT&CKのフレームワークが示すように、組織のインフラ全体のセキュリティリスクを網羅的に可视化するアプローチが前提になります。トレンドマイクロの統合サイバーセキュリティ?プラットフォームlive casino online Oneは、攻撃対象領域全体にわたるリスクの特定、軽減を支援します。可视化の向上により、攻撃対象領域のライフサイクルの点が結ばれることで、防御や検出の精度は向上し、セキュリティチームは重大なアラート、攻撃にフォーカスすることができるようになります。
