MITRE ATT&CKは、サイバー攻撃とその侵入手口を分類、説明するナレッジベースです。「ATT&CK」は「Adversarial Tactics, Techniques, and Common Knowledge」の略で、「敵対的戦術、テクニック、共有知識」を意味し、MITRE社が作成して2013年に公開しました。ATT&CKフレームワークでは、大枠でLockheed Martin社のサイバーキルチェーンをベースにしながら、個々の内容を掘り下げています。ATT&CKフレームワークの「戦術(Tactic)」は、サイバーキルチェーンの各ステージに対応し、同じように左から右へと進みます。戦術の位置が攻撃ライフサイクルのステージを示し、各ステージで特定の「テクニック(Technique)」が使われます。たとえば、フィッシングメールは通常、攻撃の初期のステージで使われ、データ窃取は最後に近いステージで実行されます。
ATT&CKフレームワークは、この数年の間に、サイバーセキュリティフレームワークとして急速に普及しました。しかも、本来の目的を超えてさまざまなユースケースに役立つことが証明されています。
MITRE社は1年間に少なくとも2~3回はフレームワークを更新しており、そのたびに新しいテクニックや目的、新しいマトリクスが追加されます。また、フレームワークの基盤が確立しているため、Splunkを含む多くのテクノロジープロバイダーがそのフレームワークを製品に組み込むことができます。ガートナー社やForrester社による製品評価でも、MITRE ATT&CKフレームワークが参照されることがあります。
Splunkは、2018年頃にコンテンツライブラリやSplunk Security Essentials (SSE) AppにMITRE ATT&CKサポートを追加しました。検出ルールをATT&CKのテクニックや戦術と対応させることで、防御側が各検出ルールを攻撃ライフサイクルのどのステージで使用すべきかが簡単にわかるようになりました。それ以降は、サブテクニック、脅威グループ、プラットフォーム、ソフトウェアの分類にも段階的に対応しました。このような機能の多くは、「Analytics Advisor」メニューから利用できます。
SSEの最新バージョンでは、さまざまなユースケースに対応したり疑問を解決するために、以下のようにATT&CKフレームワークを活用できます。
- テクニックに基づいて新しい検出ルールを見つける
- 既存のアクティブな検出ルールで対応できるテクニックを調べる
- 所有しているデータに基づいて、検出ルールで対応できる可能性のあるテクニックを調べる
- アクティブな検出ルールに基づいて、ランサムウェア「Babuk」を適切に監視できているかどうかを確認する
- 自社が所属する業界をターゲットにしている脅威グループを調べる
- 自社が所属する業界に対して使われているテクニックを調べる
- アクティブな検出ルールでクラウドマトリクス内のいくつのテクニックに対応できているかを調べる
- テクニックのカバー範囲が広いデータソースを調べる
これらの例の多くでは、初期設定の段階で、SSEが収集する追加コンテキストと補強データが必要になります。
テクニックに基づいて新しい検出ルールを見つける
- [Security Content]ページに移動します。
- 目的のテクニックIDを検索バーに入力または貼り付けます。
SSEでは、ランサムウェアで使われるテクニックトップ10など、MITRE社が作成したいくつかのテクニックリストが事前定義されています。
これらのテクニックをATT&CKマトリクスで視覚的に確認することもできます。
- [Analytics Advisor] -> [MITRE ATT&CK Framework]の順に移動します。
- ATT&CKマトリクスの上にある[ATT&CK Technique]ドロップダウンで[List MITRE ATT&CK Ransomware Top 10]を選択します。
選択したテクニックが表示されたATT&CKマトリクスの一部
選択したテクニックと現在の環境のカバー範囲のメトリクス
SSEには、事前定義済みのATT&CKテクニックリストがほかにもいくつか含まれます。その1つが、MITRE Engenuityによる観測数の多い攻撃テクニックトップ15です。その元となったプロジェクトでは、過去数年間に報告された大量の脅威情報を定量調査しています。報告の中には、ATT&CKテクニックが使われた600万件以上の観測結果が含まれます。そこから、15種類のテクニックが全観測結果の90%に使われていたことが明らかになりました。つまり、90%の攻撃を防ぎたいならば、この事前定義済みリストを使ってテクニックを絞り込み、対策に役立てるのがお勧めです。
既存のアクティブな検出ルールで対応できるテクニックを調べる
- [Analytics Advisor] -> [MITRE ATT&CK Framework]の順に移動します。
- [Color by]ドロップダウンで[Content (Active)]を選択します。
パネルやタブを切り替えることで、現在の環境でのそれぞれのカバー範囲を確認できます。
6種類のアクティブな検出ルールでATT&CKマトリクスの2%がカバーされていることを示すグラフ
所有しているデータに基づいて、検出ルールで対応できる可能性のあるテクニックを調べる
- [Analytics Advisor] -> [MITRE ATT&CK Framework]の順に移動します。
- [Color by]ドロップダウンで[Content (Available)]を選択します。
パネルやタブを切り替えることで、現在の環境でのそれぞれのカバー範囲を確認できます。
検出のカバー範囲が最も広いソースタイプ
現在の環境で利用可能な985種類の検出ルールでATT&CKマトリクスの73%がカバーされることを示すグラフ
アクティブな検出ルールに基づいて、ランサムウェア「Babuk」を適切に監視できているかどうかを確認する
- [Analytics Advisor] -> [MITRE ATT&CK Framework]の順に移動します。
- [MITRE ATT&CK Software]ドロップダウンで[Babuk]を選択します。
- [Color by]ドロップダウンで[Content (Active)]を選択します。
Babukランサムウェアで使用されているテクニックがオレンジ色で強調表示されます。利用可能な検出ルールは青色の背景で表示されます。
自社が所属する業界をターゲットにしている脅威グループを調べる
- [Analytics Advisor] -> [MITRE ATT&CK Framework]の順に移動します。
- [MITRE ATT&CK Threat Group]ドロップダウンで[Industry: Healthcare]を選択します。
10種類の脅威グループがヘルスケア業界をターゲットにしていることがわかります。
自社が所属する業界に対して使われているテクニックを調べる
- [Analytics Advisor] -> [MITRE ATT&CK Framework]の順に移動します。
- [MITRE ATT&CK Threat Group]ドロップダウンで[Industry: Healthcare]を選択します。
- [Filter]ドロップダウンで[Threat Group Selection]を選択します。
ATT&CKマトリクスのサブセットに、ヘルスケア業界に対して使われているテクニックが表示されます。
ヘルスケア業界に対して使われているテクニックのサブセットに対応した、SSEで利用可能な検出ルールとその他のコンテンツが表示されます。
アクティブな検出ルールでクラウドマトリクス内のいくつのテクニックに対応できているかを調べる
- [Analytics Advisor] -> [MITRE ATT&CK Framework]の順に移動します。
- [MITRE ATT&CK Platform]ドロップダウンで[Cloud]を選択します。
- [Color by]ドロップダウンで[Content (Active)]を選択します。
ATT&CKクラウドマトリクスで、現在の環境においてアクティブな検出ルールが青色で表示されます。
テクニックのカバー範囲が広いデータソースを調べる
- [Analytics Advisor] -> [MITRE ATT&CK Framework]の順に移動します。
- [Chart View]タブを選択します。
- [Split by]ドロップダウンで[Data Source]を選択します。
- [Status]ドロップダウンで[Active]を選択します。
- 下の方にある[Selected Content]セクションで[Selection by Data Source]タブを選択します。
データソースごとに、SSEで利用可能な検出ルールとその他のコンテンツの数が表示されます。
最後に「カバー範囲」の意味と用法についてご説明します。
ここでのカバー範囲は、利用可能またはアクティブなコンテンツの少なくとも一部が特定のテクニックに対応していることを示します。そもそも、MITRE ATT&CKでは、一部の「既知の」脅威について、実際に起きたことを把握できている範囲で体系化しているだけで、それらの脅威によって起こり得るあらゆる可能性を網羅しているわけではありません。
そのため、カバー範囲が広くても、それは、多くのテクニックに対応するコンテンツを多く適用しているというだけで、脅威全体から見れば一部にすぎません。カバー範囲は、環境全体の保護率とは異なります。検出に役立つデータソースが組織の一部でしか利用できない場合、保護レベルはそれほど高くなりません。こうした状況を考慮せずにマトリクスの色だけで判断すると、結論を誤る可能性があります。
つまり、カバー範囲は完全性を示す指標ではないということです。
この記事をお読みになったあとは、ぜひ実践してみてください。Splunk Security Essentialsは、Splunkbaseからダウンロードできます。ブログ公開時点での最新版は、2023年7月13日にリリースされたバージョン3.7.1です。
Splunk脅威調査チームが開発した検出ルールとMITRE ATT&CKの戦術との対応について詳しくは、E-book『サイバーセキュリティの脅威を最高レベルで検出するSplunkとMITRE ATT&CK』をご覧ください。
- Johan
著者/寄稿者:
Splunkのセキュリティはいつでもファミリービジネスです。この記事はJohan Bjerke、Audra Streetman、Ryan Becwarの協力のもと執筆されました。筆者の写真はPexels社のTorsten Dettlaff氏に撮影していただきました。
このブログはこちらの英語ブログの翻訳、濱野 健一によるレビューです。