MITRE ATT&CK(マイターアタック)フレームワークとは、実際に観測された敵対的な戦術と技法に基づいてサイバー攻撃の振る舞いを分類した情報源を指します。このセキュリティフレームワークは、非営利組織のMITRE社が米国政府、産業界、学術機関と協力して2013年に作成し、攻撃の振る舞いを包括するナレッジベースとして一般に公開されています。
ATT&CK(アタック)は「Adversarial Tactics, Techniques and Common Knowledge (敵対的戦術、技法、共有知識)」の略で、ネットワークへのサイバー攻撃で一般的に使用される戦術、技法、手順(TTP)を体系化し、Windows、Linux、Mac、クラウド、モバイル環境ごとに敵対的な振る舞いをまとめた資料です。多くの組織が、攻撃と防御の両面から対策を検討して全体的なセキュリティ体制を強化するために利用しています。
ATT&CKフレームワークは、脅威を追跡または防御する上で、より的確に攻撃を分類し、攻撃者の行動を理解して、組織のリスクを評価するために役立ちます。また、このフレームワークを使用することで、さまざまなシナリオで攻撃者がどのように振る舞うかについてのインサイトを得ることができます。その知識を基にすれば、攻撃を検出して組織への影響を防ぐためのより効果的なセキュリティ戦略を立てることができます。
ATT&CKフレームワークは、攻撃者の振る舞いに関するインサイトを提供するという独自の役割と、標準化され簡単にアクセスできる世界共通の言語という性質から、脅威インテリジェンスを共有してセキュリティ体制を強化することを目指す組織の間で人気が高まっています。
この記事では、MITRE社のセキュリティに対するアプローチ、ATT&CKフレームワークの各種のコンポーネント、現状でのATT&CKの導入方法について説明します。
マイクロサービスとは:目次
MITREセキュリティは、サイバー脅威インテリジェンスと一連のサイバーセキュリティリソースの両方を組み込んだ、MITRE社のコア能力です。MITRE社は、従来のサイバー防御のアプローチと、近年利用が広まっているサイバー脅威インテリジェンスを組み合わせて、進化する脅威に迅速に対応および適応するための包括的なセキュリティ体制を提唱しています。これらのリソースは、以下のようなサイバーセキュリティプログラムを構築するための基盤を提供します。
MITRE ATT&CKフレームワークでは、組織のサイバーセキュリティ体制を大幅に強化し、将来の攻撃が成功する確率を下げるために、さまざまな攻撃とその関連イベントに関する知識を取り込んだ、脅威に基づく防御戦略を採用しています。
MITRE社によると、脅威に基づく包括的な防御を構築するには次の3つの要素が重要です。
MITRE社は、米国連邦政府、州政府、地方自治体、幅広い業界および学界と連携して活動する非営利法人です。MITRE社自体は政府機関ではありませんが、科学的な研究と分析、開発と調達、エンジニアリングおよび統合システム面で米国政府を支援する独自の組織、FFRDC(連邦政府出資研究開発センター)を運営しています。
MITRE社は、AI、直感的なデータサイエンス、量子情報科学、健康情報学、宇宙セキュリティ、政策と経済の知識の蓄積、サイバー脅威の共有、サイバーレジリエンスなど、幅広い分野で革新的なアイデアの創出を手助けしています。
また、クライアント固有の問題に対処するためのテクノロジーの新たな活用方法を探求する独立した調査プログラムを運営し、独自の技術力によってさまざまな政府機関を支援しています。MITRE社が提供する主な情報には、システムエンジニアリング、信号処理と捕捉、サイバーセキュリティ、モバイルテクノロジー、ソーシャルソフトウェアなど、幅広い分野に及びます。
サイバー脅威モデリングは、サイバー環境での攻撃の脅威シナリオを開発および適用するプロセスです。サイバー脅威の標的は、デバイスからアプリケーション、システム、ネットワーク、組織、ビジネスクリティカルなミッションまで多岐に及びます。脅威モデリングは、これらのプラットフォームや環境が実際の状況でどのように攻撃を受けるかを明確にモデリングして、脆弱性やその他の弱点を特定するために役立ちます。
サイバー脅威モデリングプロセスは、以下のような、サイバーセキュリティおよびレジリエンス戦略のさまざまな側面で利用されます。
Lockheed Martin社が「サイバーキルチェーン」の呼び名で初めて明確化したサイバー攻撃ライフサイクルは、サイバー攻撃の各種のフェーズを表しています。MITRE社独自のサイバー攻撃ライフサイクルは、前述の「脅威に基づく防御」において脅威の早期検出と対応の実現性を高めるための重要な要素です。
MITRE社が定義するサイバー攻撃のフェーズには以下の6つがあります。
組織の防御ツールや能力と、このサイバー攻撃ライフサイクルをマッピングすることで、セキュリティアーキテクチャのギャップをより適切に特定し、セキュリティ防御を強化するためのより効果的な投資を行うことができます。
サイバーセキュリティフレームワークは、リスクを管理し、脆弱性の露出を減らして、潜在的な脅威からデータを守るための最善のセキュリティプラクティスを定義する、一連の標準と手順をまとめた文書です。 業界や規模を問わず、重要なシステムとデータを常に安全に保つのは難しいことです。そのため、多くの組織がサイバーセキュリティフレームワークをガイダンスとして活用しています。サイバーセキュリティフレームワークは、重要なデータとインフラの保護方法についてできるだけ勘に頼らずに済むように、さまざまな課題を想定した、包括的で標準化されたセキュリティ計画を提供します。多くの場合、組織は既存のサイバーセキュリティフレームワークを調整することで独自のニーズやコンプライアンス要件に対応できます。
ATT&CKフレームワークは、セキュリティチームが行う日常の防御対策に使用でき、特に攻撃者とその攻撃手法を理解するために役立ちます。敵対的な振る舞いについて攻撃側と防御側に共通の言語と参照フレームを提供するため、レッドチームとブルーチームのどちらも幅広く利用できます。
レッドチーム(サイバー防御対策を評価するために定期的に侵入テストを行うテスターや攻撃専門のセキュリティチーム)は、MITRE ATT&CKフレームワークに従って、ATT&CKで文書化された敵対的な振る舞いを模倣してネットワークのセキュリティ対策をテストできます。予測される攻撃についての既存の方法論を強化する手段としてATT&CKを使用すれば、より簡単に脅威を予測し、パターンを検出して、環境内の防御ツールの有効性を評価できます。
一方、ブルーチーム(内部ネットワークのセキュリティを管理してサイバー脅威から保護する、防御専門のセキュリティチーム)がATT&CKフレームワークを使用すれば、攻撃者の振る舞いをより深く理解し、深刻度に基づいて脅威の優先順位を判断して、適切なセキュリティ対策が導入され効果を発揮しているかどうかを確認することができます。
ATT&CKの分類法は以下のようなさまざまな用途に利用できます。
ATT&CKフレームワークは何年も前から存在しますが、簡単にアクセスでき誰にでも理解できる共通の標準言語として組織、政府機関、個人が脅威インテリジェンスの共有に広く利用するようになったのは最近のことです。普及が拡大した大きな要因の1つは、ATT&CKフレームワークがシステムを攻撃する攻撃者の振る舞いについて、あらゆる環境を網羅した詳細な分類を提供する点にあります。
他のセキュリティフレームワークは、特定の業界やユーザーを対象とし、ニーズやコンプライアンス要件に応じて推奨事項が異なります。一般的なサイバーセキュリティフレームワークには以下のものがあります。
この2つのフレームワークの最も大きな違いは、サイバーキルチェーンが統合的なセキュリティ戦略の概略を提供するのに対して、MITRE ATT&CK frameworkフレームワークは特定の攻撃パターンや攻撃手順を示すのではなく戦術と技法を包括的に提供する点です。
どちらのフレームワークでも、攻撃者がネットワークに侵入し、検出を回避して、最終的に資産を盗み出すという全体的なパターンは同じです。ただし、ATT&CKのシナリオでは、たとえば、「初回アクセス」の技法から開始して、さまざまな方法で「資格情報によるアクセス」に移動し、「防御回避」の技法で痕跡を消してから、「実行」フェーズに戻るということが可能です。
これに対して、サイバーキルチェーンでは、攻撃者が偵察から侵入以降のフェーズを所定の順序で進むことを前提に一連のイベントを具体化しています。また、サイバーキルチェーンはATT&CKと比べてやや短い点も異なります。
ATT&CKは、セキュリティチームの規模や成熟度に関係なく、脅威に関する知識を高め、情報に基づいてより効果的な防御体制を構築するために役立ちます。MITRE社が提供する関連資料は無償で入手できますが、組織固有のニーズに合わせてフレームワークを適用するために支援が必要な場合は、さまざまなコンサルタントやベンダーが提供するサービスを利用することもできます。
セキュリティチームが小規模で、脅威インテリジェンスに関する能力を高めたい場合は、ATT&CKで侵入アクティビティに基づいてまとめられた関連グループの中から、自組織に関連するグループとその攻撃技法に的を絞るとよいでしょう。
セキュリティチームの中に脅威情報を定期的に分析する担当者がいる場合は、既存のマッピングに頼らず独自に脅威インテリジェンスをATT&CKフレームワークとマッピングすることから始めることができます。
セキュリティチームが高度なスキルを持つ場合は、より多くの情報をATT&CKとマッピングし、その結果に基づいてサイバー防御を強化できます。インシデント対応、リアルタイムアラート、社内の履歴データなど、内部情報と外部情報の両方をATT&CKとマッピングできます。データをマッピングしたら、グループを比較したり、よく使用される技法に優先順位を付けたりして、対策を練ることができます。
脅威情報に基づいてより効果的なセキュリティ戦略を構築
多くの組織は、悪用される可能性のある脆弱性について警告してマルウェアなどの脅威を阻止するセキュリティ製品を導入するなど、従来からある防御手段に頼っています。これらのアプローチは一部の領域では効果的ですが、限界があります。大きな問題点の1つは、攻撃者がネットワーク内に侵入した後、どのような攻撃を行っているかを把握できないことです。ATT&CKのような包括的なフレームワークで体系化されたサイバー脅威インテリジェンスを活用すれば、攻撃者の手口を理解してその目的を読み取り、適切な情報に基づいて、大きな被害をもたらす標的型攻撃を未然に防ぐための的確な判断ができるようになります。