MITRE ATT&CK とは?その効果は?
MITRE ATT&CK™ とは?
MITRE が 2013 年に発表した ATT&CK (Adversarial Tactics, Techniques & Common Knowledge)は、実例の観察結果に基づいて敵対行動を文書化し、分類するための仕組みです。ATT&CK は既知の攻撃者による行動を体系的にまとめたリストであり、各行動を戦術や手法に分類し、いくつかのマトリクスや STIX/TAXIIで示したものです。このリストには、攻撃者がネットワークを攻撃する際にとる行動が極めて包括的にまとめられており、さまざまな攻撃的/防衛的手段や説明などに役立ちます。
ATT&CK マトリクス
MITRE は ATT&CK をエンタープライズ、 モバイル、PRE-ATT&CKという複数のマトリクスに分類しています。各マトリクスには、そのマトリクスのテーマと関連のあるさまざまな戦術と手法が記載されています。
エンタープライズマトリクスは、Windows、Linux、MacOS の各システムに使用される戦術と手法で構成されています。モバイルマトリクスには、モバイルデバイスに使用される戦術と手法が含まれています。PRE-ATT&CK には、標的とした特定のネットワークまたはシステムを攻撃する前の、敵対行動に関連のある戦術と手法が含まれています。
攻撃の基本:戦術と手法
マトリクスで ATT&CK を表現する場合、最上部の列のタイトルには戦術が記載されています。これらは、基本的には手法のカテゴリとなっています。戦術とは、攻撃者が達成しようとしている内容であり、個々の手法は攻撃者がそれらのステップや目標を達成する方法です。
ATT&CK のエンタープライズマトリクス(出典 : https://attack.mitre.org/matrices/enterprise/
例えば、戦術の 1 つにラテラルムーブメントがあります。攻撃者はネットワークでラテラルムーブメントを成功させるために、ATT&CK マトリクスのラテラルムーブメントの列に挙げられている 1 つまたは複数の手法を使用しようとします。
手法は目標を達成するための特定の行動であり、多くの場合、攻撃者の使命全体を完了させるために実行する一連の行動の 1 ステップです。ATT&CK では、各手法について、対策や検知を目的とした説明、例、参照、提案などの詳細情報が多数提供されます。
MITRE ATT&CK における手法の説明の例
ATT&CK における戦術と手法の仕組みの例を挙げます。攻撃者があるネットワークにアクセスしようと試み、ネットワーク内のできるだけ数多くのシステムに暗号通貨マイニングソフトウェアをインストールするとします。この目標を達成するために、攻撃者は複数の中間ステップをうまく実行する必要があります。最初に、攻撃者は スピアフィッシングリンク経由などでネットワークにアクセスします。次に、 プロセスインジェクションを使って特権昇格を行う必要があります。これで、認証情報ダンピングによってシステムからその他の認証情報を取得し、マイニングスクリプトをスケジュールされたタスクとして実行するように設定することで、持続化を確立できます。これが成功すると、攻撃者は Pass-the-Hash によってネットワークのラテラルムーブメントを行い、彼らのコインマイナーソフトウェアをできるだけ多くのシステムに広めることが可能になります。
Iこの例では、攻撃者は Initial Access, Privilege Escalation、Credential Access、Persistence、Lateral Movement の 5 つのステップに成功しています。これらのステップは、攻撃全体の各戦術(段階)を示しています。攻撃者は固有の手法を使用して攻撃の各段階(スピアフィッシングリンク、プロセスインジェクション、認証情報ダンピングなど)を実行しました。
PRE-ATT&CK と ATT&CK エンタープライズの違い
PRE-ATT&CK と ATT&CK エンタープライズを組み合わせることで、サイバーキルチェーンとほぼ一致するすべての戦術リストが完成します。PRE-ATT&CK はキルチェーンの最初の 3 つのフェーズである偵察、攻撃準備、送付とほぼ一致します。ATT&CK エンタープライズは、キルチェーンの残りの 4 つのフェーズである Exploitation、installation、command & control、actions と一致します。
| PRE-ATT&CK の戦術 | ATT&CK エンタープライズの戦術 |
|---|---|
|
|
ATT&CK の用途
ATT&CK は日々のさまざまな状況で役立ちます。攻撃者とその行動を参照するあらゆる防御策に ATT&CK の分類を適用すると、効果が高まります。ATT&CK はサイバー防衛者に共通の用語を提供するだけではありません。侵入テストやレッドチーム演習の基盤としても機能します。これにより、防衛者やレッドチームのメンバーは共通の用語を使って敵対行動を表現できます。
ATT&CK の分類の適用が役立つ例を以下に挙げます。
- 防衛的コントロールの対応付け
- 防衛的コントロールは、該当する ATT&CK の戦術や手法を基準にして参照すると、よく理解できるようになります。
- 脅威ハンティング
- 防御を ATT&CK に対応付けることで、防御のギャップのロードマップが生成されます。これは、脅威ハンターが見逃した敵対行動を発見するのに最適です。
- 検知と調査
- セキュリティ運用センター(SOC)およびインシデント対応チームは、検知された、または明らかになった ATT&CK の手法と戦術を参照できます。これにより、防御上の強みや弱みがどこにあるかを把握し、対策および検知コントロールを検証して、誤設定やその他の運用上の問題を明らかにできます。
- アクターの参照
- アクターとグループを、定義可能な特定の行動と関連付けることができます。
- ツールの統合
- 異種のツールやサービスを ATT&CK の戦術と手法に基づいて標準化することで、防御において達成の難しい一貫性を実現します。
- 共有
- 攻撃、アクターまたはグループ、または防衛的コントロールについての情報を共有する際、防衛者は ATT&CK の手法や戦術を使用することで、共通の認識を持つことができます。
- • レッドチーム/侵入テストの活動
- レッドチーム、パープルチーム、および侵入テストの活動を計画、実行、報告する際、ATT&CK を使用することにより、防衛者、レポート受信者、自分たち同士の間で共通の用語で話すことができます。
ATT&CK を使用して防御を対応付け、ギャップを理解する
セキュリティチームが MITRE ATT&CK を見ると、エンタープライズマトリクスの手法ごとに何らかの検知または防御コントロールを試し、開発したくなるのももっともなことです。悪い考えではありませんが、ATT&CK の存在意義を考えると、ある注意事項を念頭に置かなければ、これはやや危険なアプローチになります。ATT&CK マトリクス内の手法は、多くの場合、さまざまな方法で実行されます。そのため、その手法を実行するための 1 つの方法を阻止または検知しても、考えうるすべての方法に対処できているとは限りません。これは「あるツールで手法採用の 1 つの形態を阻止できたので、組織はその手法を適切に回避できている」というセキュリティに関する誤った認識につながる可能性があります。しかし、攻撃者は検知または防御が整備されていない別の方法で、その手法をうまく採用できます。
これに対処する方法は、次のとおりです。
- ある ATT&CK 手法を実行するための方法は複数存在することを常に念頭に置く
- 特定の手法を実行するための既知の方法を調査、テストし、整備されているツールや可視性の効果を測定する
- テストの結果を慎重に記録し、その手法のギャップはどこにあるのか、その手法のどの採用方法を検知または防御できるのかを示す
- 特定の検知にどのツールが効果的なのか、まったく対処されていないギャップはどれかを認識する
- 手法を実行するための新しい方法を常に学び、対処状況を測定する環境でテストする
たとえば、ウイルス対策が Mimikatz の存在を検知した場合、Pass the Hash(T1075)と Pass the Ticket(T1097)に対処済みであるとは限りません。Mimikatz を使用せずにこれらの手法を実行する方法は、まだ複数あるからです。ATT&CK を使用して、組織における防御の範囲を示す場合には、このことを念頭に置いてください。
サイバー脅威インテリジェンスに ATT&CK を使用する
ATT&CK は標準的な形式で敵対行動を説明できるため、サイバー脅威インテリジェンスに有用です。アクターは、過去に使用したことが知られている ATT&CK の手法や戦術から追跡できます。これにより、運用コントロールと対比するためのロードマップが防衛者に提供されるので、特定のアクターに対する強みや弱みがどこにあるかを確認できます。MITRE ATT&CK Navigator で特定のアクターのエントリを作成すると、そのアクターまたはグループに対する環境の強みと弱みを視覚化できます。ATT&CK は STIX/TAXII 2.0 フィード として利用することも可能です。これにより、これらのテクノロジをサポートする既存のツールに簡単に取り込めるようになります。
ATT&CK は、オープンソースレポートに基づき、約 70 のアクターやグループに関する詳細情報(使用することが認識されているテクニックやツールなど)を提供します。
MITRE ATT&CK グループリスト
インテリジェンス作成プロセス自体も、ATT&CK の共通の用語を使用することでメリットを享受できます。前述のとおり、これはアクターやグループに適用できますが、SOC またはインシデント対応活動で観察される行動にも適用できます。マルウェアも ATT&CK 内の行動と照らして参照できます。ATT&CK をサポートする脅威インテリジェンスツールであれば、このプロセスの単純化に役立ちます。取り上げられた行動に ATT&CK を適用する商用およびオープンソースインテリジェンスも、一貫性の保持に役立ちます。当事者全員が敵対行動に関して共通の用語を使用することで、運用または管理へのインテリジェンスの伝達が最終的にはとても簡単になります。運用側が矯正認証について正確に把握しており、インテリジェンスレポートの記載を確認すれば、そのインテリジェンスに関してどのような措置を講じるべきか、どのようなコントロールがすでに整備されているかを正確に把握できる可能性があります。このようにしてインテリジェンス製品の ATT&CK 参照を標準化することにより、効率を大幅に改善し、共通理解を深めることができます。
敵対的シミュレーションと ATT&CK
以下の場合には、環境において ATT&CK の手法をテストするとよいでしょう。
- コントロールとその有効性をテストする
- 異なる手法に対する対処を確実に行う
- 可視性または保護におけるギャップを理解する
- ツールとシステムの構成を検証する
- さまざまなアクターがその環境で成功を遂げる場合や、身動きできなくなる場合を示す
- 検知または緩和されるものとされないものを正確に知ることによって、コントロールに関する推測や仮説を回避する
敵対的シミュレーションを実行するプロセスは、多くの環境にとってなじみのあるものです。侵入テストを採用して環境へテストしている場合、組織は敵対的シミュレーションテストに取り組んでいるということになります。社内にレッドチームがある組織、またはパープルチームを伴う演習を実施している組織にも同じことが言えます。このような取り組みの活動を ATT&CK 手法に当てはめることにより、防衛者による成果をよく理解できるようになります。侵入テストおよびレッドチームのレポートは、特定の活動の検知失敗を報告するものではなく、運用コントロール、防衛ツールおよび手順に活動を直接当てはめることのできる、優れたコンテキストが含めることが可能です。そのため、レポートの確認後に、防衛者は適切な措置を簡単に講じることができます。
シミュレーションには、特定のアクターが使用したことが知られているツールや手法を反映させることができます。これは、環境に存在するコントロールに対し、特定の攻撃者がどの程度成功するかを評価する場合に特に役立ちます。
さらに、特定のテクニックを環境内で直接テストするメカニズムを提供するツールで、ATT&CK との整合を図ったものもあります。Verodin、SafeBreach、AttackIQなどの商用ツールでは、ATT&CK との整合性を確保した敵対的シミュレーションを実行できます。敵対的シミュレーションの実行が目的で、ATT&CK との整合も図っているオープンソースオプションがいくつかあります(下記参照)。もちろん、潜在的な影響の範囲が完全には把握できない本番稼動ネットワークで敵対的シミュレーションを実行する場合には、細心の注意が必要です。
これらのツールの使用方法は簡単です。
- シミュレーション - 必要なテストに基づいてシミュレーション条件を選択し、ツールを実行するか、手作業で手法を実行します。
- 捜索 - シミュレーションした活動のエビデンスをログ記録およびツールの出力で探し、検知コントロールまたは防御コントロールで達成できなかった期待値を記録します。
- 検知 - 所見に基づき、新しい検知または対策を追加します。さらに、可視性におけるギャップや、検知または対策に使用したツールを記録します。
ATT&CK を使用する際のベストプラクティス
ATT&CK のベストプラクティスを以下に挙げます。
- 手法が曖昧な場合、または特定が困難な場合には、戦術を使用する
- 検知と対策についての外部調査を利用する
- 発見した検知と対策の方法を共有する
- 観察した敵対行動の戦術および手法を共有する
- 既存のツールへの ATT&CK の統合を活用する
- ベンダーとサービスプロバイダに対し、ATT&CK が有用と考えられる場合には ATT&CK のサポートを追加するように促す
ATT&CK を利用する際の課題
ATT&CK の使用には課題が存在します。ATT&CK を利用する際には、これらを念頭に置きましょう。
- 悪意のない手法もある
- 例:ネットワーク共有ドライブからのデータ(T1039)
- 検知の鍵:この手法はどのようにして呼び出されるか?
- 簡単に検知できない手法もある
- 例:スピアフィッシングリンク(T1192)
- 検知の鍵:メール受信に関するその他のイベント
- 一部の手法には実行方法が多数存在する
- 例:認証情報ダンピング(T1003)
- 検知の鍵:その手法を引き起こす既知の方法を集め、それらすべてに「認証情報ダンピング」とラベル付けする
- MITRE は下位手法を発表し、これに対処する予定
- 一部の手法は複数の戦術に属している
- 例:DLL 検索順序のハイジャック(T1038)
- 永続化、特権昇格、防衛回避の各戦術の下に表示される
- この手法を含め、一部の手法は複数の事例に使用可能であり、攻撃の複数段階で有用である
ATT&CK のツールとリソース
ATT&CK を利用するツールやその他のリソースのリストを以下に挙げます。一部はすでに取り上げていますが、参照用として再度記載しています。このリストに追加する項目がある場合は、marketing@anomali.com までメールでご連絡ください。
- ATT&CK を開始するには、必ず MITRE の ATT&CK Webページを参照してください。
- MITRE は Medium に ATT&CK に関するブログを掲載しています。
- ATT&CK に特化したセキュリティ会議を開催しています。
- ATT&CK に関する質問は、attack@mitre.org まで送信してください。
ATT&CK Navigator
ATT&CK Navigator は、ATT&CK の手法に対してコントロールを対応付けるための優れたツールです。検知コントロール、防御コントロール、または観察された行動を具体的に示すレイヤーを追加できます。Navigator は、オンラインで利用することで簡単なモデルまたはシナリオを生成したり、ダウンロードして内部設定し、永続的なソリューションとして使用したりすることが可能です。
MITRE ATT&CK Navigator
Uber Metta
Metta は、敵対的シミュレーションを実行し、MITRE ATT&CK との整合性が確保されている Uber のオープンソースプロジェクトです。
MITRE Caldera
Caldera は、MITRE ATT&CK に基づくオープンソースの自動敵対的シミュレーションツールです。
MITRE Caldera のスクリーンショット
Red Canary Atomic Red Team
Atomic Red Team は敵対行動をシミュレーションするための Red Canary のオープンソースツールであり、MITRE ATT&CK に対応付けられています。詳細については https://atomicredteam.io/ をご覧ください。
Atomic Red Team のテストの例
Endgame の Red Team Automation
Red Team Automation は Endgame のオープンソースツールであり、MITRE ATT&CK でモデル化されている悪意のある行動をテストします。
Red Team Automation(RTA)が現在サポートしている手法のリスト
Malware Archaeology の Windows Logging Cheat Sheet
Malware Archaeology は、防衛者が悪意のある活動をログ記録から発見できるように、多数の Windows Logging Cheat Sheet を提供しています。MITRE ATT&CK で手法を見つけるための専用シートがあります。
Malware Archeology が提供する ATT&CK Logging Cheat Sheet の詳細情報の例
MITRE Cyber Analytics Repository (CAR)
MITRE には Cyber Analytics Repository(CAR)と呼ばれるリソースがあります。これは MITRE ATT&CK で行動を検知するのに役立つ、さまざまな分析の参照サイトです。
MITRE Cyber Analytics Repository (CAR)
Cyb3rPanda の ATT&CK Tableau Table
Cyb3rPanda は ATT&CK をパブリック Tableau インスタンスに読み込むことで、容易なピボッティングとフィルタリングを実現します。
Cyb3rPanda のパブリック Tableau における ATT&CK のエンタープライズマトリクス
Palo Alto Unit 42 Playbook Viewer
Palo Alto の Unit 42 グループは、MITRE ATT&CK に沿って一部の脅威グループの既知の敵対行動を示す、無料のプレイブックビューアーをリリースしました。
Palo Alto Unit 42 の Playbook Viewer
Anomali Cyber Watch
Anomali の週次脅威ブリーフィングは、その週の主要なセキュリティの進歩および脅威の進行について報告する無料の週次レポートです。ブリーフィングのストーリーごとに、関連する IOC および ATT&CK の手法が記載されています。
Anomali の週次脅威ブリーフィングの例
まとめ
MITRE は ATT&CK と関連ツールおよびリソースを提供することで、セキュリティコミュニティに大きく貢献してきました。これはすばらしいタイミングでした。攻撃者は特定されにくい方法を発見し、従来のセキュリティツールによる検知を回避するようになったため、防衛者は検知と防衛に対する自らのアプローチを変えざるを得ないと考えていたからです。ATT&CK により、私たちの認識は IP アドレスやドメイン名といった低レベルの IOC からシフトし、行動のレンズを通して攻撃者と防衛を確認できるようになります。ただし、この新しい認識によって簡単に成果が上がるというわけではありません。ブロックリストや単純なフィルターなどを扱っていた楽な日々は過去のものです。行動の検知および防御への道のりは、過去の導入だけで完結するツールなどよりもずっと困難です。さらに、防衛者が新たな機能を身につけるたびに、攻撃者は確実に適応してきます。ATT&CK は、攻撃者が開発するあらゆる新手法を表現する手段を提供し、防衛者の先手を取ろうとするものです。
