MITRE ATT&CKとは?、どのように役立つか | Anomali

MITRE ATT&CKとは何か、どのように役立つか

MITRE ATT&CKとは何でしょうか™?

MITREは2013年に、現実世界の観察内容に基づいて敵対行動を説明および分類する方法としてATT&CK(敵対的戦術、テクニック、および共有知識)を発表しました。ATT&CKは、戦術や手法にまとめられ、少数のマトリックスだけでなくSTIX/TAXIIでも表現された既知の攻撃者の行動の構造化されたリストです。このリストは、ネットワークを危険にさらすときに攻撃者が採用する行動をかなり包括的に示しているため、さまざまな攻撃的および防衛的な手段、表現、その他のメカニズムに役立ちます。

ATT&CKマトリクスの理解

MITREはATT&CKをいくつかの異なるマトリクスに分割しています:エンタープライズモバイル、およびPRE-ATT&CK.それぞれのマトリクスには、マトリクスの主題と関連付けられた様々な戦術とテクニックが含まれています。

エンタープライズマトリクスは、Windows、Linux、および/またはMacOSシステムに適用されるテクニックと戦術で構成されています。モバイルには、モバイルデバイスに適用される戦術とテクニックが含まれます。PRE-ATT&CKには、攻撃者が特定のターゲットネットワークやシステムを悪用するに行う行動に関連付けられた戦術やテクニックが含まれます。

ATT&CKのしくみ:戦術およびテクニック

マトリクス形態のATT&CKを見ると、上部のカラムタイトルが戦術で、基本的にはテクニックのカテゴリです。戦術とは、攻撃者が達成しようとしている内容であり、個別のテクニックとはこれらのステップと目標を実現する方法です。

ATT&CKエンタープライズマトリクス
ATT&CKエンタープライズマトリクスは次をご覧ください:https://attack.mitre.org/matrices/enterprise/

例えば、戦術の1つは水平移動です。ネットワークで攻撃者が水平移動を成功させるため、ATT&CKマトリクスの「水平移動」カラムに記載されたテクニックの1つ以上を採用したいと考えます。

テクニックは、ある目標を達成するための具体的な行動であり、攻撃者の総合的ミッションを完了するために採用される一連の活動のうちの1ステップであることが多いようです。ATT&CKは、緩和と検知の説明、例、参照、および提案を含む各テクニックに関する詳細を提供します。

MITRE ATT&CKのテクニック
MITRE ATT&CKのテクニック説明の例

ATT&CKの戦術とテクニックの作用の例としては、攻撃者がネットワークへのアクセスを獲得して、そのネットワーク内のできるだけ多くのシステムで暗号通貨マイニングソフトウェアをインストールしようとする場合があります。この総合的目標を達成するため、攻撃者はいくつかの中間ステップを実行して成功させる必要があります。まず、ネットワークへのアクセスを獲得します(できれば、スピアフィッシングリンク経由で)。次に、プロセス注入経由で権限を拡大する必要があるかもしれません。そうすると、クレデンシャルダンピング経由でシステムから他のクレデンシャルを取得し、マイニングスクリプトを定期タスクとして実行するよう設定することにより、攻撃者が永続化を確立できます。これを達成すると、攻撃者はPass the Hashでネットワークを水平に移動し、コインマイナーソフトウェアをできるだけ多数のシステムに拡散することができる可能性があります。

この例では、攻撃者が5つのステップを成功させましたが、それぞれが総合的攻撃の特定の戦術または段階を表しています:初回アクセス権限拡張クレデンシャルアクセス永続化、および水平移動。彼らは、これらの戦術内で特定のテクニックを使用し、攻撃の各段階(スピアフィッシングリンク、プロセス注入、クレデンシャルダンピングなど)を実行しました。

PRE-ATT&CKとATT&CKエンタープライズの違い

PRE-ATT&CKとATT&CKエンタープライズは組み合わさって、サイバーキルチェーンとおおよそ整合する戦術の詳細リストを形成します。PRE-ATT&CKはキルチェーンの最初の3段階(偵察、武器化、および配送)とほぼ整合します。ATT&CKエンタープライズは、キルチェーンの最後の4段階(攻撃、インストール、遠隔操作、および目的実行)とよく整合します。

サイバーキルチェーン

PRE-ATT&CK戦術ATT&CKエンタープライズ戦術
  • 優先度の定義
  • ターゲットの選択
  • 情報収集
  • 脆弱性の識別
  • 敵対OpSec
  • インフラストラクチャの確率と維持
  • 人材開発
  • 能力のビルド
  • 能力のテスト
  • 段階能力
  • 初回アクセス
  • 実行
  • 永続化
  • 権限拡大
  • 防衛回避
  • クレデンシャルアクセス
  • 発見
  • 水平移動
  • 収集
  • 脱出
  • 遠隔操作

ATT&CKでできること

ATT&CKは様々な日常の状況で高い価値を発揮します。攻撃者とその行動を参照するいかなる防衛行動も、ATT&CKのタクソノミーを適用することで利益を受けることができます。ATT&CKは、サイバー防衛者の共通用語集だけでなく、侵入テストとレッドチーミングの基盤も提供します。これにより、防衛者とレッドチーマーに敵対的行動を示す共通言語が与えられます。

ATT&CKのタクソノミーを適用する例が役立つかもしれません:

  • 防衛的コントロールのマッピング
    • 防衛的コントロールは、ATT&CK戦術とテクニックに対して参照される、よく理解された意味を伝えます。
  • ​脅威ハンティング
    • 脅威をATT&CKにマッピングすると、脅威ハンターが見逃した攻撃活動を見つける完璧な場所を提供する防衛的ギャップのロードマップが生成されます。
  • 検知と調査
    • セキュリティオペレーションセンター (SOC) とインシデントリスポンスチームは、検知または発見されたATT&CKテクニックと戦術を参照できます。これにより、防衛上の強みと弱みがどこにあるかがわかり、緩和と検知コントロールを検証し、不適切な構成およびその他操作上の問題を発見することができます。
  • 参照アクター
    • アクターとグループは、特定の、定義可能な行動と関連付けることができます。
  • ツールの統合
    • 異種のツールやサービスはATT&CK戦術とテクニックで標準化でき、欠落しがちな防衛に対して結束を実現します。
  • 共有
    • 攻撃に関する情報を共有する際、アクターまたはグループ、あるいは防衛コントロール、防衛者はATT&CKテクニックと戦術を使うことにより、共通理解を確保することができます。
  • レッドチーム/侵入テスト活動
    • レッドチーム、パープルチーム、および侵入テスト活動の計画、実行およびレポート作成では、ATT&CKを使って、防衛者とレポート受信者、そして本人たちの間で共通言語を話すことができます。

ATT&CKを使って防衛をマッピングしてギャップを理解する

多くの組織は、環境内で検知および防止用のセキュリティコントロールのリスト(コントロールカタログ)を維持しています。これらをATT&CKのレンズを通してみると、保護におけるコントロールを磨き、非効率を暴露し、ギャップを確認できます。ATT&CKはこのような方法で使用できますが、防衛メカニズムではなくあくまで攻撃者の行動を説明するのが主な目的であることを覚えておいてください。

コントロールをATT&CKテクニックに整合するプロセスは非常に単純です。各コントロールについて、どのテクニック(特にそれらのテクニックを採用する方法)がそのコントロールによって検知または防止できるかを考慮してください。ATT&CKのテクニック(または特定のテクニックを確定できない戦術)を参照することで、攻撃者に対して環境がどのように見えているかによってコントロールで検索、ピボット、およびレポート作成を行うことが可能です。例えば、すべてのコントロールにATT&CKテクニックが関連付けられると、どのテクニックに検知または防止コントロールが備わっていないかが簡単にわかります。MITRE ATT&CKナビゲーターを使うのは、この努力を視覚化するための優れた方法です。

ATT&CKエンタープライズマトリクスで戦術(カラム)のステップを確認し、コントロールが備わっていない戦術を選択することにより、組織に可視性がなく、阻止するための防止手段もない、考えられる攻撃シナリオが明らかになります。その結果のシナリオがどのようなものかを考え、実現可能性順にランク付けします。最も実現可能なシナリオは、脅威ハンティングで攻撃者がすでに悪用したかどうかが分かるソースである必要があります。これらは、コントロールを整備するために投資が発生すべき分野でもあります。

コントロールが特定の攻撃者テクニックに対して実際に効果的であるという仮定に基づいて運用するのではなく、可能な場合はコントロールに対してテクニックのシミュレーションを実行すべきです。コントロールは思ったほど効果的ではない可能性があるため、テストのみが唯一の確実な手段です。また、コントロールの効果的な運用の障害となる構成エラーまたはシステムの問題が存在する可能性があります。コントロールのテストを定期的に実行しないと、これらの問題は把握されないままです。

テストはまた、どのツールが検知や防止をしっかり担当しているか、どれがたいした仕事をしていないか、あるいは環境内の他のツールと結局重複しているかが分かるため、ツール投資を検証する優れた方法です。

サイバー脅威インテリジェンスにATT&CKを使う

ATT&CKは、標準的な方法で敵対的行動を説明できるため、サイバー脅威インテリジェンスにとって有用です。アクターは、活用することが分かっているATT&CKのテクニックと戦術との関連性でトラッキングできます。これにより、防衛者に、操作上のコントロールに適用するロードマップを提供し、特定のアクターに対する弱みがどこで、強みがどこにあるかを把握することができます。特定のアクターにMITRE ATT&CKナビゲーターエントリーを作成することは、それらのアクターやグループに対して環境の強みと弱みを視覚化するのによい方法です。ATT&CKは、 STIX/TAXII 2.0フィードとしても利用可能で、これによりそれらのテクノロジーをサポートする既存ツールを取り込みやすくなります。

ATT&CKは、オープンソースレポートに基づいて使用することが既知であるテクニックやツールなど、70近いアクターやグループに関する詳細を提供します。

MITRE ATT&CKグループリスト
MITRE ATT&CKグループリスト

インテリジェンス作成プロセス自体も、ATT&CKの共通の双眼鏡を使うことで利益を享受できます。先ほど述べたように、これはアクターとグループに適用できますが、SOCまたはインシデントレスポンス活動で観察される行動にも適用できます。マルウェアもATT&CK経由の行動として参照されます。ATT&CKへのサポートがある脅威インテリジェンスツールならどれでも、このプロセスを単純化してくれます。言及された行動にATT&CKを適用する商用およびオープンソースインテリジェンスも、一貫性を保つのに役立ちます。当事者全員が敵対的行動に関して同じ言語を話す場合、操作または管理への情報の伝達は最終的にはるかに簡単になります。操作側が強制認証が何かを正確に知っており、インテリジェンスレポートで言及されていることを目にすれば、どのような措置を取ればよいのか、そしてそのインテリジェンスに関してどのようなコントロールがすでに整備されているのかがわかるかもしれません。このような方法でインテリジェンス製品のATT&CK参照について標準化することにより、劇的に効率を改善し、共通理解を徹底することができます。

敵対的なシミュレーションとATT&CK

環境に対してATT&CKのテクニックをテストすることは、次の項目について最適です:

  • コントロールとその有効性をテストする
  • 異なるテクニックを確実に取り扱う
  • 可視性または保護のギャップを理解する
  • ツールとシステムの構成を検証する
  • 異なるアクターが成功する分野、環境にとらわれる分野を示す
  • 何が検知または緩和されているか、そうでないのかを正確に知ることによって、コントロールに関する推測や仮説を避けます。

敵対的シミュレーションを実行するプロセスは、多くの環境にとって異質なものです。侵入テスターを採用して環境をテストする際、組織は敵対的なシミュレーションテストに取り組んでいます。内部レッドチームがある、あるいはパープルチームエンゲージメントがある組織にも同じことが言えます。これらのエンゲージメントの活動をATT&CKテクニックに適用することにより、防衛者による結果の理解が高まります。特定の活動の検知失敗についてレポートするのではなく、ペンテストとレッドチームからのレポートに操作コントロール、防衛ツールおよび手順に活動を直接適用する優れたコンテキストを含めることができます。これにより、防衛者がレポートの結果として適切な措置を取りやすくなります。

シミュレーションは、特定のアクターにより使用することが知られているツールとテクニックを反映してデザインできます。これは、環境に存在するコントロールに対して特定の敵がどの程度成功するかを評価する際に特に有用です。

さらに、特定のテクニックを環境内で直接テストするためで、すでにATT&CKに整合済みのメカニズムを提供するツールもあります。VerodinSafeBreach、およびAttackIQなどの商用ツールは、ATT&CKに整合する敵対的シミュレーションを実行する能力を提供します。敵対的シミュレーションを実行し、ATT&CKにも整合するオープンソースオプションがいくつかあります(下記参照)。潜在的な分岐の範囲が完全には把握できない実稼働ネットワークで敵対的シミュレーションを実行する際は、細心の注意を払ってください。

これらのツールを使用するプロセスは非常に単純です。

  1. シミュレーション - 希望するテストに基づいてシミュレーション条件を選択し、ツールを実行するか、手動でテクニックを実施します。
  2. ハント - シミュレーションされた活動の証拠のためのログやツール出力を確認します。検知や防止コントロールで達成しなかった期待事項を記録します。
  3. 検知 - 所見に基づいて新しい検知または緩和を追加します。さらに、可視性におけるギャップ、および検知や緩和のために使用されたツールを記録します。

ATT&CKを使用する場合のベストプラクティス

次に挙げるのは、ATT&CKのベストプラクティス一覧です。

  • 発見された検知と緩和の方法をシェアする
  • 観察された攻撃者の行動の戦術とテクニックをシェアする
  • 既存ツールでATT&CK統合をレバレッジする
  • ATT&CKが有用な場所にサポートを追加するようベンダーとサービスプロバイダに推奨する

ATT&CKをレバレッジする際の課題

ATT&CKの使用には課題が存在します。ATT&CKをレバレッジする際は、これらを覚えておくとよいでしょう。

ATT&CKツールおよびリソース

次に挙げるのは、ATT&CKを使用するためのツールとその他のリソースの一覧です。これらのうちいくつかはこれまでに説明しましたが、参照用に再度記載されています。このリストに追加する項目がある場合、marketing@anomali.comまで電子メールを送信してください。

ATT&CKナビゲーター

ATT&CKナビゲーターは、ATT&CKテクニックに対してコントロールをマッピングするのに使用する優れたツールです。検知コントロール、防止コントロール、または観察された行動を具体的に見せるレイヤを追加できます。ナビゲーターは、簡単なモックアップまたはシナリオの場合オンラインで活用できますが、より永続的なソリューションの場合はダウンロードして内部設定することもできます。

MITRE ATT&CKナビゲーター
MITRE ATT&CKナビゲーター

Uber Metta

Mettaは、敵対的なシミュレーションを実行してMITRE ATT&CKに整合する、Uberが提供するオープンソースプロジェクトです。

Uber Metta

MITRE Caldera

Calderaは、MITRE ATT&CKに基づいた、オープンソースの、自動化された敵対的シミュレーションツールです。

MITRE Caldera
MITRE Calderaのスクリーンショット

Red Canary Atomic Red Team

Atomic Red Teamは、MITRE ATT&CKに対してマッピングされる敵対的行動をシミュレーションするための、Red Canaryが提供するオープンソースツールです。詳細については次のサイトを参照してください:https://atomicredteam.io/

Red Canary Atomic Red Team
Atomic Red Teamのテスト例

Endgame Red Team Automation

Red Team Automationは、MITRE ATT&CKでモデル作成された悪意のある行動をテストするための、Endgameが提供するオープンソースツールです。

Endgame Red Team Automation
Red Team Automation (RTA) が現在サポートしているテクニック一覧

Malware Archeology Windows ATT&CK Logging Cheat Sheet

Malware Archeologyの良心的な人々は、ログで防衛者が悪意のある活動を見つけるのを支援するため多数のWindows Logging Cheat Sheetを提供してくれています。MITRE ATT&CKからのテクニックを見つけるためのシートがあります。

Malware Archeology Windows ATT&CK Logging Cheat Sheet
Malware Archeologyが提供するATT&CK Logging Cheat Sheet

MITRE Cyber Analytics Repository (CAR)

MITREはCyber Analytics Repository (CAR) と呼ばれるリソースを所有しており、これはMITRE ATT&CKで行動を検知するのに役立つ様々な分析のための参照サイトです。

MITRE Cyber Analytics Repository (CAR)
MITRE Cyber Analytics Repository (CAR)

ATT&CK Tableau Table by Cyb3rPanda" src="https://www.anomali.com/images/uploads/research/attck-matrix-for-enterprise.png" style="padding:7px;border: 1px solid #ddd;background:#fff;margin-bottom:7px;" />
Cyb3rPandaが提供するパブリックタブローのATT&CKエンタープライズマトリクス

 

Palo Alto Unit 42 Playbook Viewer

Palo Altoのユニット42グループは、MITRE ATT&CKに整合した少数の脅威グループの既知の敵対的行動を記載した、無料のプレイブックビューアをリリースしました。

Palo Alto Unit 42 Playbook Viewer
Palo Altoユニット42のプレイブックビューア

Anomali週次脅威報告

Anomali週次脅威報告は、その週の主なセキュリティと脅威開発に関する無料の週次レポートです。レポートには、報告の各ストーリーについて関連するIOCとATT&CKテクニックが記載されています。

Anomali週次脅威レポート
Anomali週次脅威報告の例

まとめ

MITREは、ATT&CKおよびその関連ツールとリソースを提供することで、セキュリティコミュニティに大きく貢献しました。それは完璧なタイミングでした。攻撃者がより秘密のやり方を見つけ、従来のセキュリティツールによる検知を回避するなか、防衛者は検知と防衛に対する自らのアプローチを変えざるを得ないことに気づきました。ATT&CKは、IPアドレスやドメイン名などの低レベルの痕跡から私たちの認識をシフトさせ、行動のレンズを通して攻撃者と防衛を見ることができるようにします。ただし、この新しい認識により必ずしも簡単に結果が出ると言うことではありません。ブロックリストや単純なフィルターなどの楽な日々は過去のものとなりました。行動を検知および防止する方法は、過去のファイアー・アンド・フォーゲットツールよりずっと困難な道筋です。さらに、防衛者が新たな能力を持ち込むたびに攻撃者は確実に適応します。ATT&CKは、攻撃者が開発する新たなテクニックを説明する方法を提供し、防衛者と足並みを揃えていくようにします。