- 2025/03/12
- セキュリティ
「MITRE ATT&CK」が明らかにするサイバーリーズン製品の真の実力とは?
Post by : Kenichiro Anjo
MITREが実施する「ATT&CK Enterprise Evaluation 2024」とは?
米国の非営利団体「MITRE」が提唱する「MITRE ATT&CK」は、サイバー攻撃者が用いる戦術や手口を基に独自に体系化したセキュリティフレームワークで、これまで多くの企業・組織がセキュリティ対策の評価や実装を行う上での拠り所としてきました。
またMITREではこのMITRE ATT&CKのフレームワークをベースに、さまざまなベンダーのセキュリティ製品・サービスを実際の攻撃シナリオに沿って毎年評価しています。直近に行われた評価「ATT&CK Enterprise Evaluation 2024」では、特にランサムウェア攻撃を想定したシナリオを設定し、多くのツールの評価が行われました。
具体的には、WindowsおよびLinux環境を狙ったランサムウェア「Clop」および「LockBit」のリアルな攻撃シナリオを想定し、各製品・サービスがMITRE ATT&CKの各攻撃フェーズにおいてどの程度の検知率を達成したか、中立的な立場から評価を行ってその結果をすべて公開しています。
さらに今回の評価では、新たに「macOSを狙った攻撃」のシナリオが用意されました。具体的には、北朝鮮が近年多用しているmacOSを標的にした攻撃シナリオをもとに、やはりMITRE ATT&CKの各攻撃フェーズにおいて各ベンダーの製品がどの程度脅威を検知できたかをテストしています。
なお弊社の次世代アンチウィルス製品「Cybereason NGAV」およびEDR製品「Cybereason EDR」は、上記すべての評価に参加していますが、他社の中には自社製品がmacOSに対応していないため、参加を取りやめた、または一部の評価のみの参加に留めたところもあったようです。
サイバーリーズン製品は最も詳細なレベルまで100%の脅威検知を達成
ちなみにこの評価における「脅威の検知」は、詳細な攻撃手法まで検知できた「Technique」、攻撃の大まかな戦術まで検知できた「Tactics」、詳細までは分からないものの危険を察知できた「General」の3段階に分かれています。
弊社の製品は、先ほど紹介した「Clop」「LockBit」「macOSを狙った攻撃」の3つのシナリオにおいて、すべての脅威を最も詳細なTechniqueレベルまで100%検知できています。同様にTechniqueレベルで100%の検知率を達成できたベンダーは弊社以外には1社しかおらず、いかに高い検知精度を達成したことがうかがえます。
なお本評価では、検知率のほかにも「設定変更を行ったか?(Config. Change)」という評価項目が設けられています。これは、一度評価を行った後に設定を変更するチューニング作業を行い、再度評価を行ったかどうかを表しています。他社の製品の中には、最初の評価の後に設定を変更して再度評価を行い、より高い精度を達成しているものもあります。しかし言うまでもなく現実の脅威シナリオにおいては、一度攻撃を受けて被害が発生した後にいくらチューニングを施しても意味はありません。
その点、弊社の製品は設定変更を一切行わずに、標準設定の状態で前記の100%検知を達成できており、現実の脅威シナリオにより即した製品だと言えます。また既に述べた通り、弊社は「Cybereason NGAV」と「Cybereason EDR」の2製品のみで本評価に参加していますが、他社の中にはこれにXDRやNDR、次世代ファイアウォール、サンドボックス、果てはセキュアブラウザ製品までつぎ込んでより高い精度の達成を目指しているところもあります。
その点弊社のソリューションは、NGAVとEDRのみで最高レベルの検知精度を達成できているため、コストパフォーマンスの点でも大きなアドバンテージがあると自負しています。
サイバーリーズン製品は新評価項目「アラート数」でも高評価を獲得
「ATT&CK Enterprise Evaluation 2024」では、対象のセキュリティソリューションから上がってくる「アラートの数」を評価項目の一つとして新たに取り入れています。これは、実際にセキュリティの統合監視をする企業のセキュリティチームが、多くのアラート数によって「アラート疲れ」を起こしてしまうことに配慮したものです。つまりアラート数が少なく、検知率が高いソリューションがセキュリティ監視の運用効率やリアルタイムでの対処を行うために必要である、という指針を示しています。
サイバーリーズンのEDRは、本評価において、「Clop」「LockBit」「macOSを狙った攻撃」の3つのシナリオにおいて100%の検知率を達成しつつも、たった18個のアラート数しか上がらない、という結果を達成しました。100%の検知率を達成しつつもこれだけ少ないアラート数しか上がらないソリューションは唯一であり、サイバーリーズンEDRが真に実用的な運用効率を持っていることが実証されたものとなります。
エンドポイント以外の脅威も網羅的に可視化するために
ただしNGAVとEDRだけでは、エンドポイントしか監視できないことも事実です。クラウドサービスやモバイルデバイスがビジネスシーンで広く普及し、アタックサーフェイスが極めて広範に渡るようになった今日のエンタープライズシステムを安全に保つには、エンドポイントだけではなくクラウドサービスやネットワーク、モバイルデバイス、認証システムといったさまざまなポイントで脅威を監視する必要があります。
しかしこれら多様なサービスやデバイスから個別にログを収集し、それらを人手で集計して互いの相関性を分析するのは至難の業です。そこで現在注目を集めているのが、これらの多様なサービス・デバイスからログを一カ所に集約して、自動的に相関分析を施して攻撃の全体像をあぶり出す「XDR(Extended Detection and Response)」と呼ばれるソリューションです。
弊社でも「Cybereason XDR」という独自のXDRソリューションを提供しており、NGAVとEDRだけでは割り出せない高度な攻撃シナリオを高精度かつ迅速に可視化できる手段を提供しています。さらには、モバイルデバイス上の脅威を高い精度で検知できる「Cybereason MTD(Mobile Threat Defense)」という製品も提供しており、これをCybereason XDRと組み合わせることでさらに広範な脅威に対応できるようになります。
MITRE ATT&CKで既に高い評価を得ているNGAVとEDR製品に加え、ぜひこれらの製品の導入を検討してみることをお勧めします。
【開催レポート】Cybereason XDR 導入事例共有セミナー 〜導入企業に学ぶ、Cybereason XDRによる最新のサイバーセキュリティとは〜
2023年10月に開催されたセミナー「Cybereason XDR 導入事例共有セミナー」のセッション内容をまとめました。
Cybereason XDRの製品概要とその有効性を解説するとともに、株式会社オープンハウスグループ様の製品導入の目的や運用方法など導入事例についてご紹介します。
製品の導入検討にご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/11560/
