- 2020/05/26
- EDR
MITRE ATT&CK 製品評価ROUND 2 “APT29”について
Post by : RESHA CHHEDA
MITREのAdversarial Tactics, Techniques, and Common Knowledge (MITRE ATT&CK)は、セキュリティベンダーの能力を評価するために使用できるオープンで透過的な手段です。
これは、攻撃者が攻撃の過程で使用する可能性のある200種類以上の手法を集めたナレッジベースおよび複合的なフレームワークです。
この中には、具体的な手法や一般的な手法に加え、よく知られた攻撃者グループとその戦術に関するコンセプトや背景情報が含まれています。
2015年の設立以来、ATT&CKはサイバーセキュリティで最も高く評価され、最も参照されるリソースの1つになっています。この記事では、最新のMITRE ATT&CK評価について知っておくべきことを説明します。
MITRE ATT&CK評価はなぜ重要なのか?
MITRE ATT&CKがサイバーセキュリティ業界にもたらした最も貴重なものの1つが、攻撃者の攻撃手口(TTP:戦術、テクニック、手順)について議論し、分析するための共通言語とフレームワークです。
ATT&CKフレームワークは、企業が攻撃者の行動をよりよく理解できるようにして、際限なく現れるマルウェアの分析を不要にします。
MITRE ATT&CKのもう1つの魅力的なコンポーネントは、ATT&CKベースの製品評価です。製品評価ではATT&CKフレームワークを使用して、セキュリティベンダーが脅威を検知する方法についての洞察を提供します。
昨年、MITRE ATT&CKチームはいくつかのセキュリティベンダーを評価して、スコア、ランキング、または比較なしで、具体的なAPT (APT3)に関して攻撃者が使用した手法をいかに効率よく特定したかをレポートしました。
防御チームは、戦術的、戦略的、運用的のいずれであっても、防御および検知ルールの作成や、企業を保護するためのアーキテクチャおよびポリシー決定のガイドに使用するなど、実用的な方法でこの情報を活用することができます。
ATT&CKフレームワークの戦術と手法とはどのようなものか?
- ATT&CKフレームワークは11の戦術で構成されています。これらは、ATT&CKの方程式で「why(目的)」のパートにあたります。どのような目的で、この特定の手法を攻撃者に使うのか?
- ATT&CKフレームワークは、200種類以上の手法で構成されています。これらは、ATT&CKの「how(方法)」のパートにあたります。攻撃者はどのようにして特権を昇格させるのか?攻撃者はどのようにしてデータを流出させるのか?
MITRE ATT&CK ROUND 2 (APT29)の評価は前のラウンドとどう違うのか?
MITRE ATT&CK評価のRound 1は、APT3(Gothic Panda)に基づいていましたが、MITRE ATT&CK Round 2は、ロシア政府の関与が推測されているハッカーグループAPT29(Cozy Bear)に関連するTTPに注目しています。
このグループは、国防総省、他の西側政府、および世界中の組織や機関に対するサイバー攻撃に関与していましたが、2016年の米国大統領選挙に向けて、民主党全国委員会にハッキングしたことで悪名を高めました。
「APT3は、合法的なプロセス内に悪意のあるアクティビティを隠すインストール済みのツールを利用した、ノイズが多いプロセスレベルの手法を重視していました。一方、APT29は、カスタムマルウェアと代替実行法により、より高度な手法の実装を使用する攻撃者に対して、評価する機会を提供します。」
MITRE ATT&CK評価の主任技術者Frank Duff氏
APT29は、ステルス型で、カスタムマルウェアという武器を使用した高度な手法の実装に特徴があります。
彼らの戦術は、侵入に使用される搾取の対象と方法によって大きく異なり、少数の低速なターゲットに対する手法から、極限のスマッシュ・アンド・グラブまで、多義に渡ります。
通常、PowerShellを多用し、カスタムマルウェア、環境寄生型のバイナリおよびスクリプトを利用します。評価では、公表されたAPT29/Cozy Bear/The Dukesのトレードクラフトと作戦フローを模倣した2つのシナリオに焦点を合わせています。
この評価は2日間に渡り、10種類のATT&CK戦術に対して58種類のEnterprise Windows ATT&CK手法がテストされます。
APT29評価:手法の範囲 提供:MITRE ATT&CK
今回のラウンドの検知タイプと修飾子は前のラウンドとどう変わったのか?
昨年と同様に、すべてのセキュリティベンダーは6つの検知タイプのサブセットを使用して評価されます。
ベンダーが攻撃者の行動を検知すると、MITRE ATT&CKチームは、そのベンダーが収集できた関連情報の量に基づいて検知を記録します。
ベンダー製品が複数の方法で手法を検知した場合、手法が複数回検知されたと記録されます。このラウンドの主な変更点は次のとおりです。
■検知
- 戦術と手法:このラウンドには、新しいタイプの検知が組み込まれ、より厳密にベンダーの成功をマッピングし、ATT&CKフレームワークに関連付けられるようになりました。戦術検知は、攻撃者の隠れた意図に対処し、一方で、手法検知は、攻撃者の行動の実行方法に対処します。
- MSSP: MSSPは、新しい検知タイプで、ベンダーが攻撃の関連データを検出または収集するために、製品に加えてアナリストを使用したかどうかを示します。
■修飾子
- Alert(アラート):Alert修飾子は、検知のコンテキストを情報の提示方法から切り離します。
- Innovative(革新的):この修飾子は、正確で安定した検知方法を強調します。当初、MITRE ATT&CKチームは、この修飾子を追加しましたが、最終評価には組み入れないことを選択しました。
- Correlated(相関性):Correlated修飾子は、これまでRound 1評価で「Tainted」と呼ばれていましたが、名前が変更されました。
(Round 2検知カテゴリー)提供:MITRE ATT&CK
MITRE ATT&CKは防御者をどのように支援できるのか?
攻撃者は、従来のセキュリティツールによる検知を回避する方法を絶えず模索しているため、防御者は防御への取り組み方を変える必要性を感じています。
MITRE ATT&CKは、IPアドレスやドメイン名などの低レベルのインジケータから行動へと、検知方法の認識をシフトしています。
MITRE ATT&CKチームは、実際の脅威が絶えず進化しているため、既存の評価方法で、ベンダーがどのように守ってくれるのかを購入者にはっきりと理解させることはできないと認識しています。
購入者に全体像を見せるために、MITRE ATT&CKはイベントだけでなく、スタンドアロンのIoCもマッピングしています。
単独では、これらのイベントが無害に見えることもあります。しかし、他のイベントと関連付けると、IOCだけでなく、高度標的型攻撃(APT攻撃)を識別するために必要なコンテキストをセキュリティアナリストに提供します。
まとめ
防御機能に注目する傾向のある他のサードパーティー評価に対して、MITRE ATT&CKは、実際の攻撃に基づいて検知の数とタイプを測定します。
結局、見えないものへの防御や対応は不可能です。可視性は、ATT&CK評価の重要な基準です。
しかし、ATT&CKのカバレッジに100%対応することを目指せる、または目指すべきベンダーはないことを忘れないでください。
評価の中には、特定の企業のニーズには無関係な部分もあるかもしれません。
ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」
このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/