2023年のMITRE ATT&CK®評価

MITRE Engenuity社が実施したATT&CK®評価の第5ラウンドの結果が発表されました。この評価では、各ベンダーが提供する31種類のセキュリティソリューションが、脅威グループTurlaによる攻撃を模倣したシナリオにおいて、いかに同攻撃に対処できるかがテストされました。

この記事ではサイバーリーズンはMITRE Engenuity社が実施したATT&CK®評価の第5ラウンドの結果を一切偽ることなく「ありのまま」にご紹介します。

今年、Cybereason Defense Platform(以下、「Cybereason」)は、ほぼすべての評価項目で満点を獲得し、新たな基準を打ち立てました。

  • 100%の実行防止:Cybereasonは、13種類の攻撃の手順すべてを検知して阻止しました。
  • 100%の検知:Cybereasonは、脅威グループTurlaが一般的に実行する19種類の攻撃ステップをすべて検知しました。
  • 100%の可視性:Cybereasonは、WindowsとLinuxの両方で、143種類もの攻撃の振る舞いをすべて可視化しました。
  • 97%のテクニックカバレッジ:Cybereasonによる検知はほぼすべて、主要なMITRE ATT&CKのフレームワークに対応付けることができました。
  • 100%のリアルタイム検知 :Cybereasonは、遅延することなくなしの検知を実現しましたす。
  • 100%チューニングなしで検知可能:Cybereasonは、設定を変更することなく、攻撃を検知しました。

100%の実行防止:ハッキングが行われる前に攻撃を阻止

Cybereasonは、2023年のEnterprise Evaluationで完全な防御カバレッジを達成しました。

攻撃者への有効な対抗策を提供できないセキュリティソリューションは、最終的に、セキュリティチームにとっての混乱の連鎖反応を引き起こします。防御テストでは、攻撃者が攻撃を開始する前に、当該ソリューションが攻撃を阻止できるかどうかを判定します。もし阻止できるならば、セキュリティチームは大量のアラートに悩まされることがなくなるため、よりスムーズに活動できるようになります。

サイバーリーズンは、9つの独立した防御レイヤーを組み合わせることにより、比類のない攻撃防止機能を提供する業界唯一のセキュリティベンダーです。これらの防御機能は、セキュリティ専門家が攻撃者の一歩先を行くために必要となるツールを提供するように設計されています。

100%の検知:攻撃者による痕跡の隠蔽を許さない

Cybereasonは、実行された攻撃ステップの100%を明らかにし、97%の手法を検知しました。

攻撃者が雑音の中に隠れるのを防ぐには、攻撃者の行動を即座に発見できるようなセキュリティツールが必要となります。ここで、検知テストの登場となります。検知テストを行うことで、セキュリティソリューションが攻撃者のあらゆる動きを発見するのに十分な鋭敏さを持っているかどうかを確認できます。「手法の検知」は、すべての検知の最高峰となるものです。なぜなら、手法の検知とは、攻撃者が特定のゴールを目指している際に取る正確なアクションを明らかにするものだからです。

Cybereasonは、攻撃後の証拠や成果物(侵害の痕跡、IOC)だけに頼るのではなく、微妙な振る舞いの痕跡(IOB)を発見することで、企業や組織が可能な限り早期の検知を行えるようにします。Cybereasonの検知機能を使うと、セキュリティチームは、攻撃中のごくわずかなヒントや手がかりさえも確実に捉えられるようになります。

100%の可視性:攻撃のすべてのステップを明らかにする

Cybereasonは、WindowsとLinuxの両環境で、143種類もの攻撃の振る舞いをすべて可視化しました。

特にTurlaのような脅威グループを相手にする場合、可視性が重要となります。防御者にとって、巧妙な攻撃を発見して阻止することは本当に難しいことです。これが、攻撃の全体像を把握するためのソリューションの能力を評価することが極めて重要となる理由です。このような能力は、どこから攻撃が始まったのか、何が影響を受けたのか、攻撃のタイムラインは全体としてどうなっているのかを明らかにできるものでなければなりません。

Cybereasonはオペレーション中心のアプローチを採用しているため、企業や組織はCybereasonを使うことで、攻撃がどこから始まり、それがどのデバイスにまで到達したかに至るまで、攻撃全体を把握できるようになります。このユニークな機能により、防御者は終わりのないアラートを追いかけるのではなく、悪意ある操作を即座に阻止することが可能となります。Cybereasonは、攻撃シーケンスにおける多段階の視覚的内訳を使用することで、攻撃に関する包括的な可視性を提供します。これには、攻撃がどこで始まり誰が影響を受けたかを示す、必要なすべてのコンテキストが含まれています。

100%のリアルタイム検知:1秒1秒が重要

Cybereasonは攻撃を即座に発見して阻止することで、遅延することなく攻撃の検知を実現しました。

「遅延ありの検知」とは、即座には検知されず、特定と捕捉に追加の時間やコンテキストを必要とするような検知のことです。洗練された脅威に対する防御において、最も重要な要素は時間です。これが、リアルタイムでない検知が重宝されない理由です。

Cybereasonは、お客様が持つすべてのデータを活用することで、攻撃の全容を把握できるようなリアルタイム検知を提供します。他のソリューションでは、攻撃中にデータが氾濫するため、その結果としてデータフィルタリングが使用される可能性があります。一方、CybereasonのMalOp Detection Engineは、リアルタイムですべての点と点を結び付けることで、進行中のイベントに関する包括的なビューを提供できます。


▲MITRE Enterprise Evaluation 2023において、Cybereasonは難読化ファイルをリアルタイムに検知

100%チューニングなしで検知可能: 「すぐに使える」ようにすることで有効性と効率性を向上

2023年のEnterprise Evaluationにおいて、Cybereasonは設定の変更をまったく必要としませんでした。

あるベンダーのセキュリティソリューションが評価テストにおける最初の試行で攻撃を逃した場合、その攻撃を阻止するためには、当該ベンダーは、同ソリューションの設定を調整する必要があります。しかし、現実の世界ではやり直すことはできません。これが、「設定要らずで、すぐに使える(out-of-the-box)」機能が非常に重要となる理由です。このような機能があれば、チームはセキュリティシステムを調整することに時間を費やすのではなく、重要な対応措置にエネルギーを注ぐことができます。これが、「設定変更を必要とする検知」が重宝されない理由です。

サイバーリーズンは、幅広い顧客とパートナーから得たインテリジェンスに基づいて、継続的に検知のアップデートと微調整を行っています。また、サイバーリーズンは、業界をリードするリサーチチームを活用することで、世界中の最も複雑な脅威の発見を支援しています。これは、当社のお客様が将来にわたって、最先端のサイバー攻撃さえも阻止するような、リアルタイムの防御および検知機能を直ちに導入して利用できることを保証するためです。

オペレーション中心のアプローチとは〜振る舞いの痕跡(IOB)を活用して早期検知と予測的対応を実現する〜

今日のセキュリティモデルでは、関連性のないアラートが無限に生成されます。その大半は誤検知であるか、より大きな攻撃シーケンスの一部に過ぎません。

このホワイトペーパーでは、早期検知のためのIOC(Indicators of Compromise)の価値の低下、IOCを表現するための拡張可能な共通言語の確立によるIOCの定義と運用、SolarWindsの攻撃に基づくIOB(Indicators of Behavior)の活用に関するケーススタディなどについて深く掘り下げて解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/9109/