MITRE ATT&CKとは？

実際の攻撃における攻撃者の行動に目を向けて、その振る舞いを理解するのが、脅威に対処するための最適な方法の1つです。MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）(マイター・アタック)は、そのような攻撃者の行動を理解するためのフレームワークです。

今年の評価において、MITRE Engenuity社は、各ベンダーが、脅威グループ「Turla」による高度な攻撃手法から、いかに保護することができるかを評価しました。Cybereasonは、同評価における規定項目のほぼすべてで満点を獲得し、新たな基準を打ち立てました。

サイバーリーズンのCybereason Defense Platform（以下、「Cybereason」）は、MITRE Engenuity社が実施した2023年のATT&CK®評価の第5ラウンドにおいて、100%の保護、100%の検知、および100%の可視性を、設定変更なし、かつリアルタイムで実現することが示されました。これは、同プラットフォームが、サイバー攻撃を阻止するための可視性、スピード、そして精度を提供できることを証明するものです。

• 100%の実行防止：Cybereasonは、13種類の攻撃の手順すべてを検知して阻止しました。
• 100%の検知：Cybereasonは、脅威グループ「Turla」が一般的に実行する19種類の攻撃ステップをすべて検知しました。
• 100%の可視性：Cybereasonは、WindowsとLinuxの両方で、143種類もの攻撃の振る舞いをすべて可視化しました。
• 97%のテクニックカバレッジ：Cybereasonによる検知はほぼすべて、主要なMITRE ATT&CKのフレームワークに対応付けることができました。
• 100%のリアルタイム検知：Cybereasonは、遅延することなく攻撃を検知しました。
• 100%チューニングなしで検知：Cybereasonは、設定を変更することなく、攻撃を検知しました。

第5ラウンドの評価については、ブログ記事「サイバーリーズンが2023年のMITRE ATT&CK®評価でサイバー攻撃対策の新たなスタンダードに」で詳しく紹介していますので、ぜひご一読ください。

MITREの知名度が高い理由

MITREは、連邦政府や州政府、地方自治体で業務に当たることで知られている非営利団体です。MITREの業務では、人工知能や健康情報学、脅威の共有、サイバーレジリエンスなどの幅広い領域をカバーしています。MITRE ATT&CKフレームワークの制定に加え、MITREでは、テクニックの共有を促進し、サイバーセキュリティの年次カンファレンスの開催を担うコミュニティも形成しています。

MITREとその有用性

MITRE ATT&CKは四半期ごとに新たな攻撃や戦術、テクニックが更新されるので、内容は絶えず進化しています。攻撃を分類し、脅威に対処するセキュリティアナリストを支援するために、攻撃のさまざまな段階や、攻撃の標的となりえる要素が含まれています。

攻撃を実行する側と受ける側の行動を再現する目的で、MITRE ATT&CKは2013年に考案されました。このフレームワークによって脅威を検知する能力を強化できるようになり、攻撃の戦術やテクニックの分類が容易になりました。そして現在では、MITRE ATT&CKは、セキュリティを強化するための基盤として役割を果たすようになっています。

MITRE ATT&CKフレームワーク

MITRE ATT&CKフレームワークは四半期ごとに更新され、以下のようなセキュリティベンダーから提供される新しい情報が盛り込まれます。

• 攻撃時における攻撃者の戦術上の目的
• 戦術上の目的を達成するために攻撃者が用いるテクニック
• テクニックの利用状況をはじめとするメタデータのドキュメント

このフレームワークには、TTP（Tactics（戦術）、Techniques（技術）、Procedures（手順））についての詳細な説明が記載されています。これらの内容は、攻撃者が標的にするシステムの種類に応じて異なります。企業のシステムを攻撃する際に使用されるTTPは、モバイルデバイスを攻撃するときに使われるTTPとは異なります。これらの環境を区別するために、MITREでは3つのマトリクスを使用します。

• エンタープライズマトリクス：Windows、macOS、Linuxなどのエンタープライズオペレーティングシステムのプラットフォームに対応しています。
• モバイルマトリクス：AndroidやiOSで動作するあらゆるモバイルデバイスをカバーしています。
• ICSマトリクス：産業用制御システムに対応しています。

3つのマトリクスに共通して存在する戦術もありますが、いくつかの特定のテクニックやサブテクニックは多くの場合、環境に応じて変わります。

MITREの手法

MITRE ATT&CKのマトリクスには、攻撃者が目的を達成するために使用する一連のテクニックが含まれます。これらの目的は戦術ごとに分類され、攻撃のライフサイクル全体にわたって提示されます。エンタープライズマトリクスには以下の戦術が含まれます。

• 偵察：攻撃を計画するために標的の情報を集める
• 初期アクセス：スピアフィッシングなどのテクニックで標的へのアクセスを試みる
• 実行：標的へのアクセスが完了した時点で不正なコードを実行
• 権限昇格：脆弱性を悪用してより高いレベルの権限を取得
• 防御回避：検知、防御を回避
• ラテラルムーブメント(水平横展開)：さらにアクセス権限を取得しようとしてシステム内を移動。多くの場合、正規の資格情報を使用
• 収集：攻撃目標に関係するデータを収集
• 持ち出し：さらなる攻撃のためにデータを窃取

個々の戦術には、目的を達成するための手順を説明したテクニックの集合が記載されています。このため、アナリストは、攻撃者の意図を詳しく理解できます。また、攻撃者が初期のアクセスに成功している場合には、セキュリティ対策や検知で改善すべきポイントがわかります。

MITREでのセキュリティベンダーの評価

MITREでは客観的な観点から定期的にサイバーセキュリティソリューションの機能を評価しています。この活動は、公益のためのイノベーションの推進と、業界で提供される脅威検知機能の強化をそのミッションにしています。

この評価において、MITREの攻撃フレームワークでは、いくつかの攻撃者グループの行動を再現し、すでにテストされたことのあるテクニックとまだテストされていないテクニックの両方に対する個々のソリューションの反応を確かめます。

製品やソリューションのセキュリティ性能を透明かつ客観的に評価し、セキュリティコミュニティに信頼性の高い情報を提供するための重要な取り組みです。セキュリティベンダーにとっても、自社の製品を向上させるための重要なフィードバックとなります。

サイバーリーズンの製品について

サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」「亜種実行防止」「予測型ランサムウェア対策」「ファイル復元」という9層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。「Cybereason EDR」がベースにエンドポイント以外の脅威も同様に極めて高い精度で検知できる「Cybereason XDR」も提供しています。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR（Managed Detection and Response）」と呼ばれる監視代行のマネージドサービスも提供しています。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/