攻撃者エミュレーションプラン（AEP）は、MITRE ATT&CKの特別なTTPセットに基づいて悪意のある振る舞いをモデル化する方法です。例えば、MITREは、APT3がシステムを侵害し、機密情報を盗み出す方法を正確に示すためにAPT3のAEPを作成しました。セキュリティチームはAEPを使用して、特定の敵に基づいて攻撃シミュレーションを作成し防御をテストします。

AEPは、強力な防御をテストし構築する際には特に重要ですが、日々のセキュリティオペレーションの「塹壕戦」に精通しているセキュリティの専門家はTTPを見過ごしがちです。TTPはそれだけでも有用ですが、AEPと組み合わせることで遙かに効果的になります。

事実、弊社のチームはビジネスに合わせた効果的な運用セキュリティ対策を構築するときに、AEPが最も重要な機能であると認識しています。

TTPは変わる可能性がありますが、TTPをその効果の測定が可能な実際の攻撃シミュレーションに統合する一般的なプロセスは秀逸です。

AEPは、特定の実際の改善点に関して、特定の実際の攻撃者に基づいた測定可能な攻撃シミュレーションにTTPを組み込みます。

現実世界でのAEPの使用：攻撃シミュレーション

レッドチームはAEPを使用して攻撃シミュレーションを開発し、それをエンタープライズセキュリティインフラストラクチャに対して実行することができます。このシミュレーションでは実際の攻撃を利用するので、実際の攻撃者に襲われる前に防御の隙間を特定し、調整することができます。さらに、セキュリティチームの負荷の軽減や環境の可視化の向上にも役立ちます。

最大の成果を挙げるには、このプロセスを月次または年次の活動にして、長期にわたり常に防御の強化および調整を行います。

AEPの構築

AEPは複数のセクションで構成されています。その中には、プランの概要、攻撃者グループの概要、エミュレーションフェーズの詳細なリスト、およびソースのバイオグラフィなどが含まれます。

完全なAEPのコンポーネント（MITRE ATT&CKによるAPT3のサンプルAEP）

AEP作成のガイドおよびサンプルAEPは、MITRE ATT&CKから入手できます。このサンプルAEPは、最初の攻撃者エミュレーションを始めるチームにとって、うってつけのテンプレートです。

APTの概要

APTの概要では、攻撃者グループと使用される既知のツールについて、詳細に説明しています。このセクションは、この後のエミュレーションフェーズで、レッドチームが攻撃者グループをエミュレートする方法を要約する際に参考になります。

攻撃者エミュレーションプランを構築するときは、同じ組織または業界をターゲットにしている既知の攻撃者グループから始めるのがベストです。

攻撃者エミュレーションの各フェーズの構築

詳細なAEPの最も重要なコンポーネントの1つが、「エミュレーションフェーズ」セクションです。「エミュレーションフェーズ」セクションは、攻撃者グループの戦術の具体的で詳細な分析結果です。

エミュレーションフェーズを構築するために、レッドチームは攻撃者グループが攻撃に使用する戦術と各戦術に関連する特定の技術と手順を特定する必要があります。この情報の多くは、MITRE ATT&CKで入手できます。

AEPのエミュレーションフェーズを詳述するために、レッドチームは特定のTTPをエミュレートするために使用するツールに留意する必要があります。

この情報は、攻撃者グループに関するMITRE ATT&CKの説明の一部として提供されます。より詳細な情報は、悪用される脆弱性または攻撃方法をGoogleで検索するだけで見つかります。このフェーズはレッドチームがより詳細にできれば、より良くなります。

AEPに検出ステップも含まれていれば理想的です。各エミュレーションフェーズは個別に構築し、AEPで一緒にコンパイルする必要があります。

完成した詳細なAEPは、新しいL1アナリストが特定の攻撃と使用するセキュリティツールについて理解するために使用できる優れたリソースになります。この優れた例がサイバーリーズンのNocturnusで、定期的に詳細なリサーチをリリースして、レッドチームやコミュニティ内の人が、最も一般的な攻撃者グループの正確なプロセスを理解できるようにします。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/