>
Threat Intelligence 101

MITRE ATT&CKフレームワーク

投稿: 2024年3月4日
作成者 : エステバン・ボルヘス
MITRE ATT&CKフレームワーク

MITRE ATT&CKフレームワークとは具体的にどのようなもので、サイバー脅威との闘いにどのように役立つのでしょうか? Mitre Attack Frameworkは、デジタル時代のレジリエンスに不可欠な脅威をカタログ化し、防御戦略を導きます。 この記事では、そのコンポーネント、使用法、および利点を解き明かし、サイバー防御を強化しようとしている専門家に明確さを提供します。

Key Takeaways

  • MITRE ATT&CKは、サイバーセキュリティに関する包括的なナレッジベースであり、脅威の検出と組織防御を改善するための敵対者の戦術、技術、手順(TTP)を詳述しています。
  • このフレームワークは、サイバー攻撃者の行動を14の戦術と多数の手法とサブテクニックのマトリックス構造に分類し、サイバー攻撃に関する詳細な洞察を提供し、 進化する脅威の状況を反映して定期的に更新します。
  • MITRE ATT&CKフレームワークの採用は、統合、自動化、および専門的なトレーニングの必要性における課題にもかかわらず、脅威ハンティング、レッドチームとブルーチームの演習、セキュリティギャップの特定を支援し、サイバーセキュリティの専門家に共通言語を提供します。

MITRE ATT&CKフレームワークとは

MITRE ATT&CKフレームワークは、キュレーションされたナレッジベースです。攻撃のライフサイクル全体を通じて、サイバー攻撃者が使用する戦術と手法を綿密に追跡します。 非営利のセキュリティ研究機関である MITREによって開発されたATT&CKフレームワークは、サイバー攻撃中に使用される既知の敵対者の戦術と手法の包括的なリストを提供することを目的としています。

このフレームワークの独自のマトリックスは、一連の手法を戦術に分類し、攻撃の目的とそれを達成するために使用される方法を区別します。 ATT&CKは、Adversarial Tactics, Techniques, and Common Knowledgeの略で、実世界での観察とドキュメントベースのアプローチの証です。

CISAの「Best Practices for MITRE ATT&CK Mapping」ドキュメント の言葉 を借りれば、「_MITRE ATT&CK®は、現実世界のobservations_から派生した敵対者の戦術と技術に関する、グローバルにアクセス可能なナレッジベースです」。 このフレーズは、MITRE ATT&CKがサイバーセキュリティにおける極めて重要なリソースであることを強調し、実際のサイバー脅威との遭遇に基づいて実用的な洞察を提供します。

起源と進化

2013年のフォートミード実験にさかのぼるATT&CKフレームワークは、侵害後の脅威検出を強化するためのMITREの取り組みから 生まれ ました。 これは、テレメトリと行動分析を重要なツールとして使用して、敵対者と防御者の行動を掘り下げることによって達成されました。

2013年にMITRE社内で開始されたATT&CKフレームワークは、その後2015年に一般公開され、 サイバー犯罪者が使用する戦術、手法、手順に関する詳細な洞察を提供することで、サイバーセキュリティの分野に新たな次元をもたらしました。

フレームワークのコンポーネント

MITRE ATT&CK フレームワークは、 戦術、技術、手順 (TTP) の 3 つの主要コンポーネントで構成されています

  • 戦術とは 、敵対者が達成しようとする目的、つまり攻撃の「理由」を表します。
  • 一方、テクニックは、敵対者が目的を達成するために戦術内で使用する特定の方法です。 これらの手法は、さらに、敵対者が特定の手法を実行するために使用する正確なステップバイステップの手法を記述する手順に分解できます。 このフレームワークは現在 、201 の手法と 424 のサブ手法の識別を提供します。

MITRE ATTACK フレームワーク コンポーネント

出典: https://attack.mitre.org/

MITRE ATT&CKフレームワークにおける戦術の役割

MITRE ATT&CKフレームワーク内では、戦術は、攻撃全体を通じて敵対者の技術的な目標または目的を表す役割を果たします。 このフレームワークは、エンタープライズ ATT&CK マトリクスで 14 の戦術を特定し、それぞれが敵対者の攻撃戦略の固有の側面を表しています。

これらの戦術は、敵対者がネットワークに侵入しようとする初期アクセスから、攻撃者がシステムやデータを操作、中断、または破壊しようとするインパクトまで多岐にわたります。 各戦術は、敵対者の目的と方法に関する独自の洞察を提供し、組織のセキュリティ体制を強化するための重要な知識を提供します。

テクニックとサブテクニック:敵対的手法の理解

戦術を補完するものとして、MITRE ATT&CKフレームワークには、テクニックとサブテクニックの広範なリストが用意されています。 テクニックは、敵対者が戦術的な目的を達成しようとする具体的な方法を表します。 サブテクニックは、これらのテクニックをより具体的なアクションにさらに分析し、敵対的な行動のさらに詳細なビューを提供します。

最新の更新の時点で、エンタープライズ マトリックスには 188 の手法と 379 のサブ手法が特定されており、フレームワークの包括的な性質と敵対的手法の複雑さを反映しています。

テクニックの例

フレームワークの深さを説明するために、いくつかの手法の例を考えてみましょう。 資格情報アクセスなどの手法には、ブルート フォースや OS 資格情報ダンプなどの方法が含まれます。 初期アクセス技術には、フィッシングや公開アプリケーションの悪用など、ネットワークやシステムに侵入するための方法が含まれます。 さらに、特権エスカレーションは、フレームワーク内で検討できる別の手法です。

「ドライブバイ侵害」手法は、初期アクセス手法の一例であり、攻撃者がWebサイトを設定または侵害して訪問者のWebブラウザを悪用し、システムアクセスを取得します。 これらの例は、侵害されたシステムを標的にするなど、攻撃者がネットワークに侵入し、目的を達成するために採用するさまざまな方法を浮き彫りにしています。

サブテクニックの例

サブテクニックは、敵対的な行動をより詳細に表現します。 たとえば、資格情報アクセスに分類されるブルートフォース手法は、次のようなサブ手法に細分化されます。

  • パスワードの推測
  • パスワードクラッキング
  • パスワードスプレー
  • クレデンシャルスタッフィング

これらのサブテクニックは、敵対者の行動で採用されている多様なブルートフォース手法を示しており、多くの場合、防御回避戦術が組み込まれています。

別の例は、フィッシングのスピアフィッシング添付ファイルのサブテクニックです。 この手法には、WordやExcelドキュメントなどの悪意のある添付ファイルを含む標的型メールが含まれ、Sandworm Team、APT28、APT29などの脅威グループによって展開されます。

手順: 敵対者のステップのマッピング

MITRE ATT&CK フレームワークのスコープ内では、手順は、攻撃者が手法またはサブ手法のために利用する特定の実装を意味します。 これは、動作に基づいて分類されるサブテクニックとは異なります。 これらの特定の手順を特定することは、敵対者によって使用されるさまざまな手法またはサブ手法の実際の適用を示すため、不可欠です。

手順はマトリックスに直接記載されていませんが、テクニックページの「手順例」セクションに分類されています。 これらは、MITRE ATT&CKマトリックス内の特定の手法またはサブ手法をクリックすることでアクセスできます。 手順の例としては、APT19 のような敵対者がドライブバイ侵害に水飲み場型攻撃を使用したり、PowerShell を使用して lsass.exe に挿入し、LSASS メモリをスクレイピングして資格情報をダンプしたりする攻撃者が含まれます。

MITRE ATT&CKと他のサイバーセキュリティフレームワークとの比較

MITRE ATT&CKフレームワークは、マトリクス構造を独自に強調することで、 サイバーキルチェーンなどの他のサイバーセキュリティフレームワークとは一線を画しています。 この構造は、詳細な戦術と手法を解明し、サイバーキルチェーンで採用されている線形プロセスモデルとはまったく対照的です

さらに、攻撃者、能力、インフラストラクチャ、および被害者の関係に焦点を当てた侵入 分析のダイヤモンド モデルなどのモデルと比較すると、ATT&CK は攻撃者の行動をより詳細に把握できます。

リスク管理アプローチに重点を置いたNISTのサイバーセキュリティフレームワークと比較して、MITRE ATT&CKは、サイバー攻撃の理解と軽減に対応する戦術的および技術的マトリックスを提供します。 このフレームワークは、進化する脅威の状況を正確に反映するために半年ごとに更新され、更新頻度が低く、 新たな脅威に 遅れをとる可能性がある NIST よりも最新のフレームワークを提供します。

MITRE ATT&CKフレームワークの実用化

MITRE ATT&CKフレームワークの実用的なアプリケーションは、単なる理論的な知識にとどまりません。 このフレームワークを使用して、セキュリティチームは脅威ハンティングに従事し、それぞれの業界に共通して関連する手法に基づくルーチンを開発します。 脅威ハンターが主導するこのアプローチは、その分野に関連する攻撃者の行動を追跡するのに役立ちます。 同様に、 レッドチームとブルーチームは 、セキュリティの準備状況を評価し、より優れた保護や改善された戦略が必要な領域を特定するために不可欠な攻撃者の手法をエミュレートするためにフレームワークを利用します。

このフレームワークの主な用途の1つは、現在の防御を攻撃手法の包括的なマトリックスにマッピングすることでセキュリティギャップを特定し、効果的な デジタルリスク保護のための防御リソースの効率的な割り当てを促進することです。

ツールとリソース

MITRE ATT&CK フレームワークの有効性をさらに高めるために、いくつかのツールとリソースが利用可能です。 MixModeプラットフォームは、脅威の可視性を強化するために、検出をMITRE ATT&CKの戦術と手法にマッピングする統合の例を提供します。 さらに、次世代SIEMとXDR(Extended Detection and Response)ソリューションは、MITRE ATT&CKの統合によって強化され、より優れた脅威検出と対応アクションを促進し、実用的な脅威インテリジェンスを管理者に提供します。

重要なツールは、フレームワークで定義されたさまざまな戦術や手法を視覚化して探索するためにセキュリティ専門家によって広く使用されているMITRE ATT&CKナビゲーターです。 このフレームワークは、共通の語彙を提供することで、攻撃方法に関するサイバーセキュリティ専門家間のコミュニケーションを合理化し、サイバー脅威の全体的な理解を深めます。

フレームワークを使用するためのベスト・プラクティス

MITRE ATT&CKフレームワークを効果的に使用するには、ベストプラクティスを採用する必要があります。 ATT&CKマトリクスに関するセキュリティアナリストのトレーニングは、日常業務と サイバー犯罪調査を改善するために非常に重要です。 さらに、このフレームワークは、脅威を認識して報告する従業員の能力を強化するために、セキュリティ意識向上トレーニングに含める必要があります。

脅威の検出と対応の改善 には、一般的で影響の大きい ATT&CK 手法の検出を自動化し、ATT&CK コンテキストをセキュリティ アラート、調査、およびレポートに統合することが含まれます。 さらに、脅威モデルは、変化する脅威の状況に合わせて進化し、セキュリティ情報およびイベント管理(SIEM)システムと継続的に統合する必要があるため、最新の状態に保つことがベストプラクティスです。

MITRE ATT&CKフレームワークを実装する利点と課題

MITRE ATT&CKフレームワークを採用することで、次のような無数のメリットが得られます。

  • 約80の敵対者に関するサイバー脅威インテリジェンスを提供し、その手法と標的とする業界の概要を説明
  • サイバー脅威インテリジェンスの強化による特定の脅威に対する組織の認識と準備の強化
  • フレームワークを定期的に更新し、新しい敵対者、戦術、手法を追加して、新たな脅威に対する関連性と有効性を確保します。

その利点にもかかわらず、フレームワークの実装は産業用制御システムにとって課題となります。 相互運用性の問題は、フレームワークをさまざまなセキュリティ製品と統合しようとするときに発生する可能性があります。 さらに、フレームワークによって強調表示されたセキュリティイベントへの対応を自動化すると、セキュリティチームの作業負荷が過剰になる可能性があります。

最後に、MITRE ATT&CKフレームワークの採用には、リソースへの多額の投資に加えて、十分なトレーニングと深い専門知識が必要であり、一部の組織にとって課題となっています。

Mitre 攻撃フレームワークの利点

ケーススタディ:MITRE ATT&CKの活用事例

MITRE ATT&CKフレームワークが実際に動作しているのを見ると、その有効性の具体的な証拠が得られます。

Recorded FutureとMITRE ATT&CKフレームワークの統合 は、サイバーセキュリティ戦略の大きな飛躍を表しています。 既知の敵対者の行動のカタログに対して脅威インテリジェンスをマッピングすることで、組織は防御メカニズムをより効果的に優先順位付けできます。 このアプローチにより、潜在的な脅威をより深く理解できるだけでなく、サイバー攻撃に先制的に対抗する能力も向上します。

Recorded FutureのリアルタイムインテリジェンスとMITRE ATT&CKの包括的な行動カタログの相乗効果により、進化し続けるサイバー脅威の状況から身を守るために不可欠な、動的でプロアクティブなセキュリティ体制が促進されます。

よくある質問

NIST と MITRE Att&ck の違いは何ですか?

NIST と MITRE ATT&CK の主な違いは、MITRE ATT&CKが敵対者の戦術と手法の詳細な分類法を提供するのに対し、NISTはサイバーセキュリティリスクを管理するための高レベルのガイドラインを提供することです。 また、ターゲット層も両者で異なります。

MITREは何の略ですか?

MITREは何も意味しておらず、特定の意味なしに意図的に刺激的に聞こえるように名付けられました。

Mitre攻撃は脅威モデルですか?

はい、MITRE ATT&CKフレームワークは、脅威アクターが使用する潜在的な攻撃ベクトルと戦術を特定するための脅威モデリングに使用され、セキュリティに関心のある組織にとって重要なツールとなっています。

MITRE Att&ckは何に使用されますか?

MITRE Att&ckは、脅威モデルの開発、セキュリティツールの有効性の評価、検出戦略の開発、セキュリティ投資の優先順位付け、組織間での脅威と防御情報の共有のために組織によって使用されます。 これは、サイバーセキュリティを強化するための包括的なツールです。

MITRE ATT&CKフレームワークのATT&CKは何の略ですか?

MITREのATT&CKフレームワークにおけるATT&CKは、Adversarial Tactics, Techniques, and Common Knowledgeの略で、脅威の振る舞いを分類し、サイバー侵入を検出するために使用されます。

概要

結論として、MITRE ATT&CKフレームワークは、サイバーセキュリティの状況において非常に貴重なツールです。 敵対者の戦術と手法に関する包括的な知識ベースを提供することで、組織がサイバー脅威を効果的に理解し、対抗できるようにします。 課題はあるものの、脅威ハンティング、レッドチームとブルーチームの演習、セキュリティギャップの特定など、実用的なアプリケーションとして活用できるため、堅牢なサイバーセキュリティ戦略の重要な部分となっています。 私たちが直面している脅威を理解することだけではありません。それは、それらから身を守るための積極的な措置を講じることです。

MITRE ATT&CKフレームワークをサイバーセキュリティの武器に統合したいとお考えですか?

デモをご予約いただき、Recorded Futureのソリューションがお客様の防衛戦略をどのように変革できるかをご確認ください。ターゲットを絞ったインテリジェンスとプロアクティブな防御メカニズムが、セキュリティギャップを埋め、脅威への対応を強化する方法を直接体験してください。 一緒にサイバーセキュリティ体制を再定義しましょう。

エステバンボルヘスブログの著者
エステバン・ボルヘス

エステバンは、20年以上の経験を持つ経験豊富なセキュリティ研究者およびITプロフェッショナルであり、システムとネットワークの強化、ブルーチーム運用の主導、サイバーセキュリティ防御を強化するための徹底的な攻撃対象領域分析の実施を専門としています。 また、コンテンツ戦略、テクニカルSEO、コンバージョン率の最適化を専門とする熟練したマーケティングの専門家でもあります。 彼のキャリアには、SecurityTrailsでセキュリティ研究者およびマーケティング責任者としての役割が含まれ、その後、Recorded Futureのチームに加わりました。

関連