MITRE(マイター)社が開発したATT&CK は、攻撃者が利用する可能性のある攻撃手法を集めた包括的なナレッジベースおよび複合的なフレームワークです。 ここでは、防御チームがATT&CKフレームワークを最大限に活用する方法について解説します。また、エフセキュアのMDRサービス F-Secure Counterceptで、MITREをどのように活用しているのかその方法についてもご紹介します。
MITRE社とは?
MITRE社は、米国に本拠地を置く非営利研究機関で、60年以上にわたってエンジニアリングと技術のガイダンスを提供しています。同社は、連邦政府資金によって運営されており、元来は米国政府に対しての活動のみを行っていましたが、現在では「世界の喫緊の問題に対する最先端のソリューション」を広く提供しており、サイバーセキュリティもこの中に含まれています。
MITRE ATT&CKフレームワーク
MITRE ATT&CKは、継続的に更新される既知の国家支援および犯罪グループに関するナレッジベースで、世界中から入手可能です。 ここには、国家が支援する既知のグループによって使用されているTTP(戦術、技術およびプロセス)がカバーされています。 このフレームワークを活用することで、民官問わず、すべての組織がAPT攻撃やAPT攻撃グループの検知を最優先することができます。エフセキュアでは、この情報を脅威ハンティングに活用しています。
防御チームのMITRE ATT&CKフレームワークの活用方法
組織を防御するチームは、戦術的、戦略的、運用的のいずれであっても、防御や検知ルールの策定や企業を守るためのアーキテクチャやポリシー決定のガイドなどの実践的なアプローチの際、この情報を活用することができます。
しかしながら、現在のフレームワークの最大の課題のひとつは、さまざまな攻撃テクニックが膨大な数に及んでいるため、防御チームがどのテクニックに最初に焦点を当てるべきかなのかを判断することが困難な点です。 以下の表は、リスト化されている何百ものテクニックのほんの一部を紹介しています。
図1 – 非常に多くのテクニックがあり、どこから始めればよいのかを知るのは困難
MITRE ATT&CKの価値を最大限に引き出すためには、防御チームが実際の攻撃を検出する可能性を最大限に高めることができる項目に焦点を合わせることが重要です。Counterceptチームは、さまざまな手法で各テクニックを分析することによってこの問題に取り組んでいます。
実際の使用方法
実際のサイバー攻撃では、攻撃者がMITREで定義されている攻撃テクニックの一部のみを繰り返し使用していることが確認されています。 例えば、フレームワークには59種類もの異なる攻撃テクニックが含まれていますが、Counterceptチームが実際に遭遇した攻撃で使われていた攻撃テクニックは7つだけです。 理想的には、セキュリティチームはすべての攻撃テクニックをカバーすべきですが、限られたリソースのことを考えると、最も一般的に使用されている攻撃テクニックを優先して、検知率と全体的な効率を高めることが非常に重要です。 その意味でも、公開されている実際の侵害報告を分析することは、攻撃者が一般的に使用しているテクニックについて詳しく知るための優れた方法のひとつです。
アラートのノイズ
MITREの攻撃テクニックの多くは、現実世界における通常活動とかなり一致しているため誤検知が発生しやすく、警告ベースの監視には適していません。たとえば、Rundll32.exeはWindowsの実行可能アプリケーションで、多くの組織で一般的に使用されているため、信頼性の低い指標ですが、Mshta.exeは使用頻度が低いため信頼性の高い指標となっています。誤検知の少ないイベントに焦点を合わせるとチームの効率が向上します。
収集と分析のしやすさ
各攻撃テクニックは、異なるデータセットのキャプチャと分析に依存しています。 攻撃テクニックによっては、技術的、あるいはパフォーマンス上の制限から、データを収集できない場合があります。テレメトリーがあるかどうかを確認することは、MITREテクニックを含めるか除外するかを判断する簡単な方法です。また、テレメトリーの各セットに関連付けらるストレージと分析のコストも非常に高額になることがあるため注意が必要です。一例を挙げると、プロセスデータは、攻撃者がシステム上で何を実行したかを示すことができるため、最も有用なデータセットのひとつです。一方、ファイアウォールログは、便利ではありますが容量が非常に大きくなる割には得られる価値は限定されます。
ルチェーン全体の量より質
一般的に、MITRE ATT&CKの使用と、MITREテクニックのテストにおいては、個々のTTPの検出の「合格」か「不合格」かに焦点を当てることが多く、実世界の攻撃が複数のフェーズと活動に及んでいるということを忘れがちです。現実的には、防御チームとして多段階のキルチェーンの一部を検出して調査を開始し、関連するすべての活動を発見するだけで十分です。例えば、まったく新しいブラウザエクスプロイトを使用している攻撃者を見逃しても、彼らの攻撃の痕跡を見つけて、チームに警告を出し、さらなる調査を開始することができます。そのため、キルチェーン全体で最も一般的に使用されている忠実度の高い攻撃者の活動を選択し、発生したときにチームが自信を持ってトリアージ(対応の優先順位を判断)を行い、対応できるようにすると検出がより効率的になります。
注力すべきユースケース
これまでに説明したことに基づいて、特に検討することをお勧めする最も価値の高いユースケースは以下のとおりです。
- ユーザのログイン活動(特に管理者)の確認
- 疑わしいプロセスの実行に対するハンティング(Rundll32、Powershell、Mshta、Regsvr32)
- 異常を検知するための永続データ(サービス、レジストリ、スケジュールされたタスク)の集計
- プロセスインジェクションなどのメモリ異常
- ウイルス対策や機械学習などのソフトウェアを通じて報告された既知の有害ソフトウェア
以上を踏まえると、当然次に浮かぶ質問は、チームがこれらのMITRE ATT&CKテクニックをハンティングするためには、どのようなツールが必要かということになるでしょう。これについては、次回のMITRE ATT&CKの評価についての記事で解説します。
参照
https://attack.mitre.org/
カテゴリ