MITRE ATT&CKについて、簡潔にまとめてみた
サイバーセキュリティは、攻撃者目線で対策を検討・実施することが非常に重要です。攻撃者目線でセキュリティを検討する際に、良く使用されるMITRE ATT&CKについて、簡潔にまとめてみました。
サマリー
・MITRE ATT&CKは、サイバーキルチェーンと同様に攻撃者の振る舞いを理解するフレームワークです。
・ハッシュ値やIPアドレスといった変更しやすい痕跡ではなく、攻撃者が変更しにくい振る舞い(TTP)を理解することにつながり、有効なセキュリティ対策が可能となります。
・攻撃のシナリオ作成や、自社のセキュリティ対策の評価など様々な用途に使用可能です。
MITRE ATT&CKとは
MITRE ATT&CK(以下、ATT&CK)は、非営利組織のMITRE社が公表している攻撃者の戦術や使用する技術をまとめたナレッジベースのことです。セキュリティチームは、このフレームワークを活用することで、攻撃者がどのような戦術で、どのような技術を使用して攻撃してくるのか理解できます。いわゆる攻撃者のTTP(Tactics, Techniques, Procedure)の理解につながります。下記の図は、MITREが提供している戦術(Tactics)と、それに使われる技術(Techniques)をマトリクスで表したものです。横軸が戦術、縦軸が技術を表しています。
サイバーキルチェーンとの差異
攻撃者の振る舞いを理解するフレームワークとして、サイバーキルチェーンが有名です。サイバーキルチェーンは、「偵察」「武器化」「配送」の前段階を含めた一連の振る舞いをモデル化しています。一方、ATT&CKは攻撃者がターゲットのシステムに侵入した後の振る舞いをモデル化しています。
なぜ、注目されているのか
ATT&CKは攻撃者のTTPを理解するのに役立ちます。つまり、攻撃者が何を狙い、どのような戦術で、どのような技術を使うのか、理解するということです。TTPを理解すると、どのようなメリットが得られるのでしょうか。それには、下記に示す「痛みのピラミッド」という概念が役に立ちます。これは、攻撃者にとって対策されても痛みの小さいものから大きいものに並べたものです。例えば、攻撃者が使用しているIPアドレスをブロックしても、IPアドレス等を変えることは非常に簡単であるため、攻撃者にとって、対策されてもあまり痛みはありません。一方、攻撃者は使用する戦術を簡単には変更できません。変更するには、それだけの労力が必要となるからです。つまり、TTPを理解することは、攻撃に係る労力(ワークフォース)を高めることにつながり、結果として、効果的なセキュリティ対策につながります。
MITRE ATT&CKの利用方法
MITRE社は、以下のようにATT&CKを使用することを推奨しています。
- 攻撃の事前検証
・攻撃者の攻撃を想定するシナリオの作成ツールとして使用する。 - レッドチーム演習
・レッドチームプランを作成し、ネットワーク内に配置される特定の防御手段を回避するための運用を整理する。 - 行動分析の開発
・環境内の攻撃行動を検知する行動分析を行い、未知の手法を見つけ対応する手法の開発のためのテストツールとして使用する。 - 防御のギャップ評価
・攻撃者の戦術・技術のユースケースとして活用し評価に使用することで、既存のセキュリティ対策と現実の攻撃手法とのギャップを明らかにする。 - SOC(Security Operations Center)の成熟度評価
・SOCが攻撃の検知及び攻撃が成立した後の攻撃者侵入検知、分析、対応する事がどの範囲まで可能であるのかを測定するための測定値として使用する。 - サイバー脅威インテリジェンス(CTI)の強化
・攻撃者グループについての理解を深めるツールとして使用する。CTIに関するレポートは様々なベンダーが出しており、これらを補完する目的で使用する。
まとめ
MITRE ATT&CKはサイバーキルチェーンと同様に、攻撃者の振る舞いの理解に役立つフレームワークです。これを使うことで、より実践的なセキュリティ対策が可能となります。より詳しい議論は、参考文献をご覧ください。
参考文献
・今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説
・MITRE ATT&CKフレームワークとは? | Splunk