CarbanakとFIN7:可視性が優れた検知・対応技術の違いを生む
MITRE ATT&CK™ 評価 2020
MITRE ATT&CK®ナレッジベースを駆使した今年のMITRE Engenuityによる評価テストでは、巧妙化したマルウェアとテクニックを使用して金融サービスやホスピタリティ企業を侵害した2つの犯罪グループCarbanakと FIN7の戦術とテクニックがエミュレートされました。Carbanakと FIN7の活動により、過去5年間で数百社の企業が10億ドル以上もの金銭を盗まれています。
ATT&CK評価チームがCarbanakとFIN7を選択してエミュレートした理由は、これまでの評価テストでエミュレートされたグループがスパイ活動に重点が置かれていたのに対し、CarbanakとFIN7は金銭的な利益を得るために幅広い業界がターゲットされているためです。
ウィズセキュアが参加した評価テストは、今回で3回目になります。この投稿では、評価テストの主要指標に対する当社の検知結果について解説すると共に、その検知アプローチに関連するポイントについても触れていきます。 また、MITRE Engenuityの役に立つ資料や評価に使用されたツールについてもご紹介します。
MITRE EngenuityのATT&CK評価はベンダー各社から資金提供を受けており、一般公開されているMITRE AT&CK®フレームワークと比較しながら、製品の機能を公平な目で概説することを目的としています。MITREは、現実世界における攻撃者の戦術とテクニックに関するレポートに基づいてATT&CKナレッジベースを開発しています。ATT&CKは誰もが自由に利用でき、産業界や政府機関の防御者がネットワークの防御力を向上させるためのオプションを評価・選択する際、可視性や防御ツール、プロセスのギャップを見つけるために広く利用されています。 MITRE Engenuityは、そのテクニックと結果のデータを公開することで、組織が独自の分析と解釈を行うことができるようにしています。この評価テストの結果は、ランキングや推奨を示すものではありません。 ウィズセキュアは、長年にわたってMITRE Engenuityの取組みを支持しています。
今でも可視性が鍵を握る
昨年のAPT29の評価テストに関する当社の投稿でも触れましたが、可視性は優れた検知・対応技術の最も重要な機能の1つであると考えています。
可視性とは何を意味するのか、またなぜ重要なのでしょうか?
可視性とは、脅威ハンター、セキュリティ専門家、またはインシデント対応者がツールを使用して、作業のすべてのフェーズで必要なデータセットに簡単にアクセスできることを意味しています。
- 高精度の検知 高精度 (低誤検知率) の検知機能を開発する能力は、誰もが誤検知に悩まされたくないためすべてのブルーチームが目指しているものです。 これは、「干し草の中から針」を見つけだすことができるような詳細情報を提供する豊富なデータセットがあって初めて可能になります。例えば、コードやインメモリコードの実行を可視化する機能などがあります。
- 調査 調査は基本的にジグソーパズルであり、可視性はパズルの箱に描かれた完成図を見ることに相当します。完成図がなければ、組み立てにかなり時間がかかります。検知と対応において完成図に相当するのは、広範なデータセット (プロセスやメモリの実行、永続化メカニズム、ユーザの振る舞いなど) へのアクセスです。脅威ハンターは、一貫性のあるピボットポイントを使用して、あるテレメトリーソースから別のテレメトリーソースにジャンプして、完成図を組み立てます。
- 対応 確実な封じ込め計画を実施するためには、インシデントの包括的な分析を可能にするデータが不可欠です。可視性がなければ、プレゼンスの維持メカニズムなどの活動が見過ごされ、関連する脅威アーティファクトが感染したシステムに残される可能性が高くなります。攻撃に気づかれていることがわかった攻撃者は、再装備してスキルアップして戻ってくるかもしれません。
- 脅威ハンティング 脅威ハンティングは、検知範囲のギャップを特定して改善することを目的としています。脅威ハンターの可視性が向上し、より多くのデータがあれば、新しい検知ルールでギャップを素早く埋めることができます。
ATT&CK評価は可視性の理解にどのように役立つか?
MITRE ATT&CK評価における製品の可視性は、各「検知」が割り当てられているテストのサブステップの総数に反映されています。 MITRE Engenuityでは、テレメトリーまたは一般的、戦術的、技術的分析として検知が定義されており、。可視性は、MITRE Engenuityがこれまでの評価テストの中で各ベンダーに対して算出した指標の1つです。複数の検知(例えばテレメトリーやテクニック)を伴うテストのサブステップの場合、より高度な検知(たとえばテクニック)のみがカウントに寄与します。
Fig 1: MITRE ATTA&CK評価テスト CarbanakとFIN7 – 全参加社の可視能力
CarbanakとFIN7の評価テストでは、ウィズセキュアは174のテストステップのうち152ステップ、つまり87%を検知しました。これは、これまでの評価テストAPT3(89%)およびAPT29(88%)の評価において当社が達成した可視性と一致しています。つまり当社は、3回の評価を通して、一貫したパフォーマンスを発揮しており、今日攻撃者が使用しているテクニックを当社の脅威ハンターやインシデント対応者が確実に検知、調査、対応できるように取り組んでいることになります。
誤検知の回避: 検知の数が増えると問題の数も増える
EDRを提供するベンダーとして、87%の可視性で十分だと言うのは奇妙に思えるかもしれません。結局のところ、それは攻撃者が検知から逃れるための13%の「間隙」を利用できることを意味するからです。したがって十分とは言えません。
攻撃には、各攻撃ステージに必ず複数のアクティビティが含まれています。防御側は、これらの活動のうち1つを検知するだけで攻撃が進行していることを察知できますが、より多くのステージで検知機能を備えていれば、攻撃を検知して阻止できる可能性が高くなります。しかし、攻撃のように見えても実際には無害であるケース、つまり誤検知の可能性とのバランスを取ることが重要です。場合によっては、ノイズが多く誤検知になりやすいことがわかっている検知ルールや分析手法を使用せず、その代わりに精度の高いユースケースに焦点を当てた方が良いこともあります。
ウィズセキュアが収集した統計情報と共に、サブステップ1.A.1および1.A.3の攻撃者アクティビティによって、ユーザーが毎回努力して攻撃の検知を報告する際の問題を実証することができます。winword.exeを開くexplorer.exeに対して特定の検知ルールを設定すると、1週間で8,644件のアラートが発生したことになります。これは、ユーザがMicrosoft Wordを開いたときの正当な親子関係だからです。脅威ハンターに特別にこれらのアラートを調べさせることは時間の無駄になるため、このアクティビティに特定の検知ルールは設定されませんが、当社のテレメトリー内でこのアクティビティを確認することができます。一方で、サブステップ1.A.3で「テクニック」を検知したwinword.exeがwscript.exeを実行するという検知ルールを設定した場合、同じ週に発生したアラートは0件でした。これは、正当なユースケースがほとんどなく、通常は悪意のあるWord文書の使用を示す活動を探しているためです。当社のアプローチでは、不必要な誤検知を発生させることなく、ステップ1.A.3で悪意のあるアクティビティを検知することができました。
害虫の存在はネズミを見なくてもわかる
脅威ハンターが誤検知に飲み込まれることの無いユースケースに焦点を当てることの他に、検知に対するもう1つのアプローチは、攻撃の1つのステージですべてを検知しようとするのではなく、マルチステージをカバーするための開発に焦点を当てることです。ここでいう各ステージとは、最初のアクセス時のコード実行、永続性の確立、特権の昇格、侵入拡大時の標的の発見、または侵入拡大自体のことです。マルチステージにわたって高精度の検知を行うことで、1つのステージに全てをかける戦略よりも検知の確立が高まります。
MITRE Engenuityが1日目(ステップ1~10)と、2日目(ステップ11~20)の攻撃について定義したステップ(別名:攻撃ステージ)を使って、これを可視化することができます。
Fig.2: MITRE ATTA&CK評価の各ステップにおけるウィズセキュアの分析:CarbanakとFIN7
(ここでの「分析」という用語を明確にすると、MITRE Engenuityが特定した検知カテゴリを指します。これは、テレメトリーではなく、生データを検索しなくてもユーザに不審な行動をアラートするような検知のことです。)
図2に示すように、評価の両日にわたり複数の攻撃ステージで分析が確認されました。
分かりやすく言うと、適切なアラームがたくさん鳴り、そのどれもが、攻撃の進行を検知し、詳細に理解する機会となったのです。
複数の分析は、攻撃の複数の段階をカバーするという当社のアプローチを反映しています。2日目は、このアプローチの価値が明らかになりました。ステップ12では分析が0でしたが、ステップ11では最初の侵入時に不審なアクティビティの重大度が高いアラートを生成し、ステップ13から攻撃の最後までの攻撃者の活動を追跡し続けました。分析がなかったからといって、検知製品が攻撃を完全に見逃してしまう訳ではありません。
Fig. 3: ステップ11では、ステップ1でアラートが出なかったにもかかわらず、エフセキュアの高い検知能力を示しています
自ら過ちを認めるとき
2日目の複数のサブステップにわたって「データソース」の構成が変更されていることが分かります。MITRE Engenuityが関連するサブステップの脚注に記載しているように、これは私たちがEDRセンサーをテストホストの1つにデプロイし損ねたという事故によるものです。これを修正してからテストステップを繰り返すと、関連する検知が行われました。テスト中のEDRの設定と構成は、これらのテストステップを繰り返す前には変更されませんでした。ご想像の通り、このようなことが二度と起こらないように対策を講じました。
次回の評価に期待
この投稿では、いくつかの方法でデータを分析しましたが、可能性のあるソリューションがお客様の要件を満たすかどうかを判断するためには、さらなる分析が推奨されます。また、これまでの2つの評価についての分析結果もご覧になることをお勧めします。
MITRE Engenuityでは、テクニックや参加社比較ツールなどを使用して、検知に関して重要度が高いと判断したテクニックに対してソリューションがどのように実行されたかを掘り下げて見る機能が提供されています。
また、皆様にお勧めしたい情報ソースが2つあります。まず、オリジナルのMITRE ATT&CKサイトMediumには、独自の分析を行う際に役立つハウツーもののブログが多数掲載されています。その中でも、私たちのお気に入りはMITREのJamie Williams(ジェイミー・ウィリアムズ)氏のブログで、この記事で取り上げた内容によく似たアイデアに触れられています。2つ目の情報ソースは、オリジナルのATT&CK Mediumが終了した後をカバーしている新しいMITRE Engenuity Mediumです。
以前の投稿でも述べましたが、MITRE ATT&CK評価は、評価は購入者にとって非常に貴重な洞察となり、当社のオファリングの向上に役立つものと信じています。この評価とMITRE Engenuityの他のツールにより、ユーザは、攻撃者が現在使用しているテクニックに対するアラートにおいて、検知製品がどれほど効果的であるかを知ることができます。検知市場の規模や、それが断片化されている状況を考えると、各ソリューションがどのように課題に対処しているかを理解することが特に重要になります。
ウィズセキュアは、今年の後半に実施される第4回評価ラウンドにも参加する予定です。