MITRE ATT&CK® フレームワークを使う理由

WithSecure_abstract_satellite_hero

この記事では、MITREのATT&CK®フレームワークから組織が最大限の価値を得る方法とウィズセキュアの社内でMITREをどのように活用しているかについてご紹介します。

この記事でお伝えすること:

  • MITRE ATT&CK®フレームワークとは何か、そして何故それがサイバーセキュリティにおいて重要なのか
  • 使用されているテクニックから組織を守る上で、MITRE ATT&CK® フレームワークがどのように役に立つのか

MITRE社とは?

MITRE社は、米国に本拠地を置く非営利研究機関で、60年以上にわたってエンジニアリングと技術のガイダンスを提供しています。同社は、連邦政府資金によって運営されており、元来は米国政府に対しての活動のみを行っていましたが、現在では「世界の喫緊の問題に対する最先端のソリューション」を広く提供しており、サイバーセキュリティもこの中に含まれています.

MITRE ATT&CKフレームワーク

MITRE ATT&CKは、継続的に更新される既知の国家支援および犯罪グループに関するナレッジベースで、世界中から入手可能です。 ここには、国家が支援する既知のグループによって使用されているTTP(戦術、技術およびプロセス)がカバーされています。 このフレームワークを活用することで、民官問わず、すべての組織がAPT攻撃やAPT攻撃グループの検知を最優先することができます。ウィズセキュアでは、この情報を脅威ハンティングに活用しています。

防御チームのMITRE ATT&CKフレームワークの活用方法

組織を防御するチームは、戦術的、戦略的、運用的のいずれであっても、防御や検知ルールの策定や企業を守るためのアーキテクチャやポリシー決定のガイドなどの実践的なアプローチの際、この情報を活用することができます。

しかしながら、現在のフレームワークの最大の課題のひとつは、さまざまな攻撃テクニックが膨大な数に及んでいるため、防御チームがどのテクニックに最初に焦点を当てるべきかなのかを判断することが困難な点です。 以下の表は、リスト化されている何百ものテクニックのほんの一部を紹介しています。

Figure 1 – 非常に多くのテクニックがあり、どこから始めればよいのかを知るのは困難

MITRE ATT&CKの価値を最大限に引き出すためには、防御チームが実際の攻撃を検出する可能性を最大限に高めることができる項目に焦点を合わせることが重要です。ウィズセキュアは、さまざまな手法で各テクニックを分析することによってこの問題に取り組んでいます。

実際の使用方法

実際のサイバー攻撃では、攻撃者がMITREで定義されている攻撃テクニックの一部のみを繰り返し使用していることが確認されています。 例えば、フレームワークには59種類もの異なる攻撃テクニックが含まれていますが、ウィズセキュアが実際に遭遇した攻撃で使われていた攻撃テクニックは7つだけです。 理想的には、セキュリティチームはすべての攻撃テクニックをカバーすべきですが、限られたリソースのことを考えると、最も一般的に使用されている攻撃テクニックを優先して、検知率と全体的な効率を高めることが非常に重要です。 その意味でも、公開されている実際の侵害報告を分析することは、攻撃者が一般的に使用しているテクニックについて詳しく知るための優れた方法のひとつです。

アラートのノイズ

MITREの攻撃テクニックの多くは、現実世界における通常活動とかなり一致しているため誤検知が発生しやすく、警告ベースの監視には適していません。たとえば、Rundll32.exeはWindowsの実行可能アプリケーションで、多くの組織で一般的に使用されているため、信頼性の低い指標ですが、Mshta.exeは使用頻度が低いため信頼性の高い指標となっています。しかし、このようなノイズは貴重なものであり、正しく処理することによって忠実度が増します。

これは、機械学習と監視対象アクティビティの広範なコンテキストにより、ノイズの中から意味のあるシグナルを選び出し、リスクスコアを計算して、通常とは異なるコンテキストで複数の関連アクティビティが検出された場合にのみ警告を発することができる典型的な例です。広範なコンテキストで高リスクの検出に集中し、ノイズに隠れている大量のアクティビティの調査を機械学習に任せることで、チームの効率が大幅に向上します。

Figure 2 – 攻撃の広範なコンテキスト

収集と分析のしやすさ

各攻撃テクニックは、異なるデータセットのキャプチャと分析に依存しています。 攻撃テクニックによっては、技術的、あるいはパフォーマンス上の制限から、データを収集できない場合があります。テレメトリーがあるかどうかを確認することは、MITREテクニックを含めるか除外するかを判断する簡単な方法です。また、テレメトリーの各セットに関連付けらるストレージと分析のコストも非常に高額になることがあるため注意が必要です。一例を挙げると、プロセスデータは、攻撃者がシステム上で何を実行したかを示すことができるため、最も有用なデータセットのひとつです。一方、ファイアウォールログは、便利ではありますが容量が非常に大きくなる割には得られる価値は限定されます。

キルチェーン全体の量より質

一般的に、MITRE ATT&CKの使用と、MITREテクニックのテストにおいては、個々のTTPの検出の「合格」か「不合格」かに焦点を当てることが多く、実世界の攻撃が複数のフェーズと活動に及んでいるということを忘れがちです。現実的には、防御チームとして多段階のキルチェーンの一部を検出して調査を開始し、関連するすべての活動を発見するだけで十分です。例えば、まったく新しいブラウザエクスプロイトを使用している攻撃者を見逃しても、彼らの攻撃の痕跡を見つけて、チームに警告を出し、さらなる調査を開始することができます。そのため、キルチェーン全体で最も一般的に使用されている忠実度の高い攻撃者の活動を選択し、発生したときにチームが自信を持ってトリアージ(対応の優先順位を判断)を行い、対応できるようにすると検出がより効率的になります。

注力すべきユースケース

これまでに説明したことに基づいて、特に検討することをお勧めする最も価値の高いユースケースは以下のとおりです。

  • ユーザのログイン活動(特に管理者)の確認
  • 疑わしいプロセスの実行に対するハンティング(Rundll32、Powershell、Mshta、Regsvr32)
  • 異常を検知するための永続データ(サービス、レジストリ、スケジュールされたタスク)の集計
  • プロセスインジェクションなどのメモリ異常
  • ウイルス対策や機械学習などのソフトウェアを通じて報告された既知の有害ソフトウェア
Reading time: 10 min