MITRE の ATT&CK Framework:悪意の行動を分類する TTP の重要性とは?

MITRE ATT&CK Framework Explained: Why it Matters

2022/05/27 SecurityBoulevard — サイバー脅威は、より頻繁に、より密かに、より巧妙になっていることが、周知の事実になっている。さらに、IP アドレス/ドメイン/ファイルハッシュなどのマーカーを用いた IoC (indicator of compromise) 探索で、脅威を検出するという従来からリアクティブなアプローチは、急速に時代遅れになりつつある。攻撃者は容易に、それらのマーカーを変更して検出を回避するため、侵害が達成された後に、初めて脅威が検出されることも少なくはない。

この問題を克服するために、サイバー・セキュリティ業界では、統計分析/ビッグデータ/機械学習を活用して非定型な事象を検出する、異常ベースの検出という概念を打ち出した。しかし、この手法では、誤検知の割合が高くなりがちである。正常とされるものと、異常とされるものは、必ずしも正確ではない。悪意というものを特定し、傾向やパターンを把握するには、コンピューティング環境全体のソースから、膨大なデータを取得する必要があり、データの収集と処理に大規模な投資が必要になる。

TTPs:行動に基づく検知

TTPs (Tactics/Techniques/Procedures) の概念は、David Bianco の The Pyramid Of Pain により一般化された。Bianco は、脅威ハンターに対して、ドメインや IP のような静的な IoC から脱却する必要があると主張した。たとえば、攻撃者は DGA (Domain Generation Algorithm) を用いて、簡単に偽のドメイン名や IP アドレスを生成し、検知を回避することが可能だ。さらに、サイバー・セキュリティ業界は、シグネチャベースのマルウェア検知から移行する必要がある。今日のマルウェアはポリモーフィックであり、同じマルウェアでも感染するたびに異なるシグネチャを作成することが可能だからだ。つまり、同じマルウェアでも、感染するたびに異なるシグネチャを作成することができるため、攻撃者の TTP に焦点を当てる必要がある。

MITRE ATT&CK フレームワークとは?

MITRE Corporation やセキュリティ・ベンダーの研究者たちは、静的な IoC とは異なるものに着目した。それは、標的とされる技術 (Windows/macOS/Linux など) の制約により、敵対者のテクニックが頻繁に変化せず、一定の範囲に収束されるという観点である。

そこで、2013年に MITRE ATT&CK というフレームワークが作成された。この ATT&CK は、Adversarial Tactics, Techniques and Common Knowledge の略であり、敵対者の一般的な行動に関する、業界で最も精選されたナレッジ・ベースの1つである。このプロジェクトの唯一の目的は、典型的な敵の TTP をマップ化し、サイバー・セキュリティの脅威を積極的にハンティングする際に、Red/Blue チームの双方に共通言語を持たせることである。

このフレームワークは、14種類の戦術 (Tactics) と、その戦術を達成するために攻撃者が使用する、いくつかのテクニック (Techniques) で構成されている。戦術とは、敵対者が設定する一般的な目標を指し、技術とは、その戦術を達成するために、敵対者が採用する手段を指す。戦術は “なぜ “を説明し、技術は “どのように “を説明する。それぞれの技術は、さらにサブ技術に分けられ、敵が特定の技術を実行する方法を、より詳細に説明している。

ATT&CK マトリックスに記載されている戦術は、敵対者が偵察を行った時点から、最終目標である脱出または影響を与えるまでを、直線的な形式で表示している。ATT&CK は、敵対者の行動を適切に分類するだけではなく、組織が身を守る方法も詳細に提言している。

なぜ ATT&CK が重要なのか?

MITRE の ATT&CK フレームワークは、侵入検知/脅威ハンティング/インテリジェンス/セキュリティ・エンジニアリング/リスク・マネジメントなどの、複数のセキュリティ分野にわたって利用できる。ATT&CK フレームワークの主な利点や使用例には、以下のようなものがある。

  • 攻撃者のエミュレーション:攻撃シナリオをシミュレートし、セキュリティ・ソリューションのテストと防御能力の検証を行う。
  • ペネトレーションテスト:Red チームや Purple チームによる演習を実施し、敵対者の行動を研究/マッピングする際のリファレンス・フレームとして機能する。
  • フォレンジックと調査:インシデント・レスポンス・チームによる、攻撃アクティビティの発見を支援する。
  • 行動分析:セキュリティチームやベンダーが、隠れた異常パターンを特定する際に使用できる、コンテキストに基づく行動情報を提供する。
  • セキュリティ成熟度評価とギャップ評価:攻撃者の行動に対して、防御力に欠ける部分や、優先的に投資する必要がある部分を、判断するのに役立つ。
  • 製品評価:セキュリティ・ツールの検知能力と検知範囲を評価する。
  • 技術統合のための基準:異なるセキュリティツールを接続/通信するための共通基準として機能し、統合的な防御アプローチにつなげる。

ATT&CK は、敵対者の技術を知る上で、まさにリソースの金鉱である。そして MITRE は、最新の TTP を用いてフレームワークを更新し続けるために、サイバー・セキュリティ業界からのコントリビューションを歓迎している (ATT&CK は2022年4月に最新版 v11 を発表)。

とは言え、ATT&CK は完璧ではない。MITRE は、セキュリティ・アナリストの頭の中にバイアスが存在すると認識している。そのため、ATT&CK に加えて、他の脅威インテリジェンス・レポートや、組織のネットワーク/セキュリティの可視化のためのツールの活用が推奨されている。

サイバー・セキュリティの成熟度にかかわらず、セキュリティの再調整/セキュリティ・プロセスの再定義/MITRE ATT&CK フレームワークを介したセキュリティ指標の見直しなどを行うのに、遅すぎるということは決してあり得ない。

こうして、毎日のようにセキュリティ関連のドキュメントを訳していると、TTPs (Tactics/Techniques/Procedures) というフレーズに行き当たります。日本語にすると 戦術/技術/手順 なのでしょうが、個々の攻撃手法を観ていくと、よくもまぁ、こんなことを考えつくものだと、感心してしまうことも珍しくはありません。しかし、感心しているだけでは、散乱した情報が産卵したままに記憶されるだけです。そこで、MITRE の ATT&CK フレームワークに照らし合わせて情報を体系化していけば、実際に攻撃を受けたときの対処法も定まりやすくなるはずです。孫子の「彼を知り己を知れば百戦殆からず」に通ずるところがありますね。

%d bloggers like this: