CISA releases free ‘Decider’ tool to help with MITRE ATT&CK mapping
2023/03/02 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、セキュリティ・アナリストなどの防御側が、MITRE ATT&CK マッピング・レポートを迅速に作成するための、オープンソース・ツール Decider をリリースした。MITRE ATT&CK フレームワークは、サイバー攻撃の観測に基づき、敵対者の戦術や技術を特定/追跡するための標準であり、それに応じて防御側のセキュリティ態勢を調整するためのものだ。共通の基準を持つ組織は、新たに発見/出現した包括的で正確な情報を迅速に共有し、その攻撃を阻止するためのアクションを実施できる。
先日に CISA は、MITRE ATT&CK マッピングに関する Best Practices ガイドを発表し、この標準を使用することの重要性を強調している。
この Decider は、国土安全保障システム工学開発研究所 (HSSEDI : Homeland Security Systems Engineering and Development Institute) および MITRE と共同で作成され、CISA の GitHub リポジトリを介して無償で提供されている。
CISA は、「サイバーセキュリティ・コミュニティにおいて、脅威アクターの行動と MITRE ATT&CK フレームワークとのマッピングを容易にする、無料ツール Decider をリリースした。HSSEDI と MITRE とのパートナーシップにより作成された Decider は、ガイド付き質問および、強力な検索とフィルタ機能に加えて、ユーザーが好む形式での結果のエクスポートを実現するカート機能により、このマッピングを迅速かつ正確に行うものだ」と述べている。
このツールは、観察された驚異アクターについて、ユーザー・ガイド付きの質問を行い、対応する MITRE ATT&CK レポートを作成する。
たとえば、「敵は何をしようとしているのか」という質問に対して、「環境内で最初の足場を築く」という答えが考えられるが、それは「イニシャル・アクセス」という戦術に対応する。
これらの質問は、すべての戦術に対応するサブテクニックに到達するまで続けられる。また、特定の活動に対応するサブテクニックが見つからない場合には、その上位に該当するテクニックに到達するまで続けられる。
防御者は、生成された MITRE ATT&CK レポートを用いた、標的型防御戦術の作成が可能になる。それを、一般的なフォーマットでエクスポートし、業界内の他者と共有し、特定した脅威の拡散を防止することが可能となる。
Decider のリリースと同時に、CISA が発表したファクトシートで説明しているように、MITRE ATT&CK のマッピングレポートは、次のステージである脅威対応の担当者に対して、以下の情報を受け渡すのに役立つ。
- ATT&CK Navigator での調査結果の可視化
- 脅威情報レポートの発行により、調査結果を他者と共有する
- それらの技術を検出するためのセンサーやアナリティクスを見つける
- 悪意のテクニックが機能しないようにするための緩和策を発見する
- 防御を検証するための脅威のエミュレーション計画の作成
各種のサイバーセキュリティ・コミュニティが、Decider をダウンロードして使用し、フィードバック/バグレポート/機能提案などを提出することを、CISA は強く求めている。
最近の CISA と MITRE の動向としては、2023/02/03 の「MITRE が CREF Navigator を発表:レジリエンス・システムの設計をサポート」が興味深いです。これは、2022/11/30 の「CISA Strategic Plan 2023-25:防御から回復力へと大きく舵を切る米連邦政府」とも連携する話であり、大きな節目が近づいているという感じがしています。MITRE ATT&CK は、サイバー防御者たちに対して、攻撃者の視点からみることを推奨するナレッジベースです。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.