MITRE ATT&CK へのインタビュー：新たな悪用手法をカタログ化し続けていく

MITRE ATT&CK project leader on why the framework remains vital for cybersecurity pros

2023/09/26 HelpNetSecurity — この秋に 10 周年を迎える MITRE ATT&CK は、サイバーセキュリティの専門家が互いにコミュニケーションを図り、敵対者の行動をよりよく理解するための共通言語である。Help Net Security のインタビューでは、プロジェクト・リーダーの Adam Pennington がフレームワークについて、また、防御者によるフレームワークの活用方法について、さらに今後の展開について語っている。

2013年に MITRE ATT&CK フレームワークが作成された背景にと経緯は？

このフレームワークは、2013年に MITRE の Ft. Meade (Maryland 州) で行われた社内演習から生まれた。その当時は一般的ではなかったが、私たちはデスクトップ・コンピューターにセンサーを取り付け、レッドチームとブルーチームによる一連のサイバー作戦を分析した。ホワイトチームであるオブザーバーは、レッドチームの行動が実際の敵の行動を代表していないことに気づいた。レッドチームに戦術の調整を要求したとき、彼らは自分たちを説明するための統一言語を欠いていた。

したがってホワイト・チームは、ブルー・チームとレッド・チームにより作戦の設計を円滑にするために、現実のデータを持つハニーポットから。現実のサイバー攻撃シナリオを引き出すことで軌道修正を図った。最終的に、この演習では、共通言語を用いた各種の侵入テクニックを概説するという、Excel のスプレッドシート上の原則として結実した。それが、社内において極めて有用であったことで、他の組織でも役に立つだろうと考え、MITRE ATT&CK として公開した。

これまでの 10年間において、特に最近の５年間おいて、このフレームワークの人気が急上昇したわけは？

最初は１人の敵対者と１つの戦術を特定する、Excel のスプレッドシート上のデータだったが、世界中のユーザーから参照／貢献されるフレームワークへと変貌した。一般に公開される以前には、約100件の攻撃的な振る舞いが登録されていたが、2016年にはオープンソースの脅威インテリジェンス・レポートに基づき、グループやソフトウェアの追跡を開始した。2018年には、ATT&CKcon を立ち上げるに値する、十分な関心を集めた (第４回目となるユーザー・カンファレンスは、10月24～25日に Virginia 州 McLean の MITRE 本社で開催される) 。

この５年間で、産業用制御システム／モバイル／Linux／各種クラウド・プラットフォーム (Office 365 や Azure など)／ネットワーク機器 (コンピュータのスイッチやルーター) などで構成される、ATT&CK のコアフレームワークを拡張してきた。私たちは、敵対者の戦術に関する分析結果と、ユーザーによる防御で採用できるテクニックを取り込むことで、理解しやすくユーザーフレンドリーなものへと、進化させ続けている。その延長として、最近の ATT&CK には擬似コード分析を追加し、”easy button” として防御に使用できるようにした。

ATT&CK のフレームワークは、どのような観測や貢献により最新の状態に保たれているのか？更新頻度は？

この質問に答えている間にも、コミュニティ・メンバーから、少なくとも１件の寄稿をメールで受け取っているはずだ。ご存知のように、ATT&CK はコミュニティ主導で運営されている。ATT&CK のフレームワークは、最新の脅威に関するユーザーからの情報提供なしには機能しない。

さらに私たちは、ソーシャルメディア／政府機関からの公的報告書／インシデント対応企業からの最新情報をモニターしている。舞台裏では、大規模なチームが各分野の情報を管理／整理している。

ATT&CK の新バージョンは、半年ごとにリリースされている。それよりも短いサイクルや長いサイクルと試してみたが、ATT&CK を自社の製品や防御に組み込んでいる組織と、迅速に情報を得たい組織の両方を満足させるには、6ヶ月が最適であることがわかった。

サイバー脅威の進化を前提として、 MITRE ATT&CK フレームワークから、どのような長期的価値を得られるのか？

ATT&CK は、敵対者と同期しながら進化し続けているが、歴史的に見ると、この分野は時間の経過に合わせて、ゆっくりと変化するものだ。脅威アクターたちは、ネットワークに侵入すると、比較的定型的な手法を用いる。ソフトウェア／IP アドレス／相手側の人間が異なっていても、基本的な攻撃手順があり、それが頻繁に変化することはない。10年前に ATT&CK で文書化された手順は、現在の攻撃でも用いられている。

その一方で、クラウドベースの製品のように、侵入に適した新しいスペースも存在する。私たちは、新しい技術に合わせてフレームワークを拡張している。

最初の導入プロセスが複雑だと感じている組織に対して、学習曲線を緩和するためのアドバイスは？

まずは、手の届く範囲で始めてほしい。小規模な組織のサイバーセキュリティ・チームが、ATT&CK を自社の防御に包括的に統合しようとして、すぐに自分たちの手に負えないことに気づくのを何度も見てきた。つまり、ATT&CK のフレームワークは万能ではない。

この課題を解決するために、私たちは小規模から始めることに重点を置いた、複数の戦略を推奨している。このフレームワークはテクニックごとに切り分けられているため、自社のシステムに関連する単一の戦術から始めることができる。たとえば、ID 管理に関心があるのなら、敵対者がパスワードを盗む方法を調べ、また、それに関連する行動を特定していく。それらに優先順位を付ける地点に達すれば、逆方向へと作業を進め、それらに対する防御策を追加していける。

サイバーセキュリティ業界の専門家が知っておくべき、このフレームワークに隠された応用例は？

高校から大学にいたるまでのアカデミックな環境で、ATT&CK が活用されている様子を目の当たりにし、大変驚いている。バージニア州のある高校は、私たちのチームを招き、以前カリキュラムに組み込んだ ATT&CK について説明してくれた。

いくつかの民間企業でも、このフレームワークが従業員教育に取り入れている。最近では、ATT&CK のデータベースから引き出した、今週のテクニックについて定期的に議論している、企業の人と話したことがある。

MITRE ATT&CK フレームワークで想定している、今後の拡張は？

敵対者は、常に新たな悪用手法を模索しており、私たちは、彼らの一挙手一投足をカタログ化していく。私たちのチームは、Windows 以外の領域においても、たとえば Linux などの普及が進んでいる OS に関しても、脅威インテリジェンス・レポートを進化させ続けている。

私たちの目標は、サイバー防衛者のコミュニティを構築することだ。私たちは、ATT&CK が大規模な組織にとって有益であることを知っているが、小規模でリソースの乏しい事業体にとって、より利用しやすくする方法を模索している。

セキュリティの世界における脆弱性の管理と表現において、CVE にしろ、CWE にしろ、このインタビューで述べられているように、MITER が作った共通言語が中心となっています。それらがなければ、サイバー攻撃の分析も、セキュリティ対策の確立もできないという状況です。その意味で、新たな共通言語である MITRE ATT&CK に、大きな期待が集まっています。