2023/11/02 HelpNetSecurity — MITRE がリリースした、最新版の MITRE ATT&CK v14 は、サイバー攻撃者が用いる戦術と技術に関する、調査のためのフレームワークでありナレッジベースである。MITRE ATT&CK の目標は、実際の攻撃におけるサイバー攻撃者の行動をカタログ化し、分類することだ。このフレームワークは、攻撃者とデバイス/システム/ネットワークとの相互作用に関連する、新たな行動や変化した行動を取り込むために、常に改訂されている。
MITRE ATT&CK v14
MITRE ATT&CK には以下のマトリックスが含まれている:
- エンタープライズ:Windows/macOS/Linux/PRE/クラウドプラットフォーム (Azure AD/Office 365/Google Workspace/SaaS/IaaS)/ネットワークデバイス/コンテナを標的とする、戦術と技術をカバー。
- モバイル:Android/iOS
- ICS:産業用制御システム
MITRE の Senior Cybersecurity Engineer である Amy L. Robertson は、「人間の持つ脆弱性を悪用する手口を、敵対者側は絶えず進化させているため、今回の ATT&CK で範囲を拡大している。そこに含まれるものは、互いに隣接するものであるが、ネットワークに直接的につながり、相互作用や影響を及ぼすものだ。このように囲が拡大されたことで、金銭窃盗/なりすまし/スピアフィッシング・ボイスなどの、技術的な要素を持たない欺瞞的行為やソーシャル・エンジニアリングの技術も取るこまれることになった」と説明している。
MITRE ATT&CK v14 における他の変更点:
- ネットワーク・トラフィックを分析する防御者が、敵対者の振る舞いから兆候を検出するために有効な、検出に関する注意事項の強化。
- 検出/データソース/緩和策の間の関係の強化。
- ICS マトリックスに含まれる新しいアセット (デバイスとシステム)。
- モバイル・マトリックスの範囲の拡大 (QR フィッシングキを含む新しいベクターの追加) および、構造化された検知の追加。
- 新しいソフトウェアおよび、攻撃グループ、文書化されたキャンペーン。
MITRE ATT&CK の実装
ATT&CK の新バージョンは半年ごとにリリースされる。
MITRE ATT&CK プロジェクトのリーダーである Adam Pennington は、「当初は、1人の敵対者と1つの戦術を特定する、Excel のスプレッドシートだった。しかし。今では世界中のユーザーが参照し、貢献するフレームワークへと変貌を遂げている」と、最近の Help Net Security の取材に対し述べている。
このフレームワークの用途は、組織による脅威モデルの改良/ベンダー能力の評価/アナリストの仕事を簡素化/検出結果のマッピング/従業員教育などをカバーする。
それぞれのユーザー組織は、自身の能力に応じて、ゆっくりと実装を開始する必要がある。
Pennington は、「このフレームワークはテクニックごとに分割されているため、組織は自社のシステムに関連する、1つのテクニックから始めることが可能だ。たとえば、ID 管理に関心があるのなら、敵対者がパスワードを盗み出す方法を調べ、その行動の重複を特定できる。優先順位付けのポイントに達した後に、そこまでの道筋をたどりながら、容易に対策を追加していける」とアドバイスしている。
さらに MITRE は、ATT&CK フレームワークを補完するために、一般的な攻撃手法に対する防御対策の技術的ナレッジベースである、D3FEND にも取り組んでいる。
セキュリティを高めていく上で、何が行われているのかを、攻撃者の目線から把握することは、とても重要だと思います。その意味では、このブログも同じ視点に立っています。それにしても、MITRE ATT&CK はスゴイですね。半年に一度のペースでアップデートしているのですから。でも、言い換えると、脅威アクター側の変化のスピードも、同様に早いということです。よろしければ、MITRE で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.