2024 MITRE ATT&CK Evaluations:セキュリティ・リーダーたちが信頼すべき理由は何処に?

Why Cybersecurity Leaders Trust the MITRE ATT&CK Evaluations

2024/11/26 BleepingComputer — 昨今の脅威が荒れ狂う状況において、組織を保護するためのソリューション/ストラテジーについて、十分な情報を得た上で選択すべきというプレッシャーに、セキュリティのリーダーたちは直面している。こうした課題に対処する、サイバー・セキュリティ意思決定者の有用なリソースが、“MITRE Engenuity ATT&CK Evaluations: Enterprise” である。MITRE ATT&CK Evaluations は、他の独立系の機関とは異なる立ち位置から、現実世界の脅威をシミュレートし、それぞれのサイバー・セキュリティ・ベンダーが検知/対応する方法を評価するものである。

なお、2024 MITRE ATT&CK Evaluations の結果が公表された後に、Cynet のウェビナーが提供する調査結果は、サイバー・セキュリティ・リーダー向けのものである。

このウェビナーを主催する Cynet は、2023年の MITRE ATT&CK に対して、 All-in-One Platform を提供している。それによりベンダーは、コンフィグレーションを変更することなく、100% の可視性と 100% の分析カバレッジを達成できた。

MITRE ATT&CK Evaluations の実施方法は?

2024年版に備えるため、MITRE ATT&CK Evaluations の特徴を検証し、その成果を活用するサイバー・セキュリティ・リーダーが、組織のリスクを軽減するケースを考えてみよう。

MITRE ATT&CK Evaluations は、それぞれのサイバー・セキュリティ製品が、多様な攻撃手法を検知/対応/報告する能力をテストする、厳格かつ独立した評価である。

この評価は、攻撃者の TTPs  (tactics, techniques, and procedures) を分類する包括的なナレッジ・ベースであり、世界的に認められている MITRE ATT&CK フレームワーク に基づくものである。TTP を段階的に整理することで、このフレームワークが組織に提供するのは、潜在的な脅威の理解である。具体的に言うと、脅威を検知して対処するプラットフォームのパフォーマンスを評価するための、体系化/標準化された方法が提供される。

その評価では、よく知られた攻撃シナリオが、管理された環境で再現される。このアプローチにより、攻撃ライフサイクルの複数の段階にわたってエミュレートされる攻撃者の行動に対して、ベンダーによるサイバー・セキュリティ・ソリューションのテストが可能となり、実環境でのパフォーマンスに関する貴重な洞察が得られていく。

MITRE ATT&CK Evaluations の特徴

MITRE ATT&CK Evaluations は、独立系アナリストによる評価とは異なる貴重な要素を備えているため、セキュリティ・リーダーたちにとって、特に価値の高いものとなっている。

  1. 現実世界の状況:MITRE ATT&CK Evaluations は、他の評価とは異なり、特定の脅威アクターによる TTP のシミュレーションに基づいている。それにより、現実的なシナリオにおいて、個々のセキュリティ・プラットフォームが発揮できる、効果のレベルに対する理解が促進される。
  2. 明瞭な評価結果:MITRE ATT&CK の評価手法により、個々のプラットフォームが、多様な TTP に対応する方式を詳細まで確認できる。ただし MITRE は、それぞれのベンダーに対するスコア付けやランク付けは行わない。したがって、セキュリティ・チームは、自社の独自のニーズに最も適したソリューションを判断できる。
  3. MITRE ATT&CK フレームワークとの整合性:評価結果は、定評のある MITRE ATT&CK フレームワークと整合しているため、調査結果と既存の脅威モデルとの統合を、セキュリティ・チームは容易に達成できる。この整合性により、潜在的な検出や対応における能力のギャップを発見し、修正することが可能になる。
  4. 幅広い参加者:2023年の MITRE ATT&CK 評価には、31 社のベンダーが参加しており、今日のサイバーセキュリティ・エコシステムで利用できる多様な選択肢についての見解を、セキュリティ・リーダーたちに提供している。
2024年に期待できること

MITRE は、「2024年の評価では、防御能力について、より的を絞りこんだ繊細な評価を行うために、複数の小規模なエミュレーションを組み込む予定だ」と述べている。

ベンダーのソリューションは、Linux と Windows を標的とする適応性の高い RaaS (Ransomware-as-a-Service) の亜種と、macOS を侵害する北朝鮮の国家支援による戦術という、2つの敵対的な領域と対決することになる。

評価を自分で解析する場合であっても、専門家のガイダンスを見て結果を解釈する場合であっても、サイバー・セキュリティのリーダーにとっての賢明な行動は、ツールの長所と短所に対する追跡と、防御策の改良、新たな脅威に対する耐性の強化になるだろう。

Cynet がスポンサードする記事だと、原文に明記されていますが、MITRE ATT&CK Evaluations の位置づけを丁寧に解説してくれる、とても有用な記事だと感じています。訳していて、勉強になりました。よろしければ、MITRE で検索も、ご参照ください。