MITRE ATT&CKフレームワーク(MITRE ATT&CK)は、サイバー犯罪者の既知の敵対行動に基づいてサイバーセキュリティーの脅威をモデル化し、検出・防止・防衛のための、普遍的にアクセス可能で継続的に更新されるナレッジ・ベースです。
MITRE ATT&CKのATT&CKは、Adversarial Tactics, Techniques & Common Knowledgeの略です。
MITRE ATT&CKは、攻撃者の最初の情報収集や計画行動から、最終的な攻撃の実行に至るまで、サイバー攻撃のライフサイクルの各段階におけるサイバー犯罪者の戦術、テクニック、手順(TTP)をカタログ化します。MITRE ATT&CKの情報はセキュリティー・チームに役立ちます。
サイバー攻撃を正確にシミュレートしてサイバー防御をテスト
より効果的なセキュリティー・ポリシー、セキュリティー・コントロール、インシデント対応計画を策定
サイバー脅威をより適切に検知・防止・軽減するためのセキュリティー・テクノロジーを選択・構成する
さらに、MITRE ATT&敵の戦術、テクニック、サブテクニックに関するCK分類法(下記参照)は、セキュリティー専門家がサイバー脅威に関する情報を共有し、脅威の予防について協力するために使用できる共通言語を確立します。
MITRE ATT&CK自体はソフトウェアではありません。しかし、ユーザーとエンティティの行動分析(UEBA)や拡張検知と応答(XDR)、セキュリティー・オーケストレーション、オートメーション、応答(SOAR)、セキュリティー情報とイベント管理(SIEM)などの多くのエンタープライズ・セキュリティー・ソフトウェア・ソリューションは、MITRE ATT&CKの脅威情報を統合して脅威の検知と応答機能を更新・強化できます。
MITRE ATT&CK は、非営利団体の MITRE Corporation によって開発され、サイバーセキュリティー専門家の世界的なコミュニティからの意見をもとに MITRE によって維持されています。
MITRE ATT&CK は、敵の戦術とテクニック (およびサブテクニック) をマトリックスに編成します。各マトリックスには、特定のドメインに対する攻撃に対応する戦術とテクニックが含まれています。
エンタープライズ・マトリックスには、エンタープライズ・インフラストラクチャーに対する攻撃で使用されるすべての攻撃者のテクニックが含まれています。このマトリックスには、Windows、MacOS、Linuxプラットフォームのほか、ネットワーク・インフラ、クラウド・プラットフォーム、コンテナ技術のサブマトリックスが含まれています。また、攻撃の前に使用される準備テクニックのPREマトリックスも含まれています。
モバイル マトリックスには、モバイル デバイスに対する直接攻撃と、モバイル デバイスへのアクセスを必要としないネットワーク ベースのモバイル攻撃で使用される手法が含まれています。この行列には、iOS および Android モバイル プラットフォームの部分行列が含まれています。
ICXマトリックスには、産業用制御システム、具体的には工場、公共事業、輸送システム、その他の重要なサービスプロバイダーのオペレーションを制御または自動化するために使用される機械、デバイス、センサー、ネットワークに対する攻撃に使用される技術が含まれています。
各MITRE ATT&CK戦術は、特定の敵対的な目標、つまり攻撃者が特定の時点で達成したいことを表します。ATT&CK戦術は、サイバー攻撃の段階または段階に密接に対応しています。たとえば、エンタープライズ・マトリックスでカバーされるATT&CK戦術には次のようなものがあります。
偵察: 攻撃を計画するための情報を収集する。
リソース開発: 攻撃作戦をサポートするリソースの確立
初期アクセス: ターゲット システムまたはネットワークに侵入
実行: 侵害されたシステム上でマルウェアや悪意のあるコードを実行
永続性: 侵害されたシステムへのアクセスを維持(シャットダウンまたは再構成の場合)
特権昇格: より高いレベルのアクセス権や権限を取得(例: ユーザー アクセス権から管理者アクセス権への移行)
防御回避: システム内に入ったら検知を回避
認証情報へのアクセス: ユーザー名、パスワード、その他のログオン認証情報の盗用
発見: 標的の環境を調査して、計画された攻撃をサポートするためにどのリソースにアクセスまたは制御できるかを学習
横移動: システム内の追加リソースへのアクセスの取得
収集: 攻撃目標に関連するデータの収集(例: ランサムウェア攻撃の一環としてのデータ暗号化やデータ流出など)
コマンド・アンド・コントロール: 攻撃者がシステムを制御できるようにする秘密または検出不可能な通信を確立
漏洩: システムからデータを盗む
影響: データまたはビジネス プロセスの中断、破損、無効化、または破壊
繰り返しますが、戦術とテクニックはマトリックスごとに (およびサブマトリックスごとに) 異なります。たとえば、モバイル マトリックスには偵察とリソース開発の戦術は含まれていませんが、エンタープライズ マトリックスにはない他の戦術 (ネットワーク効果 と リモート サービス効果)が含まれています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
MITRE ATT&CK戦術が攻撃者が達成したいことを表す場合、MITRE ATT&CK戦術は攻撃者がそれをどのように達成しようとするかを表します。例えば、ドライブバイ攻撃やスピア・フィッシングは初期アクセス・テクニックの一種で、ファイルレス・ストレージを使用する防御回避技術の一例です。
ナレッジ・ベースでは、各テクニックについて次の情報が提供されます。
テクニックの説明と概要。
テクニックに関連する既知のサブテクニック。例えば、フィッシングのサブテクニックには、スピア・フィッシングの添付ファイル、スピア・フィッシングのリンク、サービス経由のスピア・フィッシングなどがあります。この記事の執筆時点で、MITRE ATT&CKは196の個別テクニックと411のサブテクニックを文書化しています。
関連する手順の例。これらには、攻撃グループによるテクニックの使用方法や、テクニックの実行に使用される悪意のあるソフトウェアの種類が含まれる場合があります。
緩和策—テクニックをブロックまたはテクニックに対処できる、セキュリティーの実践(例: ユーザー・トレーニング)またはソフトウェア(例: ウイルス対策ソフトウェア、侵入防御システム)。
検出方法通常、これらは、セキュリティー・チームまたはセキュリティー・ソフトウェアが技術の証拠を監視できるログ・データまたはシステムのデータソースです。
MITRE ATT&CKは、ナレッジ・ベースを表示・操作するための他の方法をいくつか提供します。マトリックスを介して特定の戦術やテクニックを研究する代わりに、ユーザーは以下に基づいて調査できます。
データ・ソース—セキュリティー・チームまたはセキュリティー・ソフトウェアが試行された攻撃テクニックの証拠を監視できるすべてのログ・データまたはシステムのデータ・ソースとデータ・コンポーネントのインデックス。
緩和策—ナレッジ・ベースで参照されているすべての緩和策のインデックス。ユーザーは特定の緩和策がどのテクニックに対応しているかを学ぶため、ドリルダウンできます。
グループ—敵対的なグループと、そのグループが使用する攻撃戦術とテクニックのインデックス。この記事の執筆時点で、MITRE ATT&CKは138のグループを記録しました。
ソフトウェア—攻撃者が特定のテクニックを実行するために使用する可能性のある悪意のあるソフトウェアまたはサービスのインデックス(この記事の執筆時点では740)。
キャンペーン- 基本的には、サイバー攻撃またはサイバースパイ活動のキャンペーンのデータベースであり、それらを開始したグループ、使用された技術やソフトウェアに関する情報が含まれます。
MITRE ATT&CK Navigatorは、ナレッジ・ベースのデータを検索、フィルタリング、注釈付け、表示するためのオープンソース・ツールです。セキュリティー・チームは、MITRE ATT&CK Navigatorを使用することで、特定の脅威グループが使用する戦術やテクニックの迅速な特定と比較、特定のテクニックを実行するために使用されるソフトウェアの特定、特定のテクニックに対する緩和策の照合などを行うことができます。
ATT&CK Navigatorは、結果をJSONやExcelまたはSVGグラフィック形式(プレゼンテーション用)でエクスポートできます。セキュリティー・チームは、オンライン(GitHubでホストされている)を使用することも、ローカルのコンピューターにダウンロードすることもできます。
MITRE ATT&CK は、組織がセキュリティー運用を最適化し、全体的なセキュリティー体制を向上させるために使用する多数のアクティビティーとテクノロジーをサポートします。
アラートのトリアージ。脅威の検知と対応MITRE ATT&CKの情報は、一般的な企業ネットワーク上のソフトウェアやデバイスによって生成される大量のセキュリティー関連のアラートを選別して優先順位を付けるのに非常に役立ちます。実際、SIEM(セキュリティー情報とイベント管理)やUEBA(ユーザーとエンティティーの行動分析)、EDR(エンドポイントの検知と対応)、 XDR(拡張検知と対応)を含む多くのエンタープライズ・セキュリティー・ソリューションは、MITRE ATT&CKから情報を取り込み、それを使用してアラートをトリアージし、他のソースからのサイバー脅威インテリジェンスを強化し、インシデント対応プレイブックまたは自動化された脅威対応をトリガーできます。
脅威ハンティング。脅威ハンティングとは、セキュリティー・アナリストが既存のサイバーセキュリティー対策をすり抜けた脅威をネットワークから探し出す、事前対応型のセキュリティー実践です。敵対者の戦術、テクニック、手順に関するMITRE ATT&CK情報は、脅威ハンティングを開始または継続するために、文字通り何百ものポイントを提供します。
レッドチーム/敵対者のエミュレーション。セキュリティー・チームは MITRE ATT&CK の情報を使用して、現実世界のサイバー攻撃をシミュレートできます。これらのシミュレーションは、導入されているセキュリティー・ポリシー、慣行、ソリューションの有効性をテストし、対処する必要がある脆弱性を特定するのに役立ちます。
セキュリティー・ギャップ分析とセキュリティー・オペレーション・センター(SOC)の成熟度評価。セキュリティー・ギャップ分析では、組織の既存のサイバーセキュリティーの実践とテクノロジーを現在の業界標準と比較します。SOCの成熟度評価では、サイバー脅威やサイバー攻撃を最小限の手動介入でまたは手動介入なしで一貫してブロックまたは軽減する能力に基づいて、組織のSOCの成熟度を評価します。いずれの場合も、MITRE ATT&CKデータは、組織がサイバー脅威の戦術、テクニック、緩和策に関する最新データを使用してこれらの評価を実施するのに役立ちます。
MITRE ATT&CK と同様、ロッキード・マーチンの Cyber Kill Chain は、サイバー攻撃を一連の敵対的戦術としてモデル化しています。戦術の中には同じ名前が付いているものもあります。 しかし、それは類似性が終わるところです。
サイバー・キル・チェーンは、知識ベースというよりは説明的なフレームワークです。MITRE ATT&CKほどの詳細さはありません。MITRE ATT&CKには18の戦術(モバイルおよび ICS のみの戦術を含む)があるのに対して、戦術には偵察、兵器化、配送、悪用、設置、指揮統制、目標への行動の7つだけです。モバイルまたはICSプラットフォームに対する攻撃のための個別のモデルは提供されません。また、MITRE ATT&CKの戦術、テクニック、手順に関する詳細情報のレベルに近いものはカタログ化されていません。
もう一つ重要な違い:Cyber Kill Chainは、サイバー攻撃が成功するためには、敵の戦術を 、順番に達成しなければならないという仮定に基づいており、戦術の一つでもブロックすれば、「キルチェーンを断ち切る」ことができ、敵が最終目標を達成するのを阻止することができる。 MITRE ATT&CK はこのアプローチを採用しません。これは、セキュリティー専門家が、遭遇する状況がどのような状況であっても、個々の敵対的な戦術やテクニックを特定し、ブロックまたは軽減できるよう支援することに重点を置いています。