ホーム

Topics

MITRE ATT&CK

MITRE ATT&CKフレームワーク
IBMのMITRE ATT&CKソリューションはこちら セキュリティー・トピックの最新情報を購読する
雲、指紋、携帯電話のピクトグラムのコラージュを示すイラスト
MITRE ATT&CK フレームワークとは何ですか?

MITRE ATT&CKフレームワーク(MITRE ATT&CK)は、サイバー犯罪者の既知の敵対行動に基づいてサイバーセキュリティーの脅威をモデル化し、検出・防止・防衛のための、普遍的にアクセス可能で継続的に更新されるナレッジ・ベースです。

MITRE ATT&CKのATT&CKは、Adversarial Tactics (敵対的戦術)、 Techniques & Common Knowledge(テクニックと一般常識)の略です。

MITRE ATT&CKは、攻撃者の最初の情報収集や計画行動から最終的な攻撃の実行に至るまで、サイバー攻撃の ライフサイクルの各段階におけるサイバー犯罪者の戦術・技術・手順(TTP)をカタログ化したものです。MITRE ATT&CKの情報はセキュリティー・チームの助けとなります

  • サイバー攻撃を正確にシミュレートしてサイバー防御をテストする
     

  • より効果的なセキュリティー・ポリシー、セキュリティー管理、インシデント対応計画を策定する

  • サイバー脅威をより適切に検知・防止・軽減するためのセキュリティー・テクノロジーを選択・構成する

さらに、MITRE ATT&敵の戦術、テクニック、サブテクニックに関するCK分類法(下記参照)は、セキュリティー専門家がサイバー脅威に関する情報を共有し、脅威の予防について協力するために使用できる共通言語を確立します。

MITRE ATT&CK自体はソフトウェアではありません。しかし、 ユーザーとエンティティの行動分析(UEBA)拡張検知と応答(XDR)セキュリティー・オーケストレーション、オートメーション、応答(SOAR)セキュリティー情報とイベント管理(SIEM)などの多くのエンタープライズ・セキュリティー・ソフトウェアー・ソリューションは、MITRE ATT&CKの脅威情報を統合して脅威の検知と応答機能を更新・強化できます。

MITRE ATT&CK は、非営利団体の MITRE Corporation によって開発され、サイバーセキュリティー専門家の世界的なコミュニティからの意見をもとに MITRE によって維持されています。

MITRE ATT&CK Web サイトにアクセスしてください
脅威管理ワークショップ

IBM脅威管理コンサルタントと協力して、脅威管理プログラムをモダナイズし、テクノロジーとスキルのギャップを埋め、より多くの情報に基づいたリスクベースの意思決定を行いましょう。

関連コンテンツ データ侵害コスト・レポートに登録する
MITRE ATT&CK マトリックス

MITRE ATT&CK は、敵の戦術とテクニック (およびサブテクニック) をマトリックスに編成します。各マトリックスには、特定のドメインに対する攻撃に対応する戦術とテクニックが含まれています。

エンタープライズ マトリックス

エンタープライズ・マトリックスには、エンタープライズ・インフラストラクチャーに対する攻撃で使用されるすべての攻撃者のテクニックが含まれています。このマトリックスには、WindowsやMacOS、Linuxプラットフォームの他、ネットワークインフラやクラウド・プラットフォーム、 コンテナ 技術のサブマトリックスが含まれています。また、攻撃の前に使用される準備技術のPREマトリックスも含まれています。

モバイルマトリックス

モバイル マトリックスには、モバイル デバイスに対する直接攻撃と、モバイル デバイスへのアクセスを必要としないネットワーク ベースのモバイル攻撃で使用される手法が含まれています。この行列には、iOS および Android モバイル プラットフォームの部分行列が含まれています。

ICS マトリックス

ICXマトリックスには、産業用制御システム、具体的には工場、公共事業、輸送システム、その他の重要なサービスプロバイダーのオペレーションを制御または自動化するために使用される機械、デバイス、センサー、ネットワークに対する攻撃に使用される技術が含まれています。

MITRE ATT&CK タクティクス

各MITRE ATT&CK戦術は、特定の敵対的な目標、つまり攻撃者が特定の時点で達成したいことを表します。ATT&CK戦術は、サイバー攻撃の段階または段階に密接に対応しています。たとえば、エンタープライズ・マトリックスでカバーされるATT&CK戦術には次のようなものがあります。

  • 偵察:攻撃を計画するための情報を収集する
     

  • リソース開発:攻撃作戦をサポートするリソースの確立
     

  • 初期アクセス: 標的システムまたはネットワークに侵入
     

  • 実行 :侵害されたシステム上でマルウェアや悪意のあるコードを実行。

  • 永続性:侵害されたシステムへのアクセスを維持(シャットダウンまたは再構成の場合)。
     

  • 特権昇格:より高いレベルのアクセス権や権限を取得(例: ユーザー・アクセス権から管理者アクセス権への移行)。
     

  • 防御回避:システム内に入ったら検知を回避。
     

  • 認証情報へのアクセス:ユーザー名、パスワード、その他のログオン認証情報の盗用
     

  • 発見 : 標的の環境を調査して、計画された攻撃をサポートするためにどのリソースにアクセスまたは制御できるかを学習

  • 横方向の移動:システム内の追加リソースへのアクセスの取得
     

  • 収集 :攻撃目標に関連するデータの収集(例:ランサムウェア攻撃の一環としてのデータ暗号化やデータ流出など)

  • コマンド・アンド・コントロール:攻撃者がシステムを制御できるようにする秘密または検出不可能な通信を確立
     

  • 漏洩 : システムからデータを盗む。

  • 影響: データまたはビジネス プロセスの中断、破損、無効化、または破壊

繰り返しますが、戦術とテクニックはマトリックスごとに (およびサブマトリックスごとに) 異なります。たとえば、モバイル マトリックスには偵察とリソース開発の戦術は含まれていませんが、エンタープライズ マトリックスにはない他の戦術 (ネットワーク効果リモート サービス効果)が含まれています。

MITRE ATT&CK テクニック

MITRE ATT&CK戦術が攻撃者が達成したいことを示している一方、MITRE ATT&CKテクニックは、攻撃者がそれをどのように達成しようとするかを表します。例えば、ドライブバイ・コンプロマイズスピア・フィッシングは初期アクセス技術の一種であり、 ファイルレス・ストレージの使用は防御回避技術の一例です。

ナレッジ・ベースでは、各テクニックについて次の情報が提供されます。

  • 手法の説明と概要。
     

  • テクニックに関連する既知のサブテクニック。例えば、 フィッシングのサブテクニックには、 スピア・フィッシングの添付ファイルスピア・フィッシングのリンクサービス経由のスピア・フィッシングなどがあります。この記事の執筆時点で、MITRE ATT&CKは196の個別テクニックと411のサブテクニックを文書化しています。
     

  • 関連する手順の例。これらには、攻撃グループによる手法の使用方法や、手法の実行に使用される悪意のあるソフトウェアの種類が含まれる場合があります。
     

  • 緩和策 - セキュリティーの実践 (例: ユーザートレーニング) またはソフトウェア (例:ウイルス対策ソフトウェア、侵入防御システムなど)を使用してこの手法をブロックまたは対処できます。
     

  • 検出方法通常、これらは、セキュリティー・チームまたはセキュリティー・ソフトウェアが技術の証拠を監視できるログ・データまたはシステムのデータソースです。

その他の MITRE ATT&CK リソース

MITRE ATT&CKは、ナレッジ・ベースを表示・操作するための他の方法をいくつか提供します。マトリックスを介して特定の戦術やテクニックを研究する代わりに、ユーザーは以下に基づいて調査できます。

  • データ・ソース- セキュリティー・チームまたはセキュリティー・ソフトウェアが試行された攻撃手法の証拠を監視できるすべてのログ・データまたはシステムのデータ・ソースとデータ・コンポーネントのインデックス。
     

  • 緩和策—ナレッジ・ベースで参照されているすべての緩和策のインデックス。ユーザーはドリルダウンして、特定の緩和策がどの手法に対応しているかを学べます。
     

  • グループ—敵対的なグループと、そのグループが使用する攻撃戦術とテクニックのインデックス。この記事の執筆時点で、MITRE ATT&CKは138のグループを記録しました。
     

  • ソフトウェア- 攻撃者が特定の手法を実行するために使用する可能性のある悪意のあるソフトウェアまたはサービス (この記事の執筆時点では 740) のインデックス。
     

  • キャンペーン- 基本的には、サイバー攻撃またはサイバースパイ活動のキャンペーンのデータベースであり、それらを開始したグループ、使用された技術やソフトウェアに関する情報が含まれます。

MITRE ATT&CK ナビゲーター

MITRE ATT&CK Navigatorは、ナレッジ・ベースのデータを検索、フィルタリング、注釈付け、表示するためのオープンソース・ツールです。セキュリティー・チームは、MITRE ATT&CK Navigatorを使用することで、特定の脅威グループが使用する戦術やテクニックの迅速な特定と比較、特定のテクニックを実行するために使用されるソフトウェアの特定、特定のテクニックに対する緩和策の照合などを行うことができます。

ATT&CK Navigatorは、結果をJSONやExcelまたはSVGグラフィック形式(プレゼンテーション用)でエクスポートできます。セキュリティー・チームは、オンライン(GitHubでホストされている)を使用することも、ローカルのコンピューターにダウンロードすることもできます。

MITRE ATT&CK ユースケース

MITRE ATT&CK は、組織がセキュリティー運用を最適化し、全体的なセキュリティー体制を向上させるために使用する多数のアクティビティーとテクノロジーをサポートします。

アラートのトリアージ。脅威の検知と対応MITRE ATT&CKの情報は、一般的な企業ネットワーク上のソフトウェアやデバイスによって生成される大量のセキュリティー関連のアラートを選別して優先順位を付けるのに非常に役立ちます。実際、SIEM(セキュリティー情報とイベント管理)やUEBA(ユーザーとエンティティーの行動分析)、EDR(エンドポイントの検知と対応)、 XDR(拡張検知と対応)を含む多くのエンタープライズ・セキュリティー・ソリューションは、MITRE ATT&CKから情報を取り込み、それを使用してアラートをトリアージし、他のソースからのサイバー脅威インテリジェンスを強化し、インシデント対応プレイブックまたは自動化された脅威対応をトリガーできます。

脅威ハンティング脅威ハンティングとは、セキュリティー・アナリストが既存のサイバーセキュリティー対策をすり抜けた脅威をネットワークから探し出す、プロアクティブなセキュリティー演習です。敵対者の戦術やテクニック、手順に関するMITRE ATT&CK情報は、脅威ハンティングの開始または継続ために文字通り何百ものポイントを提供します。

レッドチーム/敵対者のエミュレーション。セキュリティー・チームは MITRE ATT&CK の情報を使用して、現実世界のサイバー攻撃をシミュレートできます。これらのシミュレーションは、導入されているセキュリティー・ポリシー、慣行、ソリューションの有効性をテストし、対処する必要がある脆弱性を特定するのに役立ちます。

セキュリティー・ギャップ分析とセキュリティー・オペレーション・センター(SOC)の成熟度評価。セキュリティー・ギャップ分析では、組織の既存のサイバーセキュリティーの実践とテクノロジーを現在の業界標準と比較します。SOCの成熟度評価では、サイバー脅威やサイバー攻撃を最小限の手動介入でまたは手動介入なしで一貫してブロックまたは軽減する能力に基づいて、組織のセキュリティー・オペレーション・センター(SOC )の成熟度を評価します。いずれの場合も、MITRE ATT&CK データは、組織がサイバー脅威の戦術、技術、緩和策に関する最新データを使用してこれらの評価を実施するのに役立ちます。

MITRE ATT&CKとサイバー・キル・チェーンの比較

MITRE ATT&CK と同様、ロッキード・マーチンの Cyber Kill Chain は、サイバー攻撃を一連の敵対的戦術としてモデル化しています。戦術の中には同じ名前が付いているものもあります。 しかし、それは類似性が終わるところです。

サイバー・キル・チェーンは、知識ベースというよりは説明的なフレームワークです。MITRE ATT&CKほどの詳細さはありません。MITRE ATT&CKには18の戦術(モバイルおよび ICS のみの戦術を含む)があるのに対して、戦術には偵察、兵器化、配送、悪用、設置、指揮統制、目標への行動の7つだけです。モバイルまたはICSプラットフォームに対する攻撃のための個別のモデルは提供されません。また、MITRE ATT&CKの戦術、テクニック、手順に関する詳細情報のレベルに近いものはカタログ化されていません。

もう一つ重要な違い:Cyber Kill Chainは、サイバー攻撃が成功するためには、敵の戦術を 、順番に達成しなければならないという仮定に基づいており、戦術の一つでもブロックすれば、「キルチェーンを断ち切る」ことができ、敵が最終目標を達成するのを阻止することができる。 MITRE ATT&CK はこのアプローチを採用しません。これは、セキュリティー専門家が、遭遇する状況がどのような状況であっても、個々の敵対的な戦術やテクニックを特定し、ブロックまたは軽減できるよう支援することに重点を置いています。

関連ソリューション
IBM Securityサービス

IBM Securityは、AIを取り入れたエンタープライズ・サイバーセキュリティー・ソリューションと高度なサービスの統合されたポートフォリオにより、お客様のビジネスの保護を支援します。

IBM Securityの詳細はこちら
IBM X-Force Redの敵対者シミュレーション・サービス

攻撃をシミュレートして、リスク検知とインシデント対応をテスト・測定・改善します。

X-Force Red敵対的シミュレーション・サービスはこちら
IBM X-Force Threat Intelligenceサービス 

世界クラスのインテリジェンス・アナリストのチームを活用して、脅威の状況がどのように変化しているか、また脅威アクターが使用している最新の手法を理解しましょう。

IBM X-Force Threat Intelligenceサービスはこちら
参考情報 サイバー攻撃とは何ですか?

サイバー攻撃は、コンピューター システムへの不正アクセスを通じて情報を盗んだり、公開したり、変更したり、無効にしたり、破壊したりする望ましくない試みです。

SIEMとは

セキュリティ情報およびイベント管理 (SIEM) は、コンプライアンスまたは監査を目的として、イベントのリアルタイムの監視と分析、およびセキュリティ データの追跡とログを提供します。

脅威ハンティングとは

脅威ハンティングは、組織のネットワーク内で未知の脅威、または現在進行中の未修復の脅威を特定するためのプロアクティブなアプローチです。

次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

サイバーセキュリティー・サービスはこちら Thinkニュースレターの購読