ATT&CK は、脅威のライフサイクルにおける敵対行為の行動と分類を詳細に説明することで、脅威インテリジェンスとセキュリティオペレーション/アーキテクチャを改善します。
ATT&CK フレームワークは、2 つの部分から構成されています。1 つは、企業の IT ネットワークやクラウドに対する行動を網羅した詳細なナレッジベースである「ATT&CK for Enterprise」で、もう 1 つは、モバイル端末に対する行動に焦点を当てた「ATT&CK for Mobile」です。
MITRE は、高度標的型攻撃 (APT) の一部である共通の戦術、技術、手順 (TTP) を文書化する手段として、2013 年に ATT&CK を作成しました。ATT&CK は、進化する攻撃活動や攻撃者の行動を把握して防御することに取り組んでいる防御者や研究者のための、共通の分類や関係モデルを作成する手段として人気が高まり、業界からの支持も得ています。
このフレームワークでは、4 つの主要な問題に取り組んでいます。
IP アドレス、ドメイン、レジストリキー、ファイルハッシュなどの典型的な指標は、攻撃者によってすぐに変更されてしまうため、検知の際にはあまり役に立ちません。これらの指標は、攻撃者が異なるシステムとどのようにやり取りするかを表すものではなく、ある時点であるシステムとのやり取りがあったことを示すだけです。敵対的な行動の可能性を検出することで、一時的で信頼性の低い戦術や技術に調査の焦点を合わせることができます。
攻撃ライフサイクルやサイバーキルチェーンの概念は、行動を防御に関連付けるには少し大まかすぎるため、このような抽象度の高い概念は、TTP を新しいタイプのセンサーにマッピングするのには役立ちませんでした。
観察されたインシデントやキャンペーンに基づいて TTP を作成し、その作業が適用可能であることを示すことが重要です。
TTP は、同じ語彙を使用することで、異なるタイプの攻撃者グループ間で比較可能である必要があります。
ATT&CK フレームワークは、ハッカーが組織に対して使用する行動や技術に関する確かな情報源として機能します。このフレームワークでは、曖昧さを排除し、業界の専門家向けの共通語彙を概説しています。これにより、攻撃者に対抗し、実用的なセキュリティ対策を適用する方法についての議論や共同作業が可能になります。
ATT&CK は、脆弱な環境だけが被害を受ける攻撃やターゲットを絞っていない攻撃に有効な脅威インテリジェンスやツールのテクニックについても、厳密かつ詳細に説明しています。これが今日の典型的なその他の指標をどのように補完するかを、「痛みのピラミッド」で説明しています。
「痛みのピラミッド」は侵害の兆候 (IoC) の種類を表したもので、脅威インテリジェンスの潜在的な有用性を測定し、インシデント応答と脅威追跡に焦点を当てています。
ハッシュ値は、MD5 や SHA などのアルゴリズムによって生成され、特定の悪意のあるファイルを表します。ハッシュは、攻撃者が侵入のために使用するマルウェアや不審なファイルへの特定の参照を提供します。
IP アドレスは、悪意のある攻撃元を示す最も基本的な指標の一つですが、プロキシサービスを利用して IP アドレスを借用し、頻繁に IP アドレスを変更することも可能です。
ドメイン名やある種のサブドメインには、登録され、利用料が支払われ、ホストされているものがありますが、登録基準がかなり緩和されている DNS サービスプロバイダーがたくさんあります。
ネットワークアーティファクトとは、悪意のあるユーザーを識別し、正当なユーザーと区別することができるアクティビティの一部です。標準的なものとしては、URI パターンや、ネットワークプロトコルに埋め込まれた C2 情報などがあります。
ホストアーティファクトとは、ホストに対する敵対的行為によって引き起こされる観測値のことで、悪意のある活動を識別し、正当な活動と区別するためのものです。このような識別子には、マルウェアによって作成されることが知られているレジストリキーや値、特定の領域にドロップされたファイルやディレクトリなどがあります。
ツールとは通常、攻撃者がターゲットに対して使用するソフトウェアの種類のことです。また、既存のコードやソフトウェアとやり取りするために持ち込まれる一連のツールであることもあります。ツールには、スピアフィッシング用の悪意のある文書を作成するユーティリティや、C2 やパスワードクラッカーを確立するバックドア、その他の危害を加えるユーティリティなどがあります。
ピラミッドの頂点に位置するのが、戦術、技術、手順です。これは、攻撃者がミッションを達成するための、最初の調査段階からデータの流出までの間のすべてのプロセスです。
ATT&CK Matrix は、戦術と技術の関係を可視化したものです。戦術とは、攻撃者がなぜその行動をとるのかという上位の考え方であり、技術とは、その戦術を支えるために攻撃者がとる行動のことです。
エンタープライズ ATT&CK フレームワークには、14 の戦術があり、これは方程式の「Y」の部分と考えられます。戦術は以下のように分類されています。
- 偵察
- リソース開発
- 初期アクセス
- 実行
- 永続
- 権限昇格
- 防御回避
- 認証情報アクセス
- Discovery
- 水平展開
- 情報収集
- コマンドとコントロール
- 情報送信
各戦術には、マルウェアや脅威グループが標的を侵害して目的を達成するために使用する一連の技術が含まれています。ATT&CK フレームワークの戦術は 11 種類ですが、注意すべきテクニックは約 300 種類あります。
ナレッジベースの各技術には、必要なパーミッション、どのプラットフォームにその技術がよく使われているか、その技術が使われているコマンドやプロセスを検出する方法など、各状況で変わる情報が含まれています。
潜在的な脅威に基づいて、防御策が示されます。また、グループに共通する特徴や、現在の防御力と一般的な脅威とのギャップ分析に基づいて、技術の優先順位を決定します。
パープルチーミング、データソース、テスト、カスタムアナリティクス、OOB アナリティクス。
ブルーチームとの対話、レッドチームのさまざまな行動、CTI に基づく敵のエミュレーション、アトミック技術のテスト。
実際の使用状況に基づいて対象範囲のギャップを評価し、単一の技術、緩和策、複数の技術にわたる忠実度など、緩和策と投資の優先順位を決定します。
ATT&CK の重要な点は、サイバー脅威インテリジェンス (CTI) をどのように組み込んでいるかです。ATT&CK は、公開されている報告書に基づいて攻撃者の行動を文書化し、どのグループがどのような技術を使用しているかを示します。通常、インシデントや単一のグループを記録した個別のレポートがありますが、ATT&CK は活動の種類や技術に焦点を当て、攻撃者やグループを活動と関連付けます。これにより、技術者は使用率の高い技術に焦点を当てることができます。
今日のデジタル社会では、組織がセキュリティイベントに備え、識別し、最小化し、回復する能力が成功の鍵を握っています。そのため、MITRE ATT&CK を利用してセキュリティインシデント対応を補強することで、サイバー攻撃に対する高度な脅威モデルや方法論を開発するためのリソースを利用して、ビジネスの備えを確実にするのに役立ちます。
MITRE ATT&CK フレームワークを利用することで、セキュリティチームはインシデント発生時の分析と対応を改善することができます。また、侵害の兆候を正確に把握し、特定の脅威に優先順位をつけることができ、ATT&CK プレイブックに記載されている戦術やその他のリソースを用いて、自動化されたワークフローを改善することができます。
MITRE ATT&CK は、Threat Intelligence と SIR モジュールにまたがってビジネスを強化し、インシデント応答を向上させ、貴重な資産を保護します。