Azure 研究プロジェクトのセキュリティ スタック マッピングが本日公開され、組み込みの Azure セキュリティ コントロールを、それらが軽減する MITRE ATT&CK® 手法にリンクするマッピングのライブラリが導入されました。 Microsoft は再び、 Center for Threat-Informed Defenseおよび他のセンター メンバーと協力してマッピングを公開しました。これは、ATT&CK フレームワークの使い慣れた言語と、組織の攻撃面を保護するために Azure が提供する具体的なカバレッジを組み合わせたものです。 Microsoft は、Azure のこのようなマッピングを見ることへのコミュニティの関心が、この取り組みのパイロット クラウド プラットフォームとしての使用につながったことを嬉しく思います。
このプロジェクトは、Azure でネイティブに利用できるカバレッジの範囲について積極的なセキュリティ認識を求めている組織の情報ギャップを埋めることを目的としています。このプロジェクトでは、特定のテクノロジ プラットフォーム (この場合は Azure) の組み込みのセキュリティ コントロールが、資産を標的とする可能性が最も高い攻撃者の戦術、技術、および手順 (TTP) から資産を保護する方法を示す独立したデータを作成することによってこれを行います。
Microsoft は、Azure に組み込まれている一連のセキュリティ コントロールの拡張に取り組んできましたが、これは顧客環境を保護するために非常に効果的ですが、組織の Azure 資産全体を理解するのは非常に難しいと感じる可能性があります。 MITRE は、敵対者の TTP を明らかにするための、非常に尊敬され、コミュニティがサポートするツールに ATT&CK フレームワークを開発しました。この 2 つを組み合わせることで、組織は、利害関係者とのコミュニケーションを容易にする使い慣れた語彙で、今日の脅威に対する準備状況を理解するのに役立つビューを提供します。
マッピング ファイルとは別に、主要なプロジェクトの成果物には、プロジェクト チームがマッピングを評価した方法を説明する方法論と、マッピング スコアがどのように決定されたかを説明するスコアリング ルーブリックが含まれます。方法論とスコアリング ルーブリックに付随するのは、各マッピングを格納する YAML データ形式と、対応する ATT&CK Navigator レイヤー ファイルを検証して生成し、視覚化を容易にするマッピング ツールです。 ATT&CK Navigator ビューは、複数のセキュリティ コントロールを同時に評価して、カバレッジ機能の類似点または相違点を特定するのに特に役立ちます。
Azure の組み込みのセキュリティ コントロールは、幅広い ATT&CK 手法に対応しています
セキュリティ スタック マッピング研究プロジェクトは、ATT&CK 手法で説明されているように、テクノロジ プラットフォームの組み込みセキュリティ コントロールが敵対者の TTP をどのように軽減するかを説明するために利用できるデータの不足に対応して開始されました。 Azure は、この調査の最初のイテレーションに選ばれました。このセンターは、将来、他のテクノロジ プラットフォームでも同じプロセスを繰り返す予定です。
この方法論では、独立して機能するセキュリティ制御と、別の製品またはサービスの一部として有効にできる機能を区別し、前者のみをマッピングの候補として選択します。
スコアリング ルーブリックは、次の 3 つの主な要素で構成されます。
- セキュリティ コントロールの意図された機能 – 敵対者の行動を保護、検出、または対応することを意図しているかどうか。
- マッピングされた ATT&CK 手法のコントロールのカバレッジ レベル (最小限、部分的、または重要)。
- マッピングを評価するための考慮事項として有用であることが判明した要因 — カバレッジ、一時的 (リアルタイム、定期的、または外部トリガー)、および精度 (偽陽性率または偽陰性率など)。
マップされた Azure セキュリティ コントロールのリストは、Microsoft およびその他のセンター メンバーからの情報を基に、センターによって編集されました。リストの一部は、Microsoft によって以前に公開されたAzure セキュリティ ベンチマーク (v2)に基づいており、Azure 上のワークロード、データ、およびサービスのセキュリティを向上させるためのベスト プラクティスと推奨事項に関するガイダンスを提供します。現在、多くの組織が ATT&CK を使用して全体的なセキュリティ体制を追跡しているため、Microsoft は、このプロジェクトを通じて作成された既製のマッピングを通じて組織をサポートできることを嬉しく思います。
マップされた Azure セキュリティ コントロールのリストについては、 センターの Azure コントロールのリスト を参照してください。
各コントロールは 1 つまたは複数の手法にマッピングされ、主題タグを使用して別のカバレッジ ビューに分類されました。たとえば、「Analytics」タグは、次の一連のコントロールを返します。
- ネットワーク層の Azure アラート
- Azure ネットワーク トラフィック分析
- アズールセンチネル
一方、「Containers」タグは次のセットを返します。
- コンテナー レジストリの Azure Defender
- Azure Defender for Kubernetes
- Docker ホストの強化
マイクロソフトは以前、センターおよび他のセンター メンバーと提携して、 コンテナ マトリックス用の ATT&CK を開発しました。これは、 Azure Security CenterチームがAzure Defender for Kubernetesのために開発したKubernetes 用の脅威マトリックスを拡張の出発点として使用しました。上記のコンテナ セキュリティ コントロールのマッピングされた手法は、2021 年 4 月の ATT&CK v9 のリリースの一環として、コンテナ用 ATT&CK マトリックスに新たに追加されたものの一部を参照していないことに気付くかもしれません。この ATT&CK バージョンはプロジェクトの途中でリリースされたため、チームは代わりに ATT&CK v8 に焦点を当てることを選択し、マッピングを ATT&CK v9 に更新する計画が既に進行中です。
テクノロジー プラットフォーム マッピングの始まりにすぎません
Azure 研究プロジェクトのセキュリティ スタック マッピングが成功裏に完了したことで、Microsoft とその他の業界は、組み込みのセキュリティ コントロールを ATT&CK 手法にマッピングするために使用できる、一貫した反復可能なアプローチを利用できるようになりました。 Microsoft が Azure で顧客のワークロード、データ、およびサービスを保護するために利用できる組み込みツールを拡張し続け、MITRE が ATT&CK マトリックスによって表される攻撃者の TTP の数を拡大し続けているため、組織が作成するのに役立つ新しいマッピングが利用可能になります。セキュリティ カバレッジ レベルの感覚。マイクロソフトは、このようなコミュニティの取り組みを引き続きサポートし、可能な限りセキュリティ カバレッジの理解とコミュニケーションを容易にします。
Microsoft セキュリティ ソリューションの詳細については、当社のWeb サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments