Center for Threat-Informed Defense、Microsoft、および業界パートナーが、防御側の MITRE ATT&CK® マトリックス評価を合理化

news

MITRE Center for Threat-Informed Defense 、マイクロソフト、およびその他の業界パートナーは、MITRE ATT&CK® のトップ テクニック リストを開発するための反復可能な方法論を作成するプロジェクトで協力しました。この方法は、 ATT&CK フレームワークのナビゲーションを容易にすることを目的としています。これにより、新しい防御者が組織の環境に関連する重要な手法に集中し、経験豊富な防御者が組織のニーズに応じて ATT&CK 手法の優先順位を付けるのに役立ちます。

ATT&CK フレームワークは、特定の状況でナビゲートするのが難しい可能性のある特定の手法の広範なリストを提供します。このプロジェクトは、攻撃シナリオや環境に関係なく、フレームワークを使用する防御者が注目すべきテクニックに集中できるようにすることを目的としています。たとえば、22 件のランサムウェア攻撃に関する調査を使用して、反復可能な手法により、上位 10 のランサムウェア手法リストが特定されました。

このプロジェクトには、防御側の入力に基づいて技術に優先順位を付けようとするカスタマイズ可能な Web ベースの計算機の開発も含まれており、さまざまな環境やシナリオに方法論をさらに簡単に適用できるようになっています。この計算機を使用して得られる洞察の例として、プロジェクトは、次の手法がほとんどの攻撃と環境に存在することを発見しました。

この方法論は脅威の継続的な進化を考慮しているため、組織固有の環境に合わせた基準の作成をサポートします。これにより、防御側は脅威の傾向を継続的に特定し、検出範囲のリソースをどこに集中させるかを決定できます。

トップ ATT&CK テクニックの確立

上位の ATT&CK テクニックを特定する方法論は、テクニックの重要性を判断するために 3 つの属性 (普及率、チョーク ポイント、実行可能性) を考慮に入れました。

普及率は、時間の経過とともに攻撃者が使用する特定の ATT&CK テクニックの頻度です。技術の頻度が高いほど、複数の攻撃シナリオで使用される可能性が高くなります。したがって、有病率ランキングが高い攻撃に遭遇する可能性が高くなります。普及率は、2019 年 4 月から 2021 年 7 月までのセンターの Sightings Ecosystemプロジェクトを使用して決定され、184 の固有の ATT&CK テクニック全体で 110 万回の攻撃の遭遇が記録されました。基準として普及率を含めることは、より少ない手法でより多くの攻撃をカバーすることを目的としています。

2019 年 1 月から 2021 年 4 月までに観測された攻撃の数を表すヒストグラムで、有病率を示します。このチャートは、もともと MITRE Sightings Ecosystem プロジェクトからのものです。
図 1. 経時的な攻撃 (MITRE Sightings Ecosystem Project)

チョーク ポイントは、収束点または発散点であるため、攻撃者を混乱させる手法です。現実のインシデントでは、チョーク ポイントは、攻撃における 1 対多または多対 1 の動作またはステップとして現れます。この基準を含めることは、攻撃チェーン全体でアクティビティをリンクするのに役立つ重要な手法を特定することを目的としています。

攻撃における多対 1 および 1 対多の動作に基づいて考えられるチョーク ポイントを示す図。これは、1 対多の動作に分岐する可能性のあるチョーク ポイントである 1 つの手法に収束する多対 1 の動作の下でのいくつかの手法を示しています。
図 2. MITRE ATT&CK Technique プロセス インジェクション (T1055) は、チョーク ポイントの例です。

アクション可能性は、防御側が技術を検出または軽減する機会です。これは、公開されているセキュリティ管理 ( CIS Critical Security ControlsNIST 800-53 Security Controlsなど) と分析 (Splunk 検出、Elastic、Sigma) に基づいています。

図 3. 検出から軽減へのマッピング (MITRE Top ATT&CK Techniques Methodology)

ランサムウェア攻撃における上位 10 の手法

方法論の作成に続いて、この新しいアプローチを実際にテストするために、トップ 10 のランサムウェア手法リストが作成されました。このリストを作成するために、Microsoft と、この共同作業に関与した他のパートナーは、過去 3 年間に蔓延したランサムウェア攻撃を分析しました。合計 22 の特定のランサムウェア攻撃が、特に ATT&CK 技術の使用について調査されました。この調査に基づくと、ランサムウェア攻撃の上位 10 の手法は次のとおりです。

Web 電卓による組織固有のトップ テクニック リスト

この共同プロジェクトには、よりカスタマイズ可能でカスタマイズされたトップ テクニック リストのための、 動的で使いやすい計算機の作成も含まれていました。このカスタマイズ可能性により、組織は、各組織の規模と成熟度に基づいて独自の優先順位を設定できます。

計算機は、次のようなさまざまな入力を考慮します。

  • NIST 800-53 コントロール (すべての NIST コントロール、または AC-2、CA-2 などの特定のコントロール)
  • CIS セキュリティ コントロール (すべての CIS コントロール、または 1.1、2.5 などの特定のコントロール)
  • 検出分析 ( MITRE Cyber Analytics Repository 、Elastic、Sigma、Splunk)
  • 環境で使用されるオペレーティング システム
  • ネットワーク内のネットワーク、プロセス、ファイル、およびクラウド サービスの監視機能

この計算機を使用すると、組織は、セキュリティ運用の成熟度や使用するツールなどのさまざまな側面に基づいて、調整された手法リストを作成できます。これは、ランサムウェア活動に関する検出および保護機能を評価および改善し、最も実用的な TTP に優先順位を付けようとしている企業にとって、優れた出発点として役立ちます。

実用化と今後の課題

トップ テクニック リストの方法論と洞察には、トリアージ中のアクティビティの優先順位付けを支援するなど、多くの実用的なアプリケーションがあります。より現実世界のシナリオに適用されるため、重点分野を特定し、これらの TTP と蔓延している脅威アクターの行動に関するカバレッジを改善し続けることができます。基準を精緻化することで、結果の精度をさらに高め、このプロジェクトをより顧客に焦点を当てたものにし、顧客の即時の行動に関連するものにすることができます。次の領域の改善は、特に有益です。

  • 機械学習モデルを追加してチョーク ポイント分析を微調整し、攻撃者がたどる可能性のある実行可能なすべてのパスを視覚化および予測します。これを使用して、対応する攻撃グラフを作成できます。この攻撃グラフをユーザーが実装したフィルターと結び付けて、組織の現在の機能に基づいて関連するパスを特定できます。 Attack Flow プロジェクトとの将来の統合は、この強化されたチョーク ポイント分析への一歩となる可能性があります。
  • 「ダメージの影響」や「重大性」などの主観的なフィルターを特定するための指標を開発する
  • この現在の分析とグローバル データ セットの結果を比較して、現在の調査結果の正確性を検証します。
  • 有病率データを強化して、広範でタイムリーなデータセットが分析を推進していることを確認します。 Sightings Ecosystem プロジェクトへのコミュニティの貢献は非常に重要です。

このプロジェクトのような業界全体のコラボレーションからの洞察は、 Microsoft 365 DefenderMicrosoft Sentinelなどのソリューションを通じて Microsoft が顧客に提供する保護を強化するのに役立ちます。これらのソリューションは、Microsoft が毎日処理する何兆ものシグナルと、脅威の状況を監視する専門家によってさらに情報が提供されます。たとえば、 ランサムウェア エコシステムに対する包括的な見解と調査により、人が操作するランサムウェアに対するクロスドメイン防御を実現し、ゼロ トラストアプローチを活用して攻撃対象領域を制限し、ランサムウェア攻撃が成功する可能性を最小限に抑えることができます。

最近のMITRE Engenuity ATT&CK® 2022 Evaluationsで、Microsoft は攻撃チェーンのすべての段階で完全な可視性と分析を示し、100% の保護範囲をカバーし、上位 10 位のランサムウェア内の手法を含む初期段階 (ランサムウェア前段階) ですべての段階をブロックしました。テストされたテクニックのリスト。

このコラボレーションとイノベーションは、製品やサービスの一部として MITRE ATT&CK フレームワークを使用するセキュリティ コミュニティのすべての人に利益をもたらします。また、MITRE ATT&CK フレームワークを自社の製品やサービスの一部として使用する人々だけでなく、当社のプラットフォーム上にサービスを構築してすべての固有のニーズを満たすパートナーの貴重なエコシステムにも利益をもたらします。組織は、公共の利益のために脅威情報に基づいた防御を推進します。 Microsoft は、Center for Threat-Informed Defense の研究スポンサーであり、公共の利益のために脅威に基づく防御の最先端を前進させるために提携しています。 Microsoft のコア原則の 1 つは、すべての人にセキュリティを提供することです。今後も MITRE やより広範なコミュニティと提携して、このようなプロジェクトに協力し、洞察とインテリジェンスを共有していきます。

ギーラエル・オルテガ、アリン・ナグラージ、デヴィン・パリク
Microsoft 365 Defender 研究チーム

参照: https://www.microsoft.com/en-us/security/blog/2022/05/11/center-for-threat-informed-defense-microsoft-and-industry-partners-streamline-mitre-attck-ディフェンダーのマトリックス評価/

Comments

Copied title and URL