CISA

米国サイバーセキュリティ & インフラストラクチャ セキュリティ エージェンシー (CISA) は、防御側とセキュリティ アナリストが MITRE ATT&CK マッピング レポートを迅速に生成するのに役立つオープンソース ツールである「Decider」をリリースしました。

MITRE ATT&CK フレームワークは、サイバー攻撃の観察に基づいて敵の戦術と手法を特定および追跡するための標準であり、防御側はそれに応じてセキュリティ体制を調整できます。

共通の標準を持つことで、組織は新たに発見された脅威や出現した脅威に関する包括的で正確な情報を迅速に共有し、その有効性を妨げることができます。

CISA は最近、MITRE ATT&CK マッピングに関する「ベスト プラクティス」ガイドを発行し、標準を使用することの重要性を強調しました。

Decider は、Homeland Security Systems Engineering and Development Institute および MITRE と提携して開発され、 CISA の GitHub リポジトリから無料で利用できるようになりました。

「本日、CISA は Decider をリリースしました。これは、サイバーセキュリティ コミュニティが攻撃者の行動を MITRE ATT&CK フレームワークにマッピングするのに役立つ無料のツールです」とCISA の発表を読みます。

「Homeland Security Systems Engineering and Development Institute (HSSEDI) および MITRE と提携して作成された Decider は、ガイド付きの質問、強力な検索およびフィルター機能、およびユーザーが一般的に使用される形式に結果をエクスポートできるカート機能により、マッピングを迅速かつ正確にするのに役立ちます。 .”

このツールは、観察された敵対者の活動に関するユーザーガイドの質問を行い、対応する MITRE ATT&CK レポートを生成します。

ディサイダーに関する質問
ディサイダーに関する質問(CISA)

たとえば、「敵対者は何をしようとしているのか?」という質問が考えられます。考えられる答えは「環境内で最初の足がかりを得る」であり、これは初期アクセス戦術に対応します。

質問は、すべての戦術のサブテクニックに到達するまで、または特定のアクティビティに適合するサブテクニックがない場合は少なくともテクニックに到達するまで続きます。

特定されたサブテクニック
識別されたサブテクニック(CISA)

防御側は、生成された MITRE ATT&CK レポートを使用して、ターゲットを絞った防御戦術を開発したり、共通の形式でエクスポートして業界内の他のユーザーと共有したりして、特定された脅威の拡散を防ぐことができます。

CISA が Decider のリリースと同時に公開されたファクト シートで説明しているように、MITRE ATT&CK マッピング レポートは、次のような脅威対応の次の段階に進むのに役立ちます。

  • ATT&CK Navigator で調査結果を視覚化する
  • 脅威インテリジェンス レポートを公開して、調査結果を他のユーザーと共有する
  • それらの技術を検出するためのセンサーと分析を見つける
  • 技術が最初から機能するのを防ぐのに役立つ軽減策を発見する
  • 防御を検証するための脅威エミュレーション計画のコンパイル

CISA は、サイバーセキュリティ コミュニティに対し、Decider をダウンロードして使用し、 フィードバック、バグ レポート、さらには機能の提案を送信するよう強く求めています。