サイバー攻撃の攻撃プロセスを「MITRE ATT&CK」で理解しよう。どのようにサイバー攻撃から防御すればよいのか?

MITRE ATT&CK

MITRE ATT&CKは、実際のサイバー攻撃を元に攻撃者の戦術と技術に関するナレッジベースです。

https://attack.mitre.org/

ATT&CKナレッジベースは、民間企業、政府機関、サイバーセキュリティ製品・サービスのコミュニティにおいて脅威モデルや防御方法を開発するための基盤として利用されており、ATT&CK はMITRE のミッションである「より安全な世界のために問題を解決する」ことを実現するためコミュニティが協力してより効果的なサイバーセキュリティを開発しています。

ATT&CK は無料で公開されており誰でも利用することができるものとなっています

ここでは実際のサイバー攻撃の攻撃プロセスがどのように行われているのかを「MITRE ATT&CK」で理解していただき、効果的なサイバー攻撃対策について見直すきっかけにしてもらえればと思います。

もしかすると今行っているサイバー攻撃対策は、実際の攻撃に当てはめると無意味なものである可能性もあります。

ATT&CKは敵をシュミレーションするテストを計画する際にもインシデント検知チームが進捗状況を確認する際にも不可欠なツールとなっています。

さらにATT&CKはmacOSやLinuxに対して使用する技術、モバイルデバイスに対して使用する技術、攻撃者が攻撃前の作戦を計画・実施する戦略なども取り入れて拡張しつづけています。

ATT&CKとは?

ATT&CKは主に攻撃手法のナレッジベースであり、Windowsなどの特定のプラットフォームに対して使用可能な攻撃手法と内訳と分類を行っています

攻撃者が使用するツールやマルウェアを解説するものではなく、攻撃者が攻撃中にシステムにどのように攻撃してくるのかに焦点を当てています。

各テクニックには、レッドチームやペネトレーション担当者が攻撃技術の本質を理解するために、また防御側が攻撃技術を使用することにより発生するイベントやログなどに関係するものを理解するための関連する情報が含まれています。

ATT&CKのTactics(戦術)について

ATT&CKのTactics(戦術)は、ATT&CKテクニックを行う「理由」を表しています。

Tactics(戦術)はある行動を行うための敵の戦術的な目的であり、個々のテクニックのためのカテゴリとして機能し、アクセスの持続、情報発見、横方向移動、ファイル実行、データ流出など攻撃者が攻撃中に行う行動の内容をカバーしています。

実際のサイバー攻撃における戦術(プロセス)は後述を参考にしてください。

ATT&CKのTechniques(テクニック)について

ATT&CKのTechniques(テクニック)とは、攻撃者がある行動を行うことで戦術的な目的を達成することができる「方法」を表しています。

例えば、攻撃者はネットワーク内で認証情報を入手するためにダンプを行い、入手した認証情報を元に横移動を行うことができます。Techniques(テクニック)は、敵対者がアクションを実行することで得られる「何」を表すこともあります。

これにより、攻撃者が特定の行為によってどのような種類の情報を得ようとしているのかを明らかにすることができます。

戦術目標を達成するためには多くの方法(Techniques(テクニック))を使用するため、各Tactics(戦術)カテゴリには複数のTechniques(テクニック)が存在することが多いです。

実際のサイバー攻撃におけるテクニックは後述を参考にしてください。

ATT&CKマトリックス

Tactics(戦術)とTechniques(テクニック)の関係は、ATT&CKマトリックスで可視化することができます。

例えば、ターゲット環境に残留する戦術「Persistence(アクセスの維持)」の下に「AppInit DLL」、「New Service」、「Scheduled Task」などの一連のテクニックがあります。

これらはそれぞれ、攻撃者がPersistenceという目標を達成するために使用する可能性のある1つのテクニックです。

ATT&CKマトリクスは、ATT&CKの中でも最も広く認知されているもので以下のように表として示されています。

ATT&CKマトリクスは、環境の防御範囲やセキュリティ製品の検知能力、インシデントやレッドチームの活動結果などを示すのによく使用されており、ATT&CKの中でも最も広く知られているものになります。

ATT&CKのTactics(戦術)一覧

ATT&CKのTactics(戦術)で紹介されているものはEnterpriseとMobileの2種類あり、この2つはほとんどの項目が重複していますが、Mobileだけにある戦術もあります。

基本的な攻撃プロセスは上から下のゴールに向かって攻撃が展開されますので、どのような攻撃プロセスが行われるのかに着目しましょう。

Enterprise tactics

IDNameDescription
TA0043Reconnaissance(偵察)攻撃者が作戦を計画するために使用できる情報を集めようとしている
TA0042Resource Development(リソース開発)攻撃者が作戦を遂行するために使用できるリソースを開発しようとしている
TA0001Initial Access(初期アクセス)攻撃者がネットワークに侵入しようとしている
TA0002Execution(実行)攻撃者が悪意のあるコードを実行しようとしている
TA0003Persistence(アクセスの維持)攻撃者が侵入できるアクセスを維持しようとしている
TA0004Privilege Escalation(権限昇格)攻撃者がより高いレベルの権限を得ようとしている
TA0005Defense Evasion(防御回避)攻撃者が発見されるのを避けようとしている
TA0006Credential Access(認証搾取)攻撃者がアカウント名やパスワードを盗もうとしている
TA0007Discovery(環境把握)攻撃者が侵入した環境を把握しようとしている
TA0008Lateral Movement(横展開)攻撃者が侵入した環境の更に奥に移動しようとしている
TA0009Collection(情報収集)攻撃者が目的のために必要なデータを集めようとしている
TA0011Command and Control(C&C)攻撃者が用意したC&Cシステムと通信してシステムを制御しようとしている
TA0010Exfiltration(データ漏えい)攻撃者がデータを盗もうとしている
TA0040Impact(実被害)攻撃者がシステムやデータを操作したり、妨害したり、破壊しようとしている

Mobile Tactics

IDNameDescription
TA0027Initial Access(初期アクセス)攻撃者がネットワークに侵入しようとしている
TA0041Execution(実行)攻撃者が悪意のあるコードを実行しようとしている
TA0028Persistence(アクセスの維持)攻撃者が侵入できるアクセスを維持しようとしている
TA0029Privilege Escalation(権限昇格)攻撃者がより高いレベルの権限を得ようとしている
TA0030Defense Evasion(防御回避)攻撃者が発見されるのを避けようとしている
TA0031Credential Access(認証搾取)攻撃者がアカウント名やパスワードを盗もうとしている
TA0032Discovery(環境把握)攻撃者が侵入した環境を把握しようとしている
TA0033Lateral Movement(横展開)攻撃者が侵入した環境の更に奥に移動しようとしている
TA0035Collection(情報収集)攻撃者が目的のために必要なデータを集めようとしている
TA0037Command and Control(C&C)攻撃者が用意したC&Cシステムと通信してシステムを制御しようとしている
TA0036Exfiltration(データ漏えい)攻撃者がデータを盗もうとしている
TA0034Impact(実被害)攻撃者がシステムやデータを操作したり、妨害したり、破壊しようとしている
TA0038Network Effects(ネットワーク影響)攻撃者がデバイスとの間のネットワークトラフィックを傍受または操作しようとしている
TA0039Remote Service Effects(リモートサービス影響)攻撃者がリモートサービスを使用してデバイスを制御または監視しようとしている

ATT&CKのTechniques(テクニック)一覧

ATT&CKのTechniques(テクニック)で紹介されているものはTacticsと同じくEnterpriseとMobileの2種類あります。

どのような攻撃手法が行われるのかチェックしましょう

Enterprise Techniques

IDNameDescription
T1548Abuse Elevation Control Mechanism
T1134Access Token Manipulation
T1531Account Access Removal
T1087Account Discovery
T1098Account Manipulation
T1583Acquire Infrastructure
T1595Active Scanning
T1071Application Layer Protocol
T1010Application Window Discovery
T1560Archive Collected Data
T1123Audio Capture
T1119Automated Collection
T1020Automated Exfiltration
T1197BITS Jobs
T1547Boot or Logon Autostart Execution
T1037Boot or Logon Initialization Scripts
T1217Browser Bookmark Discovery
T1176Browser Extensions
T1110Brute Force
T1612Build Image on Host
T1115Clipboard Data

コメントを残す

メールアドレスが公開されることはありません。