MITRE Engenuity ATT&CK® Evaluation は、Microsoft Defender for Endpoint がプラットフォーム全体で高度な攻撃を阻止することを証明します

Microsoft は 3 年連続で、独立した MITRE Engenuity ATT&CK (Adversarial Tactics、Techniques、およびCommon Knowledge)評価で業界をリードする防御機能を実証することに成功しました。

攻撃対象領域がほぼ毎日進化するにつれて、攻撃者は、エンドポイント、ID、電子メール、ドキュメント、クラウド アプリなどのドメイン全体を対象としたより高度な技術を作成しており、これらのドメイン全体で脅威データを自動的に分析する機能を備えたセキュリティ ソリューションを必要としています。攻撃の全体像を構築します。 2020 ATT&CK Evaluationsは、業界で FIN7およびCarbanak (Carban Spider とも呼ばれる)として知られている高度な脅威アクターに集中していました。今年の厳密な評価には、Windows クライアント エンドポイント、サーバー、そして初めて Linux デバイスの両方に影響を与える、攻撃チェーン全体で 174 を超えるステップの検出と保護のシミュレーションの新しいベンチマークが含まれていました。

このクロスプラットフォームの高度な攻撃シミュレーションは、検出と保護の重要性を大幅に高めました。その結果、Microsoft Defender for Endpoint がすべての主要な攻撃段階で悪意のあるアクティビティを効果的に検出して防止したことを報告できることを誇りに思います。この評価では、Microsoft Defender for Endpoint の Linux 機能をテストすることができました。 MITRE Engenuity は、シミュレートされた Carbanak および FIN7 攻撃をエンドツーエンドで複数の攻撃ドメインにわたって実行しました。つまり、防御側は Microsoft 365 Defender の追加機能の恩恵を受け、単なるエンドポイント保護を超えた可視性を得ました。 MITRE Engenuity の ATT&CK Evaluations の結果は、Microsoft が以下を提供することを示しました。

• 業界をリードする保護: Microsoft の業界をリードする機能は、疑わしいアクティビティを迅速に特定し、リアルタイムの封じ込めを提供して、攻撃を迅速に阻止します。
• Linux での優れた検出と保護: Microsoft Defender for Endpoint は Linux 上のすべてをブロックし、Linux ファイル サーバーのアクティビティを包括的にキャプチャする優れた検出、保護、および可視性を提供します。
• 攻撃チェーン全体の優れた検出と可視性:世界クラスの SecOps エクスペリエンスと Microsoft 365 Defender 機能により、ドメイン全体の完全な攻撃ストーリーが示され、すべてのアクティビティが 2 つのインシデントに迅速に関連付けられました。

図 1. MITRE Engenuity の ATT&CK 評価の結果は、Microsoft が業界をリードする保護、Linux での優れた検出と保護、および攻撃チェーン全体での優れた検出と可視性を提供することを示しました。

Microsoft が ATT&CK 評価に参加したのは、実際の攻撃を最も厳密に反映した最も包括的なテスト環境であると信じているためです。私たちの使命は、製品の卓越性を推進し続け、顧客の声に耳を傾け、インテリジェントなソリューションを提供するための研究に投資することで、世界クラスの防御者に力を与えることです.この成功は、これらの投資と顧客第一のアプローチによるものです。

Microsoft Defender が再び敵に勝つ

Microsoft の膨大な深さと幅のセキュリティ オプティックスと脅威インテリジェンスは、Microsoft Defender 製品に統合されており、複雑な攻撃シナリオで際立つ独自の機能を備えています。

業界をリードする保護

Microsoft Defender for Endpoint は、攻撃を最も早い段階でブロックし、リアルタイムで封じ込めを行いました。 Defender for Endpoint は、疑わしいアクティビティを迅速に特定し、悪意のあるものとして非難しました。これにより、攻撃者は、シェルの実行、発見、永続化、流出など、デバイスに悪影響を与える可能性のあるアクションを実行できなくなり、シミュレーションが効果的にブロックされ、攻撃の進行が阻止されました。

図 2. Defender for Endpoint の警告ページ: SystemPropertiesAdvanced.exe は、不正な srrstr.dll 内のコードを実行しようとし、Defender for Endpoint によってブロックされます。

Microsoft Defender for Endpoint は、Linux での攻撃チェーンに広範な可視性とカバレッジを提供しました。

Linux での優れた検出と保護

Linux 向けのエンドポイント セキュリティ機能は、攻撃のストーリーにシームレスに適合し、Microsoft Defender for Endpoint は、攻撃チェーンに広範な可視性とカバレッジを提供することができました。今日の Linux の脅威の状況をナビゲートします。 Defender for Endpoint は、サインイン、接続、ファイルの読み取りとコピー、さまざまな検出アクティビティ、Pass-the-Hash (PtH) など、Linux ファイル サーバーのアクティビティを完全にキャプチャすることができました。すべての主要なプラットフォーム (Windows、Linux、macOS、Android、および iOS) にわたってエンドポイント セキュリティ機能を拡張し続けているため、Linux でこの種のカバレッジを提供できることを誇りに思います。

図 3. Defender for Endpoint Linux デバイスのアラート ページ:リモート システムの検出、疑わしいログイン、およびLinuxからのPython を使用したリモート コード実行からの横移動攻撃のストーリー デバイスからエンドポイントへ。

Microsoft 365 Defender は、アラート ノイズを 1,000 を超えるアラートからわずか 2 つのインシデントに劇的に削減しました。

攻撃チェーン全体の優れた検出と可視性

ATT&CK 評価の結果は、次のような攻撃チェーン全体にわたる詳細な検出機能と包括的なオプティクスを強調しています。

• エンドポイントでの高度な攻撃手法の検出: Microsoft Defender for Endpoint は、インジェクション、シェルコードの実行、スケジュールされたタスクを使用した実行、UAC バイパス、Web ブラウザーおよび OS 資格情報の収集、スクリーンなどの高度な攻撃手法を含む、攻撃チェーン全体のすべての悪意のあるアクティビティを記録し、警告を発します。キーストロークの収集、およびアプリケーションのシミングを使用した永続性。
• デバイス上のイベントのタイムラインを詳細に可視化する: Microsoft 365 Defender は、デバイスのタイムラインを通じて、デバイスで発生しているイベントの詳細なビューを提示しました。デバイス タイムラインは、攻撃手法を表面化する新しい機能も提供しました。特定の一連のスタンドアロン イベントを組み合わせて、特定された攻撃手法をより意味のある表現にします。この最近のデバイス タイムラインへの追加により、セキュリティ オペレーション センター (SOC) アナリストは、デバイス上のアクティビティとその実行の潜在的な理由についてより多くの洞察を得ることができます。

図 4. Defender for Endpoint Linux デバイスのデバイス タイムライン: Linuxからのリモート コード実行のための横移動テクニック デバイスからエンドポイントが強調表示されます。  

• 侵害された ID に関連付けられたアクティビティの特定: デバイスと ID シグナルの両方を活用することで、Microsoft 365 Defender は、侵害されたアカウントと呼ばれるものによってデバイスで行われるアクションを詳細に可視化し、アラートを生成します。 Microsoft 365 Defender は、pass-the-hash や pass-the-ticket などの高度な手法を使用していました。 Microsoft Defender for Identity は、ドメイン レベルでアカウント侵害を分析および検出し、リモート サービス作成を使用してラテラル ムーブメントのアカウント アクティビティを追跡および警告しました。エンドポイントを超えて、ID などの他のドメインにわたってこのビューを持つことは、Microsoft 365 Defender の独自の利点であり、今日の最新の多面的な脅威に対するより堅牢なセキュリティをお客様に提供します。

図 5. Defender for Identityアラート ページ: Windows サーバーからエンドポイントへのリモート コード実行を使用したラテラル ムーブメントが、ユーザーkmitnickの疑わしい ID 動作としてDefender for Identityによって検出されました。

この詳細な検出機能と幅広い可視性により、Microsoft 365 Defender は攻撃の統一されたビューを提供し、SOC が以下を提供することで対応できるようにしました。

• アラートが発生したアクティビティの詳細な攻撃ストーリーがリンクされ、適切な MITRE ATT&CK 手法でタグ付けされ、必要なすべてのデータが含まれています。これは、SOC アナリストが正確な結論に達し、効果的に行動できるように、当社の大規模な光学系と信号、ソース、および機能の独自のネイティブ統合によって達成されました。

図 6. Defender for Endpoint アラート ページ: リモート デスクトップ接続を使用した横移動、レジストリ ラン キーによるスクリプト実行、疑わしいスクリプト実行の検出。

• 1,000 を超えるアラートから生成された 2 つの意味のあるインシデントにより、SOC が攻撃の範囲を効果的に評価するために必要な豊富な情報とコンテキストがまとめられ、通常必要とされる大量のトリアージや調査作業が不要になります。今日の時間とリソースが限られているため、セキュリティ チームは、Windows から Linux へのラテラル ムーブメントや、侵害された ID による組織全体の疑わしい動作など、困難なシナリオを迅速かつ効果的に調査するツールを必要としています。

図 7. MITRE によってシミュレートされた最初の攻撃を説明するすべてのデバイス、ユーザー、アラート、および証拠を関連付ける M icrosoft 365 Defender インシデント ページ 創意工夫。   

MITRE Engenuity Carbanak および FIN7 評価の詳細

2020 MITRE Engenuity ATT&CK 評価は、Microsoft がサポートし、喜んで貢献する業界テストの進化を反映しています。私たちの参加は、業界と協力して、実際の攻撃シナリオをシミュレートし、参加者が互いに学ぶことを可能にする最新のアプローチを使用して、私たちの能力を評価するという私たちのコミットメントを示しています。

1. この評価では、MITRE Engenuity は範囲を拡大して、Linux と Windows での保護および検出機能を評価しました。これは、Carbanak および FIN7 の攻撃者グループが、POS 固有のテクノロジを含む、両方のプラットフォームと対話するツールを使用したためです。すべての主要なプラットフォーム (Linux、macOS、Android、および iOS) にわたってエンドポイント セキュリティを拡張し続けているため、この評価で Linux の機能をテストできることをうれしく思います。
2. 今年、MITRE Engenuity はマネージド セキュリティ サービス プロバイダー (MSSP) を評価に含めませんでした。これは、Microsoft Defender for Endpoint によって提示されるすべての保護と検出の価値は、追加のサービスを必要とせずに組織を高度な攻撃から保護することを目的とした、完全に自動化された AI 主導の高度なアルゴリズムの結果であることを意味します。
3. 最後に、初めて MITRE Engenuity が 2 つの評価を実行しました。 1 つ目は検出評価で、現在進行中の攻撃とその手法の可視性と認識をテストしました。 2 つ目は保護評価で、攻撃を早期にブロックする能力をテストしました。

Carbanak と FIN7 のエンドツーエンドの検出と保護のシミュレーションを完全に実行するために、MITRE Engenuity は参加者に 2 つの異なる環境を提供することを要求しました。

• 検出環境: MITRE Engenuity は参加者に、プロアクティブな保護機能とブロック機能をすべてオフにするよう求めました。 Microsoft Defender for Endpoint と Microsoft 365 Defender の付加価値の場合、これは、自動修復フロー、アプリケーション分離、攻撃面の削減、ネットワーク保護、悪用保護、制御されたフォルダー アクセスなど、通常はこの種の攻撃をブロックするすべての機能を意味します。次世代ウイルス対策がオフになりました。
• 保護環境: プロアクティブな保護機能とブロック機能がすべてオンになっています。検出評価で実行されたいくつかのステップは、MITRE Engenuity によって選択され、保護セットアップでテストされました。これにより、Microsoft 365 Defender はさまざまなステップのブロック機能を証明し、各ステップの非常に早い段階で実行を防止およびブロックしました。

実際のテストは、検出と防止に不可欠です

セキュリティの状況が変化する中、私たちは防御者が最も困難で最も重要な問題を解決できるよう支援する使命を負っています。巧妙な攻撃者によって実行される組織的で標的を絞った高度な攻撃は、セキュリティ チームが遭遇する最も複雑な脅威の一部です。これが、MITRE ATT&CK などの評価に参加することが、防御側が組織を保護できるようにするソリューションを確実に提供する上で非常に重要である理由です。 Microsoft Defender 製品に関するマイクロソフトのビジョンは、業界をリードする最善のクロスドメイン セキュリティをモダン ワークプレースに提供することです。 Microsoft 365 Defender は、エンドポイント (Microsoft Defender for Endpoint)、電子メールおよび生産性ツール (Microsoft Defender for Office 365)、ID (Microsoft Defender for Identity)、およびクラウド アプリケーション ( Microsoft Cloud App Security)。この独自の組み合わせにより、攻撃が発生する前に阻止し、迅速かつ完全な対応を可能にし、セキュリティ チームが最も重要な優先事項に集中する時間を取り戻すことができます。

Carbanak と FIN7 のアクター グループに関連するコミュニティへの貢献を求める MITRE Engenuity の呼びかけに応えて、Microsoft の研究者は、MITRE Engenuity との脅威インテリジェンスの統合と共有に取り組みました。 Microsoft は、これら 2 つのグループで観察された焦点、ツール、および操作における主な類似点と相違点を共有し、既知および新しい戦術、手法、および手順 (TTP) の証拠を共有しました。今年、MITRE Engenuity は、脅威インテリジェンスの収集から始まり、洗練された現実的な攻撃チェーンの実装を通じて、攻撃シナリオを向上させました。マイクロソフトが以前のラウンドで共有したフィードバックが MITRE Engenuity に組み込まれ、この評価が毎年進化し続けていることを嬉しく思います。この種のコラボレーションと継続的な進化は、セキュリティ コミュニティのすべての人にとって有益です。今年の評価に貢献し、参加する機会を与えてくれた MITRE Engenuity に感謝します。

もっと詳しく知る

Microsoft Defender for Endpoint は、脆弱性管理、エンドポイント保護、エンドポイントの検出と対応、およびモバイル脅威防御を提供する、業界をリードするクラウドを利用したエンドポイント セキュリティ ソリューションです。私たちのソリューションでは、脅威は敵ではありません。 Microsoft の比類のない脅威オプティクスと実績のある機能を活用してください。 Microsoft 365 DefenderまたはMicrosoft Defender for Endpointの詳細を確認し、今すぐ試用版にサインアップしてください。

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。