MITRE Engenuity の最近の Carbanak+FIN7 ATT&CK 評価で、 Microsoft は、業界をリードするセキュリティ機能を使用して、脅威アクター グループによる高度な現実世界の攻撃を阻止できることを実証しました。
今年の評価では、Microsoft Defender for Endpoint と Microsoft Defender for Identity の市場をリードする機能を使用して、統合された Microsoft 365 Defender スタックを使用し、以下を提供するために協力しました。
- 最高の全体的な保護:保護テストでは、 Microsoft Defender for Endpointは攻撃のすべてのステップをブロックし、他のベンダーと比較して攻撃チェーンの最も早い段階でブロックしました。これは、Microsoft Defender for Endpoint によって保護されている組織は、攻撃が最初にブロックされていたため、実際の攻撃で最も影響を受けなかったことを意味します。
- Linux での優れた検出と保護: Microsoft Defender for Endpoint は、Linux でのすべての攻撃手順を検出し、攻撃全体をブロックした数少ないベンダーの 1 つであり、Linux ファイル サーバーのアクティビティに対する優れた可視性を提供しました。
- 優れた検出と攻撃チェーンの可視性: Microsoft は、攻撃チェーンのステップを 100% カバーし、1,700 を超える検出を 2 つの包括的なインシデントにまとめて、エンド ツー エンドの各攻撃を表しています。セキュリティ オペレーション センター (SOC) の効率を維持しながら、87% の手法がカバーされました。
Microsoft 365 Defender全体で調整された検出と可視性を、自動化、優先順位付け、防止と組み合わせることで、これらの高度な攻撃を阻止することができました。
Microsoft は、自動化された AI と行動アルゴリズムによって提供されるすぐに使用できる保護と検出を使用して、お客様の環境とまったく同じように ATT&CK 評価で動作したことに注意することが重要です。特別な「アグレッシブ モード」は必要なく、パフォーマンスのギャップもありませんでした。検出パフォーマンスは主に評価によって測定されますが、攻撃活動 (アラート、手法、影響を受ける資産など) がどのように相互に関連付けられ、一貫したエンドツーエンドの攻撃ストーリーになるかを確認することも同様に重要です。セキュリティ チームにとって、ユーザー エクスペリエンスは重要です。なぜなら、SOC アナリストがそのような攻撃を効果的に調査して対応する能力を持つことが重要だからです。
最善の保護とは、脅威が資産に影響を与えるのを防ぐことを意味します
今年の MITRE Engenuity Carbanak+FIN7 評価では、参加者が高度な攻撃を防ぐことができるかどうかを測定する新しいベンチマークが提供されました。強化された保護は攻撃の認識以上のものであると私たちは信じています。企業を安全に保護するには、攻撃を防止することが重要です。
多くのベンダーが MITRE Engenuity 保護評価に参加しないことを選択しましたが、Microsoft は、すべてのテストの初期段階で攻撃シミュレーションをブロックすることにより、下の図に示すように保護テスト機能のトップに位置付けられました。 Microsoft Defender for Endpoint は、シミュレートされた攻撃を完全に防止できた可能性がある場所を正確にブロックして警告し、防止された攻撃の明確な警告ストーリーを提供します。
図 1: ベンダーが可能な限り早い段階で攻撃をブロックしたテストの数。 Microsoft は、テストに参加している他のどのベンダーよりも多く、6 つの保護テストで可能な限り早い時点でブロックすることに成功しました。
Microsoft は、トップレベルのクロスプラットフォームの保護と検出を提供します
Microsoft Defender for Endpoint は、macOS、複数の Linux フレーバー、Android、iOS など、さまざまなプラットフォームにわたって、すぐに使用できる完全な可視性、保護、および検出を提供します。
今年、MITRE Engenuity は、システム検出、データ収集、およびリモート サービスまたはパス ザ ハッシュを使用した Windows と Linux 間のラテラル ムーブメントなどの高度な技術を含む、Linux ファイル サーバーへの攻撃を含めることにより、クロスプラットフォーム保護の重要性を強調しました。 . Linux プラットフォームに対する保護テストもシミュレートされました。
Microsoft は、Linux のすべての攻撃ステップで最高のカバレッジ結果を獲得しました。次の図が示すように、Microsoft Defender for Endpoint は、シミュレートされた Linux 攻撃手法の 100% を検出しました。保護テストでは、実行の最初の段階で攻撃をブロックし、Microsoft は Linux の保護と検出のトップ 4 ベンダーの 1 つになりました。
図 2: Linux で実行されるエミュレーション手順。各列は、ベンダーによって検出された技術の数を表します。最も初期の段階で攻撃をブロックしたベンダーは水色で表されます。
インシデントベースのアプローチにより、リアルタイムの脅威の優先順位付けと修復が可能になります
保護が意図的にオフにされた検出テストでは、Microsoft は、テストされた 20 のすべての攻撃ステージとさまざまなプラットフォームにわたって、非常に深いカバレッジと可視性を示しました。マイクロソフトは、テストされた手法の 87% をカバーしており、最も高度な手順を含む、攻撃チェーン全体のエンド ツー エンドの検出を表しています。
図 3: ベンダー全体の検出数の合計。Microsoft による主要な検出範囲を示しています。 Microsoft はまた、すべてのアラートを 2 つのインシデント (個別の攻撃を表す) に関連付けて、アラート キューのノイズを減らし、より効率的かつ効果的な攻撃の調査を確実にしました。
アラートの負荷とキューの疲労に対処しなければならないセキュリティ チームの苦痛を知っているため、Microsoft Defender for Endpoint は、攻撃のパターンと進行に関する深い理解を利用して、アラート、テレメトリ、および影響を受ける資産を関連付け、それらを包括的なインシデントの小さなセットにグループ化します。 .この評価では、この相関関係により、攻撃シミュレーションごとに 1 つずつ、合計 2 つのインシデントが発生し、キューが調査対象の作業項目 2 つだけに減りました。インシデントにより、SOC アナリストは、すべてのアラート、ブロック アクション、およびすべての裏付けとなる証拠を含む、攻撃の全範囲を 1 つの統合ビューで確認できます。
図 4: Microsoft 365 セキュリティ センターは、シミュレートされた 2 つの MITRE Engenuity 攻撃のいずれかのインシデント ビューを表示しています。これには、すべての相関アラート、検出、影響を受ける資産、および裏付けとなる証拠が含まれます。
各インシデントは、影響を受けるデバイスとユーザーの概要を提供し、アナリストがトリアージと優先順位を一目で確認できるようにします。警告された攻撃段階と関連する活動の詳細は、MITRE ATT&CK の戦術と手法にマッピングされ、収集されたすべての証拠とともに、「何が行われたか」(手法) と「なぜそれが行われたか」(戦術) を共通言語で要約します。インシデントは、初期アクセス、ツールの展開、検出、永続化、資格情報へのアクセス、ラテラル ムーブメント、流出など、シミュレートされた攻撃シナリオの各段階のプロセス実行シーケンスに至るまで、テレメトリを完全に可視化します。
図 5: マイクロソフトは、初日に MITRE が実行した評価ステップの技術/戦術を 100% カバーしました (Carbanak)。この図は、シミュレーション手順の目的を説明し、それぞれに対する Microsoft の適用範囲を示しています。
図 6: Microsoft は、2 日目 (FIN7) に MITRE によって実行された評価ステップの 100% の技術/戦術カバレッジを提供しました。この図は、シミュレーション手順の目的を説明し、それぞれに対する Microsoft の適用範囲を示しています。
図 7: 関連する一連のエンドポイント アラートを表示する Microsoft 365 セキュリティ センター。Microsoft がどのように攻撃段階全体でアラートを相互に関連付け、各攻撃ステップで詳細なデータを公開したかを示しています。
図 8: エンドポイント アラートの 1 つである疑わしいスケジュール タスクの詳細を示す Microsoft 365 セキュリティ センター。このビューは、アナリストに、タスク名、テクニック、および関連するプロセス (この場合は名前が変更された wscript.exe) のコンテキスト内の拡張ビューを提供します。
マイクロソフトは最近、アラート付きの実行シーケンスや詳細なデバイス タイムラインなど、セキュリティ ポートフォリオ全体で MITRE ATT&CK の戦術と手法の使用を拡大し、テレメトリを MITRE ATT&CK 手法にマッピングされた論理的な攻撃者のアクティビティに変換しました。これにより、防御側の調査とハンティングのエクスペリエンスがさらに向上し、攻撃のストーリーを伝え、豊富なコンテキストを提供し、対応プロセスを促進するのに役立ちます。
図 9: Microsoft 365 セキュリティ センターには、詳細なデバイス タイムラインが表示され、イベントと、Web ブラウザーから資格情報を列挙するための資格情報アクセスの手法が公開されています。
![2 日目の攻撃インシデント ページ、[証拠] タブを表示している Microsoft Defender セキュリティ センター](https://www.microsoft.com/en-us/security/blog//wp-content/uploads/2021/05/Picture10.png)
図 10: 2 日目の攻撃インシデント ページ、[エビデンス] タブを表示している Microsoft Defender セキュリティ センター。 SOC アナリストは、このビューを使用して、攻撃に関係するすべてのファイル、プロセス、IPS、および URL を確認し、ワンクリックで修復アクションを実行できます。
独自のクロスドメインの可視性は、最新の攻撃に対する防御に不可欠です。
Microsoft 365 Defender の強力な機能は、エンドポイント、ID、電子メールとデータ、およびクラウド アプリ全体で固有のシグナルを組み合わせることから生まれます。この習熟度の組み合わせにより、他のソリューションでは可視性が不足している可能性がある範囲をカバーできます。
ラテラル ムーブメントは高度な攻撃の重要な段階であり、攻撃者は、特定の価値のある情報へのアクセス、または最大の損害を与えるためにできるだけ多くのアセットへのアクセスを取得することを目的として、アセットからアセットへと移動します。ラテラル ムーブメントの識別と追跡は、攻撃の調査、範囲の確立、および脅威の除去において重要なフェーズです。以下は、この評価でシミュレートされたラテラル ムーブメントの 3 つの例であり、さまざまなワークロードからの信号を使用して Microsoft によって検出および公開され、さまざまな側面を完全にカバーしています。
- SMB を介したファイル転送: ラテラル ムーブメント攻撃を検出するための Microsoft 独自のアプローチは、高度な攻撃者が回避できるエンドポイント ベースのコマンド ライン シーケンス、PowerShell 文字列、またはファイル操作ヒューリスティックだけに依存しているわけではありません。 Microsoft は、 Microsoft Defender for Identityを介してドメイン コントローラーへの直接光を活用し、 Microsoft Defender for Endpoint を介して ID シグナルをデバイス テレメトリと関連付けます。 Microsoft は、機械学習とプロトコル ヒューリスティックを組み合わせて使用し、偽造された認証データ、存在しないアカウント、チケットの異常、ログオンの異常、時間の異常などの異常を調べます。これらの信号は、異なるデバイス間のファイル、プロセス、およびメモリ操作と相関しています。 Microsoft 365 Defenderは、SOC にソース マシンとターゲット マシン、アクセスされるリソース、および関連する ID のコンテキストを提供する唯一の製品です。
図 11: ID とエンドポイントのアクティビティ全体で AI を使用した相関シグナルに基づく Microsoft 365 Defender アラート
- リモート実行: Microsoft は、Microsoft Defender for Identity からの排他的なシグナルを活用します。これにより、ユーザーによる予期しないリモート実行を含む、ユーザーの動作におけるさまざまな異常に対する可視性とアラートが提供されます。評価では、Microsoft はデバイス全体でユーザー アクティビティを監視し、ユーザーが pass-the-hash を使用して不審にログインし、新しいデバイスでサービスを実行したときに自動アラートを生成しました。
図 12: リモート サービス実行による侵害された ID によるラテラル ムーブメントに関する Microsoft Defender for Identity アラート
- システム検出: Microsoft Defender for Endpoint は、マルウェア対策スクリプト インターフェイス (AMSI) を使用して、メモリ内の疑わしいアクティビティを検出します。多くのベンダーはプロセス操作とコマンド ラインに依存していますが、Microsoft は評価において、AMSI を介して PowerShell メモリで実行されているシステム検出アクティビティを特定しました。検出アルゴリズムは、メモリに読み込まれたスクリプトを分析し、PowerShell プロセスによって実行された検出アクティビティを特定しました。活動が検出され、攻撃者がまだ環境を学習している初期段階でラテラル ムーブメントを特定し、攻撃を迅速に修復できました。
図 13: WMI を使用したシステム検出に関するアラートを表示する Microsoft 365 セキュリティ センター。 PowerShell から AMSI コンテンツを分析して検出されたアクティビティ
箱から出してそのままの状態で提供される実際の保護
Microsoft は、自動化された AI 駆動のエキスパート システムがセキュリティ製品ポートフォリオに組み込まれているため、すぐに保護を提供する必要があると考えています。当社の製品は、手動によるカスタム チューニングや構成を最小限またはまったく必要とせずに検出して保護する必要があり、摩擦や疲労の主な原因である誤報を減らすように最適化する必要があります。
パフォーマンスに影響を与えたり実際のユーザーの生産性を低下させたりする可能性のある特別なまたは積極的なテスト最適化設定を使用せずに、お客様が本番環境に展開するのとまったく同じ製品を MITRE Engenuity シミュレーション環境にもたらしました。テストと同じレベルのアラート範囲、精度 (テストでは MITRE Engenuity によって測定されていません)、可視性、および調査経験が、テストと同じレベルで本番展開に反映されます。
最後に一言
MITRE Engenuity FIN7+Carbanak 評価に関する最初のブログで述べたように、私たちはこの評価の 1 年ごとの進化に協力し、貢献できることを嬉しく思います。これは、当社のソリューションの有効性をテストし、セキュリティ コミュニティ全体に貢献する機会です。これは、防御を強化し、攻撃に対応するためにマイクロソフトが業界で注力している、より大きなコラボレーションと貢献の取り組みの一部にすぎません。ここ数か月で見られたように、攻撃がより組織的かつ巧妙になっているため、このようなコミュニティのコラボレーションと共有は、より安全な世界に必要な措置を講じるのに役立ちます.この機会を与えてくださった MITRE Engenuity に改めて感謝し、継続的なパートナーシップと次の評価を楽しみにしています。
Microsoft 365 Defender と Microsoft Defender for Endpoint の詳細
Microsoft Defender for Endpoint は、脆弱性管理、エンドポイント保護、エンドポイントの検出と対応、およびモバイル脅威防御を提供する、業界をリードするクラウドを利用したエンドポイント セキュリティ ソリューションです。私たちのソリューションでは、脅威は敵ではありません。 Microsoft の比類のない脅威オプティクスと実績のある機能を活用してください。 Microsoft 365 DefenderまたはMicrosoft Defender for Endpointの詳細を確認し、今すぐ試用版にサインアップしてください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments