ULTRA REDとMITRE ATT&CKに関して
「MITREATT&CK®はサイバーアドバーサリの戦術とテクニック、手順のモデリングに役立つナレッジベースで、その検出・阻止方法を示します」(MITRE)。
背景と履歴
MITREATT&CKナレッジベースはMITREのFortMeade Experiment(FMX)からの直接的な成果として2013年に誕生しました。FMXはアドバーサリと防御の両挙動のエミュレーションを伴う重要な取り組みです。主な目的はテレメトリセンサーや挙動分析によって、侵害発生後の脅威検出の効果を高めることです。こうして現在のMITREATT&CKナレッジベースが誕生しました。アドバーサリアクションの分類と理解のために慎重に設計されたこのナレッジベースは常に強化されています。
戦術とテクニックを掘り下げる
戦術とテクニック
「ATT&CK」はAdversarial,Tactics, Techniques, and Common Knowledgeの略語で、このナレッジベースの構成方法、すなわち技術別の戦術を正確に表したものです。
MITREVISUAL。
以下が含まれています。
マトリクス
Enterprise(エンタープライズ):このマトリクスには、Windows、Mac、Linux、Cloud環境の情報が含まれています。戦術:14。テクニック:196。サブテクニック:411。
Mobile(モバイル):このマトリクスには、アドバーサリがデバイスへのアクセス権なしで使用可能なデバイスアクセスと、ネットワークベースで与える影響が含まれています。戦術:14。テクニック:66。サブテクニック:41。
Industrial Control Systems(産業用制御システム):このマトリクスには、産業用制御システムネットワークへの攻撃実行中に、アドバーサリが実施した挙動の一覧が含まれています。戦術:12。テクニック:81。サブテクニック:0。
マトリクスのデザインは3つのドメイン:Enterprise、Mobile、IndustrialControl Systems、で共通しています。各ドメインには固有の戦術、アドバーサリのテクニックとサブテクニックがあります。戦術は具体的な攻撃の種類で、テクニックは攻撃方法を表し、サブテクニックは段階ごとの攻撃パス(判明している場合)を示します。これらの詳細なマトリクスはいくつかの方法で活用できます。以下で事例を紹介します。
ユースケース
脅威ハンティング、脅威インテリジェンス、Red/Purpleチーム、セキュリティエンジニアリング、リスク管理チームはいずれもいくつかの方法でMITREATT&CKナレッジベースをアクションに結び付けることができます。以下はトップ5のユースケースです。
脅威インテリジェンスの強化
MITREナレッジベースは効率的に構成され、常に強化されているため、信頼性の高い情報源として活用できます。そのため、脅威インテリジェンスチームとRed/Purpleチームはエクスポージャが発生している攻撃サーフェスに対して予想される攻撃パスと重要な脅威アクターパターンを研究することができます。
脅威の優先順位判定をサポート
プロアクティブなセキュリティ体制を維持しているセキュリティオペレーションチームは、MITREナレッジベースからのインテリジェンスを活用して攻撃チェーンの早い段階で脅威の優先順位を判定できます。攻撃パスで確実に検出するために、脅威インテリジェンスの強化が必要なサイバーセキュリティチームにとっては、最も重要なリスクや差し迫った脅威の優先順位判定にもMITREナレッジベースを利用できます。
Redチームとアドバーサリエミュレーション
MITREナレッジベースに記載されたテクニックとサブテクニックにより、Red/Purpleチームはアドバーサリのオペレーション方法を示すインテリジェンスを基に、現実的なエミュレーションシナリオを構築、テストすることができます。こうしたエミュレーションによってサイバーセキュリティチームは防御策の改善やセキュリティコントロールの強化方法を把握できます。
ディフェンシブギャップアセスメント
前述のRedチームとアドバーサリエミュレーションにより、Blueチームとセキュリティエンジニアは既存のセキュリティアーキテクチャを分析し、予想される脅威や攻撃に対する防御で不足している点や補足的なコントロールで不十分な点がないか確認することができます。
セキュリティコントロールの強化
既存のコントロールに対しては、MITREナレッジベースが攻撃や脅威とイベントをマッピングし、セキュリティコントロールログ(SIEM、SOAR、EDRなど)のコンテキスト化を行うことで優先順位に基づくレスポンス向上を実現します。
ULTRA RED
ULTRAREDのContinuousThreat Exposure Management(以下、CTEMという)プラットフォームはMITREATT&CKナレッジベースを適用して上記のようなトップユースケースに対応し、脅威のvisibility(可視性)、vulnerability(脆弱性)、セキュリティコントロールのvalidation(評価)という3つのVをサポートします。
Visibility(可視性)
ULTRAREDは検出したアセットをインベントリに追加し、脆弱性検出プロセスを開始します。各アセットに関連する既知の脅威ベクターや潜在的なエクスポージャについての脅威インテリジェンスによってアセットの情報を拡充・強化します。プラットフォーム内でのディスカバリスキャン中に、MITREATT&CKナレッジベースを各種のオープンソースと、独自の脅威インテリジェンスソースとを組み合わせて豊富なエビデンスに基づき、エクスポージャが発生しているアセットを検出します。ULTRAREDはウェブ(サーフェスウェブ、ディープウェブ、及びダークウェブ)、ソーシャルメディア、アプリマーケットプレイス全体で不正にアクセスされたアカウントを検出します。アセットリスクは最新ではないソフトウェアやプラグインなど、設定ミス、侵害されたアカウント、リスクスコア、現在および過去に利用していたテクノロジー、修復ステータスなどのカテゴリーに分類されます。「すぐに使える」強力なフィルタリングツール、タイムライン、変更記録用に備えているノートによって、アセットの管理、優先順位付け、修復が簡単に行えます。
Vulnerability(脆弱性)
ULTRAREDのVulnerabilityManagement(以下、VMという)ツールは自動的にディスカバリを繰り返すことでお客様の全アセットの脆弱性やウィークネスを発見し、フィルタリング、分析、優先順位付け、検証を行うことができます。MITREATT&CKのフレームワークによって強化された継続的な脅威インテリジェンスと組み合わせることで、ULTRAREDのVMは誤検出やノイズを除外し、即座に防御可能でアクションに結び付くポリシー修復方法を提示します。ULTRAREDの脆弱性スキャナーは公開されている既知の脆弱性だけでなく、多種多様な独自のスキャン結果や業界をリードするダークネットベースの脆弱性レポジトリも網羅します。これによって企業や組織は常に最新のセキュリティアップデートや設定に対応でき、簡単にテストすることもできます。
Validation(検証)
ULTRAREDのBreach and Attack Simulation(以下、BASという:侵害と攻撃のシミュレーション:実際にはエミュレーションを実行している)は、各種の脅威インテリジェンス内でMITREのATT&CKフレームワークのナレッジベースを活用することでRed/Purpleチームにアドバーサリのオペレーション方法に関するインテリジェンスを提示し、現実的なエミュレーションシナリオの作成とテストを行えるようにします。ULTRAREDのContinuousThreat Intelligence (以下、CTIという)ツールによって、安全かつセキュアな環境で、インターネットのあらゆる既知の脅威ベクターに対する境界防御をテストすることができます。これにより、攻撃テクニックと脅威アクター間の関連付けを強化して詳細を明らかにし、潜在的な帰属を突き止めることができます。また攻撃ステージの早い段階で脅威の優先順位を決定し、攻撃ステージのパス内で確実に検出できるようになります。ユーザーはインパクト、外部参照情報、アクションに結び付く修復方法のリストと手順、最優先に対応すべき脆弱性のPoCなど、関連するあらゆるインテリジェンスを入手します。検出したすべての脆弱性や弱点はスキャン対象システム、セキュリティインフラストラクチャやコントロールに影響を及ぼすことなく検証することができるので、稼働中の本番システムを継続的に運用できます。
ULTRAREDはサイバーセキュリティチームがCTEMプラットフォーム全体でMITREATT&CKナレッジベースを活用して、潜在的な脅威が実際に発生する前に予測、防止できるようにします。
ULTRAREDに関する詳細はhttps://www.ultrared.ai/をご覧ください。