目次

MITRE ATT&CKはどのように改善、適応、進化してきましたか?

目次

MITRE ATT&CK が進化しているのは、サイバー攻撃に対抗するセキュリティチームを支援するために、脅威インテリジェンスを常に改善し、適応させるという組織の献身を示しています。ATT&CK Matrixがサイバーセキュリティの知識ベースとして、また攻撃者や手口を特定するための有力なリソースとしてますます利用されるようになっているという事実は、組織のセキュリティ態勢を強化する上でATT&CK Matrixの価値が高いことを物語っています。

ATT&CKとは、Adversarial Tactics, Techniques, and Common Knowledgeの略で、サイバー脅威を理解し、それに対抗するためのツールとしての役割を表しています。このフレームワークの呼称は、サイバーセキュリティにおける詳細で実用的なインテリジェンスを提供するというコミットメントを強調しています。

包括的なサイバーセキュリティフレームワークであるMITRE ATT&CKは、サイバー脅威グループのスピードに合わせて継続的に進化・適応し、効果的な脅威検知と対策を提供しています。MITRE ATT&CKは、サイバー敵対者の変化する戦術、テクニック、共有知識(手順に関する情報)に関する実世界の情報を提供し、迅速かつ効果的な防御を可能にします。

 

MITRE ATT&CKフレームワークの3つの主要コンポーネントとは?

ATT&CKのフレームワークは、戦術、技術、手順(TTPs)の3つの要素から構成されています。ATT&CKマトリックスには重大度があり、それぞれが異なる環境に対応しています。これには、エンタープライズ、モバイル、クラウド、産業制御システム(ICS)マトリックスが含まれます。MITREのマトリックスは、脅威アクターが採用するサイバー脅威とTTPを脆弱性別に分類し、セキュリティチームに徹底的な洞察を提供します。

各マトリックスでは、列が戦術を、行がテクニックを示し、セルが各テクニックの手順、グループ、ソフトウェア、関連する緩和策などの補足的な詳細を示しています。

常に変化し続ける現実のサイバー脅威の状況に対応するために定期的に更新されるMITREのフレームワークは、サイバーセキュリティの専門家にとって重要な資産です。脅威インテリジェンス、検知、対応能力を強化します。

MITRE ATT&CKフレームワークは、敵の行動洞察やインシデント対応など、いくつかのユースケースをサポートする最新の3つの主要コンポーネントを中心に構成されています。

戦術

戦術には、初期アクセスの獲得、実行、持続的関与、特権の昇格、防御の回避、クレデンシャルアクセス、発見、横方向への移動、データ収集、流出、特権の昇格、指揮統制の確立など、潜在的なサイバー脅威が達成しようとする戦略目標が集約されています。

テクニック

テクニックは、脅威アクターが戦術目標を達成するために採用する特徴的な方法を詳述したものです。どのテクニックも、敵がどのように特定の戦術を達成しようとするかを深く理解することができます。

例として、Reconnaissance(偵察)戦術の下で、マトリックスに含まれる重大度は、Active Scanning(例えば、最初のアクセスに備えて、subtechnique-Scanning IP Blocks)、Gather Victim Identity Information(例えば、スピアフィッシングのために、subtechnique-Email Addresses)、Phishing for Information(例えば、クレデンシャルフィッシング、subtechnique-Spear phishing Link)です。

手続き

手順とは、敵が戦術的な目的を達成するためにテクニックを実行する際に採用するアクションやステップのことです。手順は脅威アクターによって異なり、彼らが採用するツール、コマンド、マルウェア(ランサムウェアなど)を示します。

 

MITRE ATT&CK フレームワークの歴史

MITRE ATT&CKは当初、MITREのフォート・ミード・エクスペリメント(FMX)のウィキとして立ち上げられました。この実験では、サイバーセキュリティの研究者が敵側(レッドチーム)と防御側(ブルーチーム)の両方の行動をエミュレートし、サイバー脅威からのより良い防御方法を理解しました。この実験は、フレームワークと、敵の検出を含む実世界の観測に焦点を当てることの形成に役立ちました。

最初のバージョンには、敵のサイバー攻撃ライフサイクルのさまざまな段階を反映した9つの戦術が含まれていました。時が経つにつれ、このフレームワークは進化・拡大し、敵の戦術や新たなサイバー攻撃手法に関する世界的にアクセス可能な知識ベースとなっています。

MITRE ATT&CK フレームワークは、セキュリティチームと他のサイバー関係者との間のギャップを埋めるための共通言語を提供しました。

MITRE ATT&CKの簡単な年表

  • 2013: MITRE ATT&CK:このサイバーセキュリティフレームワークは、高度な持続的脅威がWindowsエンタープライズネットワークに対して使用する共通の戦術、技術、手順(TTP)を提供しました。
  • 2015: エンタープライズ向けATT&CK:ATT&CK Enterpriseマトリックスの最初のバージョンがリリースされました。これは、企業環境を標的にする敵対的な戦術やテクニックを理解するための、構造化され組織化された方法を提供するものです。
  • 2017: ミッター・プリ・アット&ックMITRE PRE-ATT&CK フレームワークは、敵対者がアクセスを達成する前にサイバー敵対者が何をするかというコミュニティーの懸念に対処するものです。敵対者が標的を選定し、情報を入手し、キャンペーンを展開するために使用する戦術、技術、手順(TTP)について詳しく説明しています。
  • 2017: MITRE ATT&CK for Mobile Matrix:MITREのモバイルマトリックスは、デバイスへのアクセスと、デバイスへのアクセスなしに敵が使用できるネットワークベースの効果を含む技術をカバーするように設計されています。それ以来、iOSとAndroidのモバイルデバイスを侵害しようとするサイバー敵対者を検出するために使用される進化するTTPを反映するために、重大度更新されています。
  • 2019: MITRE ATT&CK Matrix for Cloud Matrix; MITRE Cloud Matrixにより、セキュリティチームは、脅威アクターがクラウド環境を標的とする様々なTTPを組織的かつ包括的に理解できるようになりました。マトリックスには、Azure Active Directory、Office 365、Google Workspace、SaaS、IaaSの情報が含まれています。
  • 2019: MITRE ATT&CK サブテクニック:MITRE ATT&CKのベータ版とサブテクニックを公開しました。サブテクニックはより詳細なレベルを提供し、テクニックを特定の亜種や手法に分解することで、敵がどのように行動するかをよりニュアンス豊かに理解することができます。
  • 2019: MITRE Engenuity ATT&CK 評価:MITRE Engenuity ATT&CK Evaluations は、サイバーセキュリティ製品およびソリューションが、現実世界において敵対者の戦術やテクニックを検知・軽減する有効性を評価するための、構造化されたプロセスとフレームワークを提供しました。ATT&CK Evaluationsを使用することで、ベンダーは特定の脅威シナリオに対して自社のセキュリティ製品の能力を実証することができました。
  • 2021: MITREはmacOSとより多くのデータ型を追加しました:コミュニティからの意見に応え、MITREはAppleのmacOSとコンテナに影響する脅威情報のサポートを追加しました。また、より多くのデータソースとリレーションシップが可能になりました。

MITRE ATT&CK フレームワークは、サイバー脅威の性質の変化に対応するために継続的に進化しています。定期的な更新、新しいマトリックス、追加機能の導入により、サイバーセキュリティコミュニティに対するフレームワークの関連性と有用性を高めています。

 

MITRE ATT&CKとクラウドセキュリティ

MITRE ATT&CKフレームワークをクラウドセキュリティに拡張することは、変化するサイバーセキュリティの状況に対応するために極めて重要です。この進化は、MITRE ATT&CKが新たな技術や脅威に直面しても、常に適切かつ効果的であり続けることができることを示しています。

クラウドセキュリティにおけるMITRE ATT&CKの役割

MITRE ATT&CKは、攻撃者がクラウドサービスに対して活用する戦術やテクニックの概要を示す、クラウド固有のマトリックスを組み込んでいます。この追加は、APIの悪用、クラウドサービスの設定ミス、クロステナント攻撃など、クラウドインフラストラクチャ特有の脅威を特定し、防御するために組織を支援する上で不可欠です。

このフレームワークのクラウドへの適応により、サイバーセキュリティの専門家は、クラウド環境の複雑さに合わせて防御メカニズムを調整できるようになり、より堅牢で的を絞ったセキュリティ・アプローチが実現します。

 

MITRE ATT&CKの課題と今後

デジタル環境が進化するにつれ、MITRE ATT&CKのようなフレームワークが直面する課題も変化しています。これらの課題は、フレームワークの継続的な発展と有効性を形成する上で極めて重要です。

現在の課題

脅威アクターの急速な進化と洗練された戦術に対応し続けることは、依然として大きな課題です。新しい技術や対策を反映させるために、フレームワークは継続的に更新されなければなりません。

もうひとつの課題は、グローバルな適用性を維持し、さまざまな業界やIT環境に対応できるようにすることです。オンプレミス、クラウド、モバイルインフラを組み合わせたハイブリッド環境の複雑化は、このタスクをさらに複雑にしています。

 

MITRE ATT&CK FAQの進化

MITRE ATT&CK Matrixは、当初エンタープライズ環境向けに設計され、サイバー敵対者がエンタープライズシステムを標的とする際に利用する戦略や手法を理解し、セキュリティ管理を最適化するための体系的で整然とした方法を提供します。このマトリックスは、脅威インテリジェンスの広範な知識ベースとして機能し、敵のサイバー戦術の特定を容易にします。
MITRE ATT&CKフレームワークの3つの構成要素は、戦術、技術、手順(すなわち実践技術)です。各 MITRE ATT&CK マトリックスには、マトリックスのタイプごとにこれら 3 つの要素を詳述するセクションがあります。
MITRE ATT&CKは、進化する脅威の状況を反映し、新たな観測や洞察を取り入れるために定期的に更新されます。アップデートの正確な頻度は様々ですが、MITRE ATT&CKフレームワークの新バージョンは通常年に2回リリースされます。これらのアップデートは、多くの場合、企業、モバイル、産業制御システム(ICS)などの環境に対する新しいテクニック、グループ、キャンペーン、ソフトウェアを含みます。MITREは常に最新の状態を維持するため、新しい技術、戦術、手順(TTPs)やサブテクニックの更新が確認されるたびに取り入れています。
関連コンテンツ
MITRE ATT&CK テクニックとは?
MITRE ATT&CK フレームワークは、サイバー攻撃を実行するために脅威アクターが採用する具体的な戦術とテクニックの詳細な分類法で構成されています。
Cortex XDR MITRE ATT&CKページ
Cortex XDRのMITRE ATT&CK Evaluationsをディープダイブ。
MITRE Engenuity ATT&CK 評価ダッシュボード
インタラクティブなダッシュボードで、過去と現在の評価結果をご覧いただけます。
MITRE ATT&CK 第5ラウンド必携ガイド
このガイドでは、さまざまな測定基準におけるベンダーのパフォーマンスを比較し、その結果をさらに詳しく調べるためのガイダンスを提供します。

最新ニュース、イベント情報、脅威アラートを配信