MITRE ATT&CKフレームワークとは？

MITRE ATT&CKフレームワークによる分類

脅威検知を包括的に成功に導くためには、とりわけ自らの組織に脅威をもたらす可能性のある汎用的な攻撃テクニックと、攻撃の検知と緩和の方法について理解しておく必要があります。とは言うものの、攻撃に使われる戦術には無数の種類があるので、単一の組織にとって、すべての攻撃タイプを監視することなどほどんど不可能です。そうであれば、把握した状況を、建設的な方法で、組織外の誰かに分類してもらい紐解いて貰えば良いのです。

このような理由からMITREは、ATT&CKフレームワークを策定しました。ATT&CKは、「Adversarial Tactics, Techniques, and Common Knowledge」の頭文字から名付けられました。敵対者の戦術とテクニックのナレッジベースです。ハッカーが使用するテクニックがインデックス化され、詳細で正確なステップと手法に分類されているので、セキュリティチームは、特定のプラットフォームへの対策を容易に理解できるようになります。ます。さらに、MITREは、敵対者グループの行動プロファイルについて、どのグループがどのテクニックを使用しているのか体系的に文書化するサイバー脅威インテリジェンスも実施しています。

ATT&CKのマトリックス構成は、元素の周期表とよく似た形で、攻撃チェーンの段階が列の表題（初期アクセスから攻撃インパクトまで）となっています。各行には、具体的なテクニックの詳細が記載されています。戦術、悪用されるプラットフォーム、手順の例、緩和、検知をより深く学習するために、それぞのテクニックを調べることができます。

組織にとってMITRE ATT&CKフレームワークはどのように役立つのか

ATT&CKフレームワークは、今日、組織に対してハッカーが使用する行動やテクニックを理解するための権威ある出所として広く認識されています。曖昧さを排除し、敵対者の手法に対抗するために、業界プロフェッショナルが話し合って協力するための、共通の言語となっているだけでなく、セキュリティチームの実践的な用途に役立っています。

MITRE ATT&CKには、以下のような使用例があります。

MITER ATT＆CK Frameworkを使用した組織固有の環境に基づく検知の優先順位付け

リソースが豊富なチームでさえ、すべての攻撃ベクトルから等しく保護することなど不可能です。 ATT＆CKフレームワークなら、チームが検知の作業に集中するために、青写真を提供できます。例として、多くのチームは、攻撃チェーンの早い段階で脅威の優先順位付けから作業を開始するものです。 一方、チームは、それぞれの業界で特に普及している攻撃者グループが使用する手法に特有な脅威の検知に対して優先順位付けを行えるようになります。 テクニック、標的のプラットフォーム、リスクを調査することにより、チームは自らを教育してセキュリティ計画を立案し、MITRE ATT＆CKフレームワークを活用することで時間の経過とともに進捗を追跡できます。

MITER ATT＆CK Frameworkを使用した防御の現状の評価

MITER ATT＆CKフレームワークは、主な攻撃手法に対する現在のツールとその網羅性について評価するのにも役立ちます。 検知に適用できるテレメトリにはさまざまなレベルがあります。 チームは、領域によって詳細にわたる検知に対して高い信頼性が必要だ判断する場合がある一方で、他の領域では低いレベルの検知でも十分だと考える場合があります。 組織とって優先順位の高い脅威を定義することにより、チームは現在の適用範囲がどのように積み上がるか評価できます。 これは、レッドチームの活動でも役立ちます。 マトリックスを使用して、 レッドチームの演習やペンテストの範囲を定義することで、テスト中やテスト後のスコアカードとして使用できます。

MITER ATT＆CK Frameworkを使用した攻撃者グループの追跡

多くの組織では、業界または業種にとって特に脅威であるとわかっている特定の敵対者グループの行動の追跡を優先する場合があります。 ATT＆CKフレームワークは静的なドキュメントではありません。 MITERは、脅威の出現と進化に合わせてフレームワークを進化させ続けてきているので、ハッカーグループの動きと使用する手法を追跡して理解するために役立つ信頼できる唯一の情報源となっています。

「ホワイトボードウエンズデー」では、YouTubeで毎週、水曜日にホワイトボードを使ってさまざまな内容について解説をしています（英語）。