「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみたMITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(3)

ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、リスク評価における「脅威ベースアプローチ」と「ベースラインアプローチ」の違い、攻撃グループと対策を特定するプロセスを例にATT&CKとNavigatorの実践的な使い方を紹介する。

» 2022年08月08日 05時00分 公開
[戸田勝之, 永澤貢平NTTデータ先端技術株式会社]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック。以下、ATT&CK))について解説する本連載「MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門」。前回まで、ATT&CKや「MITRE ATT&CK Navigator」(以下、Navigator)を紹介しました。

 既に紹介した通り、ATT&CKフレームワークは攻撃者の観点での14の戦術(Tactics)を中心に、各戦術にテクニック(Techniques)と、テクニックによってはさらに詳細なサブテクニック(Sub-Techniques)が存在します(v11の時点でテクニックは191件、サブテクニックは386件)。ATT&CKを使ってセキュリティ対策を検討する上で、戦術ごとに全てのテクニックが自システムで対応できているかどうかを分析するのも一つの手段ですが、時間が膨大にかかるのは想像に難くありません。

 今回からは、「脅威分析の負担を軽く抑える」ことをテーマに、ATT&CKとNavigatorを組み合わせた実践的な使い方を、ユースケースを基に紹介します。

おさらい:MITRE ATT&CKの利用方法

 連載第1回でATT&CKの利用方法として下記6つを紹介しました。

表1 MITRE ATT&CKの利用方法
No. 利用方法 概要 時間
1 攻撃の模擬動作検証 ・攻撃グループのプロファイル特定
・攻撃シナリオ作成
2 防御策のギャップ評価 ・企業内における既存のセキュリティ対策の妥当性を評価するために攻撃者の行動にフォーカスしたモデルとして利用する 特大
3 SOC(Security Operations Center)の成熟度評価 ・サイバー攻撃の検知、分析、および対応においてSOCの有効性を判断する評価指標として利用する
4 脅威インテリジェンスの強化 ・攻撃グループの活動の疑いが検出された場合、関連する技術法やソフトウェアを確認し、対策強化に活用する
5 レッドチーム演習 ・レッドチーム演習の計画を作成してネットワーク内に配置する防御策を回避する方法を整理するツールとして利用する 特大
6 行動分析の開発 ・攻撃者の行動を分析することで未知の攻撃手法を見つけ、それらに対応する手法を開発するテストツールとして利用する

 紹介した利用方法の中で、「脅威ベースアプローチ」によるリスク対策の代表的な使い方が、「No.1」と「No.2」を組み合わせた利用となると考えられます。組み合わせの方法について簡単に説明すると、「No.1」で攻撃グループを特定し、「No.2」で攻撃グループが使うテクニックを特定し、各テクニックに対して、対策のギャップ評価を行う使い方です。

脅威ベースアプローチとは、ベースラインアプローチとは

 前項で紹介した脅威ベースアプローチでのATT&CKの使い方は、いわば攻撃グループからの脅威を特定し、対策の優先度を決める「リスク評価」です。リスク評価の手法は、主にガイドラインなどを利用した「ベースラインアプローチ」でのリスク評価が主流ですが、「攻撃者目線の攻撃シナリオを基に、重要資産を保護するために何を優先的に対策すべきか」でリスク評価するのが、脅威ベースアプローチです。

  • ベースラインアプローチ:時間がかかるが網羅的で抜けが少ない
  • 脅威ベースアプローチ:ベースラインアプローチに比べてかかる時間が少ないが、脅威が偏りがちになるので、ベースラインアプローチとの組み合わせが望ましい

脅威ベースアプローチのプロセス

 脅威ベースアプローチのプロセスを簡単に示すと下記のようになります。

  1. 攻撃グループを特定する
  2. 攻撃グループが使うテクニックを特定する
  3. テクニックへの対策と自システムのギャップを洗い出し、ギャップが及ぼす資産への影響を分析する
  4. 優先的に対策すべきリスクを特定する

 ここから、各プロセスについて説明します。

1.攻撃グループを特定する

 まずは「どのように攻撃グループを入手するのか」についてです。一例としてATT&CKの検索機能から「自身が所属する組織の業界を狙う攻撃グループ」を検索する手法があります。その他、OSINT(*1)によって話題となっている攻撃グループや攻撃キャンペーン情報(*2)を収集する手法も有効です。

(*1)OSINT:オープンソースインテリジェンス(Open Source Intelligence)の略で、サイバーセキュリティ領域ではインターネットなどの公開情報から有用な情報収集する手法を指す
(*2)攻撃キャンペーン:短期の攻撃とは異なり、長い期間をかけて目標に侵入する活動の総称

 今回は、Navigatorの使い方の説明も兼ねて、業界を狙う攻撃グループを検索する手法を紹介します。

 ATT&CKでの検索は、ページ右上の検索バーから業種を検索することによって、自身の組織が所属する業界をターゲットとする攻撃グループの情報を収集できます。

 ATT&CKの情報は新旧入り交じった情報なので、精度の高い攻撃グループの特定には、OSINTによる情報収集や外部ベンダーの脅威インテリジェンスサービスに依頼するなどが必要であり、それなりのコストがかかるのが実情です。

 今回の例ではエネルギー業界を対象とし、「energy」で検索した結果を見てみましょう。検索結果の「G0064」といった“G”から始まるIDはATT&CKによる攻撃グループのIDを示しています。

図1 MITRE ATT&CKの検索結果

 図1の検索結果からは多数の攻撃グループ情報が確認できます。今回はその中から2つの攻撃グループと攻撃キャンペーンを取り上げて分析します(本来であれば、全ての攻撃グループを分析対象とすべきです)。

表2 攻撃グループ情報
攻撃グループ(攻撃キャンペーン) 概要
APT33 航空業界やエネルギー業界を狙う政府支援型の攻撃グループ
Operation wocao 複数業界を狙った攻撃キャンペーン

2.攻撃グループが使うテクニックを特定する

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。