「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみた:MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(3)
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、リスク評価における「脅威ベースアプローチ」と「ベースラインアプローチ」の違い、攻撃グループと対策を特定するプロセスを例にATT&CKとNavigatorの実践的な使い方を紹介する。
ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック。以下、ATT&CK))について解説する本連載「MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門」。前回まで、ATT&CKや「MITRE ATT&CK Navigator」(以下、Navigator)を紹介しました。
既に紹介した通り、ATT&CKフレームワークは攻撃者の観点での14の戦術(Tactics)を中心に、各戦術にテクニック(Techniques)と、テクニックによってはさらに詳細なサブテクニック(Sub-Techniques)が存在します(v11の時点でテクニックは191件、サブテクニックは386件)。ATT&CKを使ってセキュリティ対策を検討する上で、戦術ごとに全てのテクニックが自システムで対応できているかどうかを分析するのも一つの手段ですが、時間が膨大にかかるのは想像に難くありません。
今回からは、「脅威分析の負担を軽く抑える」ことをテーマに、ATT&CKとNavigatorを組み合わせた実践的な使い方を、ユースケースを基に紹介します。
おさらい:MITRE ATT&CKの利用方法
連載第1回でATT&CKの利用方法として下記6つを紹介しました。
| No. | 利用方法 | 概要 | 時間 |
|---|---|---|---|
| 1 | 攻撃の模擬動作検証 | ・攻撃グループのプロファイル特定 ・攻撃シナリオ作成 |
小 |
| 2 | 防御策のギャップ評価 | ・企業内における既存のセキュリティ対策の妥当性を評価するために攻撃者の行動にフォーカスしたモデルとして利用する | 特大 |
| 3 | SOC(Security Operations Center)の成熟度評価 | ・サイバー攻撃の検知、分析、および対応においてSOCの有効性を判断する評価指標として利用する | 中 |
| 4 | 脅威インテリジェンスの強化 | ・攻撃グループの活動の疑いが検出された場合、関連する技術法やソフトウェアを確認し、対策強化に活用する | 中 |
| 5 | レッドチーム演習 | ・レッドチーム演習の計画を作成してネットワーク内に配置する防御策を回避する方法を整理するツールとして利用する | 特大 |
| 6 | 行動分析の開発 | ・攻撃者の行動を分析することで未知の攻撃手法を見つけ、それらに対応する手法を開発するテストツールとして利用する | 大 |
紹介した利用方法の中で、「脅威ベースアプローチ」によるリスク対策の代表的な使い方が、「No.1」と「No.2」を組み合わせた利用となると考えられます。組み合わせの方法について簡単に説明すると、「No.1」で攻撃グループを特定し、「No.2」で攻撃グループが使うテクニックを特定し、各テクニックに対して、対策のギャップ評価を行う使い方です。
脅威ベースアプローチとは、ベースラインアプローチとは
前項で紹介した脅威ベースアプローチでのATT&CKの使い方は、いわば攻撃グループからの脅威を特定し、対策の優先度を決める「リスク評価」です。リスク評価の手法は、主にガイドラインなどを利用した「ベースラインアプローチ」でのリスク評価が主流ですが、「攻撃者目線の攻撃シナリオを基に、重要資産を保護するために何を優先的に対策すべきか」でリスク評価するのが、脅威ベースアプローチです。
- ベースラインアプローチ:時間がかかるが網羅的で抜けが少ない
- 脅威ベースアプローチ:ベースラインアプローチに比べてかかる時間が少ないが、脅威が偏りがちになるので、ベースラインアプローチとの組み合わせが望ましい
脅威ベースアプローチのプロセス
脅威ベースアプローチのプロセスを簡単に示すと下記のようになります。
- 攻撃グループを特定する
- 攻撃グループが使うテクニックを特定する
- テクニックへの対策と自システムのギャップを洗い出し、ギャップが及ぼす資産への影響を分析する
- 優先的に対策すべきリスクを特定する
ここから、各プロセスについて説明します。
1.攻撃グループを特定する
まずは「どのように攻撃グループを入手するのか」についてです。一例としてATT&CKの検索機能から「自身が所属する組織の業界を狙う攻撃グループ」を検索する手法があります。その他、OSINT(*1)によって話題となっている攻撃グループや攻撃キャンペーン情報(*2)を収集する手法も有効です。
(*1)OSINT:オープンソースインテリジェンス(Open Source Intelligence)の略で、サイバーセキュリティ領域ではインターネットなどの公開情報から有用な情報収集する手法を指す
(*2)攻撃キャンペーン:短期の攻撃とは異なり、長い期間をかけて目標に侵入する活動の総称
今回は、Navigatorの使い方の説明も兼ねて、業界を狙う攻撃グループを検索する手法を紹介します。
ATT&CKでの検索は、ページ右上の検索バーから業種を検索することによって、自身の組織が所属する業界をターゲットとする攻撃グループの情報を収集できます。
ATT&CKの情報は新旧入り交じった情報なので、精度の高い攻撃グループの特定には、OSINTによる情報収集や外部ベンダーの脅威インテリジェンスサービスに依頼するなどが必要であり、それなりのコストがかかるのが実情です。
今回の例ではエネルギー業界を対象とし、「energy」で検索した結果を見てみましょう。検索結果の「G0064」といった“G”から始まるIDはATT&CKによる攻撃グループのIDを示しています。
図1の検索結果からは多数の攻撃グループ情報が確認できます。今回はその中から2つの攻撃グループと攻撃キャンペーンを取り上げて分析します(本来であれば、全ての攻撃グループを分析対象とすべきです)。
| 攻撃グループ(攻撃キャンペーン) | 概要 |
|---|---|
| APT33 | 航空業界やエネルギー業界を狙う政府支援型の攻撃グループ |
| Operation wocao | 複数業界を狙った攻撃キャンペーン |
2.攻撃グループが使うテクニックを特定する
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「MITRE ATT&CK」とは何か? どう利用すべきか?
MITREは、Gartnerがよく問い合わせを受けるトピックだ。本稿では、MITRE ATT&CKのフレームワークについて説明する。
「Log4j」の脆弱性についてセキュリティリーダーが知っておくべきこと、すべきこと
「Log4j」の脆弱(ぜいじゃく)性がもたらすリスクを理解し、関連する潜在的な脅威から企業システムを保護するための対策を把握する。
OSがCentOS 7かどうかを判定するサンプルで、SCAPの構成要素XCCDFとOVALの構造を理解する
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OSがCentOS 7かどうかを判定するサンプルで、SCAPの構成要素XCCDFとOVALの構造を理解する。