検索
連載

「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみたMITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(3)

ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、リスク評価における「脅威ベースアプローチ」と「ベースラインアプローチ」の違い、攻撃グループと対策を特定するプロセスを例にATT&CKとNavigatorの実践的な使い方を紹介する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック。以下、ATT&CK))について解説する本連載「MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門」。前回まで、ATT&CKや「MITRE ATT&CK Navigator」(以下、Navigator)を紹介しました。

 既に紹介した通り、ATT&CKフレームワークは攻撃者の観点での14の戦術(Tactics)を中心に、各戦術にテクニック(Techniques)と、テクニックによってはさらに詳細なサブテクニック(Sub-Techniques)が存在します(v11の時点でテクニックは191件、サブテクニックは386件)。ATT&CKを使ってセキュリティ対策を検討する上で、戦術ごとに全てのテクニックが自システムで対応できているかどうかを分析するのも一つの手段ですが、時間が膨大にかかるのは想像に難くありません。

 今回からは、「脅威分析の負担を軽く抑える」ことをテーマに、ATT&CKとNavigatorを組み合わせた実践的な使い方を、ユースケースを基に紹介します。

おさらい:MITRE ATT&CKの利用方法

 連載第1回でATT&CKの利用方法として下記6つを紹介しました。

表1 MITRE ATT&CKの利用方法
No. 利用方法 概要 時間
1 攻撃の模擬動作検証 ・攻撃グループのプロファイル特定
・攻撃シナリオ作成
2 防御策のギャップ評価 ・企業内における既存のセキュリティ対策の妥当性を評価するために攻撃者の行動にフォーカスしたモデルとして利用する 特大
3 SOC(Security Operations Center)の成熟度評価 ・サイバー攻撃の検知、分析、および対応においてSOCの有効性を判断する評価指標として利用する
4 脅威インテリジェンスの強化 ・攻撃グループの活動の疑いが検出された場合、関連する技術法やソフトウェアを確認し、対策強化に活用する
5 レッドチーム演習 ・レッドチーム演習の計画を作成してネットワーク内に配置する防御策を回避する方法を整理するツールとして利用する 特大
6 行動分析の開発 ・攻撃者の行動を分析することで未知の攻撃手法を見つけ、それらに対応する手法を開発するテストツールとして利用する

 紹介した利用方法の中で、「脅威ベースアプローチ」によるリスク対策の代表的な使い方が、「No.1」と「No.2」を組み合わせた利用となると考えられます。組み合わせの方法について簡単に説明すると、「No.1」で攻撃グループを特定し、「No.2」で攻撃グループが使うテクニックを特定し、各テクニックに対して、対策のギャップ評価を行う使い方です。

脅威ベースアプローチとは、ベースラインアプローチとは

 前項で紹介した脅威ベースアプローチでのATT&CKの使い方は、いわば攻撃グループからの脅威を特定し、対策の優先度を決める「リスク評価」です。リスク評価の手法は、主にガイドラインなどを利用した「ベースラインアプローチ」でのリスク評価が主流ですが、「攻撃者目線の攻撃シナリオを基に、重要資産を保護するために何を優先的に対策すべきか」でリスク評価するのが、脅威ベースアプローチです。

  • ベースラインアプローチ:時間がかかるが網羅的で抜けが少ない
  • 脅威ベースアプローチ:ベースラインアプローチに比べてかかる時間が少ないが、脅威が偏りがちになるので、ベースラインアプローチとの組み合わせが望ましい

脅威ベースアプローチのプロセス

 脅威ベースアプローチのプロセスを簡単に示すと下記のようになります。

  1. 攻撃グループを特定する
  2. 攻撃グループが使うテクニックを特定する
  3. テクニックへの対策と自システムのギャップを洗い出し、ギャップが及ぼす資産への影響を分析する
  4. 優先的に対策すべきリスクを特定する

 ここから、各プロセスについて説明します。

1.攻撃グループを特定する

 まずは「どのように攻撃グループを入手するのか」についてです。一例としてATT&CKの検索機能から「自身が所属する組織の業界を狙う攻撃グループ」を検索する手法があります。その他、OSINT(*1)によって話題となっている攻撃グループや攻撃キャンペーン情報(*2)を収集する手法も有効です。

(*1)OSINT:オープンソースインテリジェンス(Open Source Intelligence)の略で、サイバーセキュリティ領域ではインターネットなどの公開情報から有用な情報収集する手法を指す
(*2)攻撃キャンペーン:短期の攻撃とは異なり、長い期間をかけて目標に侵入する活動の総称

 今回は、Navigatorの使い方の説明も兼ねて、業界を狙う攻撃グループを検索する手法を紹介します。

 ATT&CKでの検索は、ページ右上の検索バーから業種を検索することによって、自身の組織が所属する業界をターゲットとする攻撃グループの情報を収集できます。

 ATT&CKの情報は新旧入り交じった情報なので、精度の高い攻撃グループの特定には、OSINTによる情報収集や外部ベンダーの脅威インテリジェンスサービスに依頼するなどが必要であり、それなりのコストがかかるのが実情です。

 今回の例ではエネルギー業界を対象とし、「energy」で検索した結果を見てみましょう。検索結果の「G0064」といった“G”から始まるIDはATT&CKによる攻撃グループのIDを示しています。


図1 MITRE ATT&CKの検索結果

 図1の検索結果からは多数の攻撃グループ情報が確認できます。今回はその中から2つの攻撃グループと攻撃キャンペーンを取り上げて分析します(本来であれば、全ての攻撃グループを分析対象とすべきです)。

表2 攻撃グループ情報
攻撃グループ(攻撃キャンペーン) 概要
APT33 航空業界やエネルギー業界を狙う政府支援型の攻撃グループ
Operation wocao 複数業界を狙った攻撃キャンペーン

2.攻撃グループが使うテクニックを特定する

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  2. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  3. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  4. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  5. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  6. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 「DX推進」がサイバー攻撃を増加させている? Akamaiがセキュリティレポートを公開
  9. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  10. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
ページトップに戻る