MITRE ATT&CKとは

実際の攻撃における攻撃者の行動に目を向けて、その振る舞いを理解するのが、脅威に対処するための最適な方法の1つです。MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）(マイター・アタック)は、そのような攻撃者の行動を理解するためのフレームワークです。

第5ラウンドの評価については、ブログ記事「サイバーリーズンが2023年のMITRE ATT&CK®評価でサイバー攻撃対策の新たなスタンダードに」で詳しく紹介していますので、ぜひご一読ください。

MITREとその有用性

MITRE ATT&CKは四半期ごとに新たな攻撃や戦術、テクニックが更新されるので、内容は絶えず進化しています。攻撃を分類し、脅威に対処するセキュリティアナリストを支援するために、攻撃のさまざまな段階や、攻撃の標的となりえる要素が含まれています。

攻撃を実行する側と受ける側の行動を再現する目的で、MITRE ATT&CKは2013年に考案されました。このフレームワークによって脅威を検知する能力を強化できるようになり、攻撃の戦術やテクニックの分類が容易になりました。そして現在では、MITRE ATT&CKは、セキュリティを強化するための基盤として役割を果たすようになっています。

MITRE ATT&CKフレームワーク

MITRE ATT&CKフレームワークは四半期ごとに更新され、以下のようなセキュリティベンダーから提供される新しい情報が盛り込まれます。

• 攻撃時における攻撃者の戦術上の目的
• 戦術上の目的を達成するために攻撃者が用いるテクニック
• テクニックの利用状況をはじめとするメタデータのドキュメント

このフレームワークには、TTP（Tactics（戦術）、Techniques（技術）、Procedures（手順））についての詳細な説明が記載されています。これらの内容は、攻撃者が標的にするシステムの種類に応じて異なります。企業のシステムを攻撃する際に使用されるTTPは、モバイルデバイスを攻撃するときに使われるTTPとは異なります。これらの環境を区別するために、MITREでは3つのマトリクスを使用します。

• エンタープライズマトリクス：Windows、macOS、Linuxなどのエンタープライズオペレーティングシステムのプラットフォームに対応しています。
• モバイルマトリクス：AndroidやiOSで動作するあらゆるモバイルデバイスをカバーしています。
• ICSマトリクス：産業用制御システムに対応しています。

3つのマトリクスに共通して存在する戦術もありますが、いくつかの特定のテクニックやサブテクニックは多くの場合、環境に応じて変わります。

MITREの知名度が高い理由

MITREは、連邦政府や州政府、地方自治体で業務に当たることで知られている非営利団体です。MITREの業務では、人工知能や健康情報学、脅威の共有、サイバーレジリエンスなどの幅広い領域をカバーしています。MITRE ATT&CKフレームワークの制定に加え、MITREでは、テクニックの共有を促進し、サイバーセキュリティの年次カンファレンスの開催を担うコミュニティも形成しています。

MITREの手法

MITRE ATT&CKのマトリクスには、攻撃者が目的を達成するために使用する一連のテクニックが含まれます。これらの目的は戦術ごとに分類され、攻撃のライフサイクル全体にわたって提示されます。エンタープライズマトリクスには以下の戦術が含まれます。

• 偵察：攻撃を計画するために標的の情報を集める
• 初期アクセス：スピアフィッシングなどのテクニックで標的へのアクセスを試みる
• 実行：標的へのアクセスが完了した時点で不正なコードを実行
• 権限昇格：脆弱性を悪用してより高いレベルの権限を取得
• 防御回避：検知、防御を回避
• ラテラルムーブメント(水平横展開)：さらにアクセス権限を取得しようとしてシステム内を移動。多くの場合、正規の資格情報を使用
• 収集：攻撃目標に関係するデータを収集
• 持ち出し：さらなる攻撃のためにデータを窃取

個々の戦術には、目的を達成するための手順を説明したテクニックの集合が記載されています。このため、アナリストは、攻撃者の意図を詳しく理解できます。また、攻撃者が初期のアクセスに成功している場合には、セキュリティ対策や検知で改善すべきポイントがわかります。

MITREでのセキュリティベンダーの評価

MITREでは客観的な観点から定期的にサイバーセキュリティソリューションの機能を評価しています。この活動は、公益のためのイノベーションの推進と、業界で提供される脅威検知機能の強化をそのミッションにしています。

この評価において、MITREの攻撃フレームワークでは、いくつかの攻撃者グループの行動を再現し、すでにテストされたことのあるテクニックとまだテストされていないテクニックの両方に対する個々のソリューションの反応を確かめます。

Round 3においては悪意のあるファイルの実行を阻止するシステム保護の機能も、オプションで評価しました。この評価では、どのソリューションも、54の攻撃テクニックに対する防御能力のテストを受ける必要がありました。この評価では、高度なマルウェア攻撃やラテラルムーブメントなどに対するベンダーのセキュリティ能力をテストしています。テストされたソリューションには、MTTREのフレームワークに基づくスコアが付けられ、個々のシナリオにおけるソリューションのパフォーマンスが示されます。

4回目の評価ラウンドでは、サイバーリーズンは100%の防御率、可視性、リアルタイムの保護を達成しています。