Blog - article

MITRE ATT&CK Matrix を使用した一貫性ある脅威ハンティングの実現

MITRE ATT&CK Matrix を使用した一貫性ある脅威ハンティングの実現

MITRE ATT&CK Matrix を使用した一貫性ある脅威ハンティングの実現

By:
投稿者:
Vectra
December 13, 2019

脅威ハンティングの実施にあたって共通の言語を使用するとは、どういう意味でしょうか?

従来の脅威ハンティングは、直感や過去の知識に基づいて脅威を探し出す形態が一般的となっており、隠れた攻撃者による不正の機会も残存されるため、時として、効果のない永遠に続く作業のように感じられることさえあります。

SANSのデジタルフォレンジックおよびインシデント対応インストラクターであるMatt Bromiley氏は、最近公開したホワイトペーパーにおいて、MITRE ATT&CK Matrixをマーケティングツールとしてではなく、共通の用語として使用するという、脅威ハンティングの新しい考え方について解説しています。

不正行為者の目的、テクニック、戦略を特定することで、単独のアクティビティとしてではなく、どのような手段で攻撃者がその目的を達成しようとしているのかという全体的な観点から、脅威のハンティングを行うことが可能になります。

担当チームは、「ATT&CKで会話する」ことで、ハンティングで目指す結果や、システム環境への新たなアプローチを、共通の言葉を使って説明できるようになります。

企業が脅威ハンティングを行う際にしばしば見られる失敗は、組織を成果物単位に分割してしまうという行為です。

不正行為者は、順を追ってシステム環境を攻撃するわけではないため、優れた脅威ハンティングを行うためには、該当アクティビティによって影響を受ける可能性のある、あらゆる組織を関与させる必要があります。

脅威ハンターには「何がどのように悪用されているか」と考える以上の行動が求められます。

つまり、何が、どこで、どのように発生しているのかを、関係者全員が共通の言葉を使って考えることで、特定のハンティングのアクティビティを明確に定義付けることができるのです。

システム環境の可視化やインサイトの蓄積に向けて脅威ハンティングを使用します。

脅威ハンティングを、新しい言葉という観点から考え、ラテラルムーブメントやデータ流出などの攻撃行動を探し出すハンティングを開始します。

脅威ハンティングに関する共通の言葉を使用することで、可視化におけるギャップを明らかにし、セキュリティ対策全般に関する意思決定を促進することができます。

攻撃者が使用するカテゴリーやテクニック、手段をより効果的に説明するためにMITRE ATT&CK Matrixを使用することで、担当チームは脅威ハンティングについてより簡潔に伝達を行うくことができるようになります。

「Credential Access(資格情報へのアクセス)」や「Defense Evasion(防御の回避)」といったカテゴリーは、脅威について考えたり、脅威ハンティングの方法を検討する際、ハイレベルな段階から様々な段階へと移っていく上での「スターター」という位置付けになります。

MITRE ATT&CK Matrixにおける重要なポイントとなるのは、様々なテクニックを組み合わせて特定のグループの活動を表現できる点です。

これにより、不正行為者を特定できた場所と、特定できなかった場所を判定することができます。

また、ハンティングで利用して、脅威グループの存在を検知することもできます。

さらに、これらのテクニックを様々な脅威グループに適用しながら、脅威の全体像をカバーし、インサイトを取得できるようになります。

皆様も、自社のシステム環境で理解できるものと理解できないものを見極めるために、MITRE ATT&CK Matrixを使って脅威ハンティングを始めてみてはいかがでしょうか。

MITRE ATT&CK Matrixの詳細については、ホワイトペーパーに加えMatt Bromiley氏とVectraのヘッドセキュリティアナリティクスであるChris Moralesが登壇するWebキャストをご参照ください

About the author

Vectra

Vectra® is the world leader in AI-powered network detection and response.

Author profile and blog posts

Most recent blog posts from the same author

Threat detection

Machine learning: The cornerstone of Network Traffic Analytics (NTA)

January 26, 2019
Read blog post
Cybersecurity

Breaking ground: Understanding and identifying hidden tunnels

July 11, 2018
Read blog post
Breach

Giving incident responders deeper context about what happened

June 4, 2018
Read blog post