MITERとは
MITREは、米国の連邦政府が資金を提供する非営利組織であり、国の安全性に関する事項に取り組んでいます。サイバーセキュリティの分野では、NISTの連邦研究開発センター(Federally funded research and development center:FFRDC)の運営を行い、官民パートナーシップおよびハブとしての機能を提供しています。また、国土安全保障省(DHS)の資金を得て、世界中の脆弱性情報に対して採番を行うCVE(Common Vulnerabilities and Exposures、共通脆弱性識別子) の運用を行っています。
MITRE ATT&CKの概要
MITERのATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)は、直訳すると「敵対的な戦術とテクニック、共通知識」です。ATT&CK は上記のCVEをもとに、脆弱性を悪用した実際の攻撃を戦術と技術または手法の観点で分類したナレッジベースです。この戦術とは、初期侵入、悪意あるプログラムの実行、永続性、特権昇格、防御回避、認証情報アクセス、探索、水平展開、情報収集、C&C、情報送信、影響(Impact) に分類されています。そして、戦術ごとに個別の攻撃の手法や、緩和策等、セキュリティベンダー等が提供しているリンクが記載されています。
MITRE ATT&CKは、さらにエンタープライズ向け、モバイル向け、産業用制御システム向けの3つの分野に分けて戦術を分類しています。エンタープライズ向けではOSやプラットフォーム別に紹介されています。
ATT&CKの戦術(Tactics)
ATT&CKでは12種類の戦術を定義しています。攻撃者は、初期アクセスから順番に攻撃を行います。攻撃を行い、最後の影響(Impact)のまで進め、目的を達成します。
戦術 | 概要 |
初期アクセス(Initial Access) | 攻撃者がネットワークに侵入しようとしている。 |
実行(Execution) | 攻撃者が悪意のあるコードを実行しようとしている。 |
永続化(Persistence) | 攻撃者が不正アクセスする環境を確保しようとしている。 |
権限昇格(Privilege Escalation) | 攻撃者がより高いレベルの権限を取得しようとしている。 |
防衛回避(Defense Evasion) | 攻撃者が検知されないようにしようとしている。 |
認証情報アクセス(Credential Access) | 攻撃者がアカウント名とパスワードを盗もうとしている。 |
探索(Discovery) | 攻撃者がアクセス先の環境を理解しようとしている。 |
水平展開(Lateral Movement) | 攻撃者がアクセス先の環境を移動しようとしている。 |
収集(Collection) | 攻撃者が目標に関心のあるデータを収集しようとしている。 |
C&C(Command and Control) | 攻撃者が侵害されたシステムと通信して制御しようとしている。 |
持ち出し(Exfiltration) | 攻撃者がデータを盗もうとしている。 |
影響(Impact) | 攻撃者がシステムとデータを操作、中断、または破壊しようとしている。 |
MITRE ATT&CKの利用方法
MITRE ATT&CKの利用法について、以下に記載します。
- 攻撃者の攻撃を想定するシナリオの作成ツールとして
- レッドチーム演習のプラン作成のためのツールとして
- SOC(Security Operations Center)の成熟度評価
- 脅威インテリジェンスの強化
ATT&CKとサイバーキルチェーンとの関連
サイバーキルチェーンとMITRE ATT&CKの関連について以下に記載します。
PRE-ATT&CKはキルチェーンの前半の3段階(偵察、武器化、および配送)に関連し、ATT&CKは、後半の4段階(攻撃、インストール、遠隔操作、および目的実行)に関連します。
参考にさせていただいたサイト