MITRE ATT&CK DefenderのCertificationを取得した話
こちらの記事を読んでからずっと気になっていたので、まずは Fundamentals のトレーニングと Certification(ATT&CK Fundamentals Badge)を受けてみた。
本記事は MITRE ATT&CK とは何かをおおよそ知っていることを前提にしていますので、MITRE ATT&CK Defender (MAD) については以下を参照ください。(詳細は割愛mm
https://mitre-engenuity.org/mad/
Intro
2021/09/20 時点では、先のブログから状況は変わらず以下の 3 つのトレーニング(英語)が提供されています。後述のお布施分の利益があるかは不明ですが、トレーニングは無料で受けることができるので学びの点ではお勧めです。
- ATT&CK Fundamentals
- ATT&CK Cyber Threat Intelligence
- ATT&CK SOC Assessments
Certification の取得のためには年間 299USD が必要となります(お布施...)。
2021/09/20 時点で(も)認定は以下の 2 つで、サブスクリプションを申し込んだ上で、いくつかのオンライン試験をうけて Badge を取得取得することで認定されます(Ver. 3.7)。
- ATT&CK Cyber Threat Intelligence
- The ATT&CK Cyber Threat Intelligence (CTI) Certification is for practitioners interested in certifying a mastery in the application of ATT&CK to improve existing threat intelligence practices. The training and experiential assessments validate a learner’s ability to map to ATT&CK from both finished reporting and raw data, perform CTI analysis using ATT&CK-mapped data, make defensive recommendations based on research, and more.
- ATT&CK Security Operations Center Assessment
- The ATT&CK Security Operations Center (SOC) Certification validates defenders’ proficiency at using ATT&CK to perform rapid, low overhead SOC Assessments. The certification confirms defenders’ abilities to align modern security operations with ATT&CK for a threat-informed defense. Specific topics include analysis of SOC tools and resources, interview and discussion capability, ATT&CK with personnel, and building recommendations based on results.
ATT&CK Fundamentals
- Module 1 : ATT&CK の理解
- Module 2 : ATT&CK を利用するメリット
- Module 3 : ATT&CK の運用
各単元は「学習の目的、説明、ミニ演習、まとめ」で構成されている数分の内容になっていますので、とても理解しやすいように感じました。
Module 1(30min): Understanding ATT&CK
Lesson 1.1 - Introduction to ATT&CK
ATT&CK の基本スタンス。提供される情報の構成(TTPs との関係など)。
Lesson 1.2 - Matrices / Platforms
ATT&CK マトリクスの要素。プラットフォーム毎のマトリクスの関係。
Lesson 1.3 - Tactics
ATT&CK における Tactics とは。
Lesson 1.4 - Technique and Sub-Techniques
ATT&CK における Techniques とは。Techniques と Sub-Techniques の関係。
Lesson 1.5 - Mitigations
Techniques と Mitigations の関係。
Lesson 1.6 - Data Sources and Detections
ATT&CK における Data Sources とは。Data Sources と検出(方法)の関係。
Lesson 1.7 - Group and Software
ATT&CK における Groups, Software とは。Technique と Groups と Software の関係。
Lesson 1.8 - How ATT&CK Grows and Evolves
内容の更新(頻度、履歴)とその理由。更新のトラック方法。コントリビューション。
Module 2(12min): Benefits of Using ATT&CK
Lesson 2.1 - Community Perspective
情報源や引用方法。多くのコントリビュータの存在。
Lesson 2.2 - Common Language
共通言語として機能する ATT&CK のメリット。
Lesson 2.3 - Quantitative Scorecard
ATT&CK マトリクスをスコアカードとして利用する(優先順位、対応状況の評価)
Lesson 2.4 - ATT&CK Navigator
ATT&CK Navigator とは。その利用方法。
Module 3(17min): Operationalizing ATT&CK
Lesson 3.1 - Cyber Threat Intelligence
CTI がなぜ重要なのか。CTI と ATT&CK の関係。
Lesson 3.2 - Detection and Analysis
検知分析を行う際の CTI の利活用方法。
Lesson 3.3 - Threat Emulation
Threat Emulation とは。Threat Emulation の利活用方法。
Lesson 3.4 - Assessment and Engineering
評価と改善活動。対応の優先順位。
Lesson 3.5 - Putting it all Together into Threat-informed Defense
ATT&CK を運用に取り入れる意義。
Lesson 3.6 - Course Summary
ATT&CK Fundamentals のまとめ
ATT&CK Cyber Threat Intelligence
(次回) 書いた。
ATT&CK SOC Assessment
(次々回... たぶん)
ATT&CK Fundamentals Badge
ATT&CK Fundamentals の Module 1 から 3 を一度ざっと聞いて、そのままの勢いで Badge 取得に挑戦してみました。
トレーニングの各単元の最後にあるような問題形式でしたが、割と細かいことを問われましたのでトレーニング中の講師の話はしっかり聴きましょう(自戒)。ATT&CK のサイト内の情報を参照して答える問題もあるので、最初から準備をしておくと吉です。なお、トレーニング中にあった正誤の二者択一問題や、All of the above が選択肢に含まれる問題はなく(私の受けた範囲では)、90 分で 50 問強に回答する内容で以下のような回答形式でした。
- 複数の選択肢から問題文の説明として最適な単語、センテンスを選ぶ(単一選択形式)
- 複数の選択肢から問題文の説明として適した単語、センテンスを選ぶ(複数選択形式)
- 複数の選択肢から問題文の空欄に適した単語、センテンスを選択
- 複数の選択肢から問題文の説明として適した図を選ぶ
- 複数の選択肢から問題文の説明として間違っているものを選択
つまり、一般的なオンライン試験形式です。サブスクだし Pass 基準に足りなくても一定期間後に再受験できるかな?その時はその時でレポートとして有益な情報になるかな?と考えてましたが、ぎりぎりでパス(たぶん 80% が Pass のライン)するという中途半端な結果に...。
きっと CTI の Badges 取得の途中でしくじりそうな気もするので、再受験の可否や方法はその時に改めて(^^; さて、お布施した以上は Run Through せねば。