攻撃を基に防御を最大化する考え方 MITRE ATT＆CKについて理解する

はじめに

本記事ではセキュリティフレームワークの一つであるMITRE ATT＆CKについて記載しています。

MITRE ATT&CK フレームワークは、MITREのプロジェクトとして2013年に開始されました。

ATT＆CKを知る前に、まずはMITREについて知りましょう。

MITRE

MITREはアメリカの非営利団体です。

安全な世界のために問題を解決することをミッションとし、連邦政府が資金提供する研究開発センター（FFRDC）の管理や、航空、防衛、ヘルスケア、国土安全保障、サイバーセキュリティなどの分野で公益のために活動しています。

Corporate Overviewより、公益のために設立された会社として、「業界と競争しないこと、商業的な利益相反の欠如は私たちの客観性の基礎を形成する」など、利潤の追求が目的ではなく、各分野にて本質的な課題解決を行うことなどその崇高なマインドが伝わります。

As a company chartered to work in the public interest, we have no owners or shareholders, and we don't compete with industry. This lack of commercial conflicts of interest forms the basis for our objectivity. We can acquire sensitive and proprietary information from the government, industry, and other partners to inform our work. Organizations are willing and able to share data because they know we won't use it for a competitive advantage.

用語

セキュリティフレームワークによく登場する用語について、以下に記載します。

• APT
  Advanced Persistent Threatの略語です。
  サイバー攻撃の一種である標的型攻撃の内、持続的に潜伏して行われる標的型攻撃をAPT攻撃と呼びます。

　アメリカに本社を置くサイバーセキュリティ企業として、ファイア・アイ(FireEye)がレポートしているAPTグループのリストはAdvanced Persistent Threat Groupsから確認できます。APTグループは、APT + 数字で識別されています。

• TTP
  TTPはTactics、Techniques、Proceduresの略語で、それぞれの意味は以下の通りです。

  • Tacticは戦術として、敵の目標や目的を意味する
  • Techniqueはテクニックとして、敵が目標や目的を達成する方法のこと
  • Procedureは手順となり、文字通りどのように実行されるかについて

• adversary
  adversaryは敵のことです。攻撃者であるクラッカー (Cracker)のことを指し、adversary'sと複数形で表現されることが多いです。

ATT&CK® framework

概要

MITER ATT＆CK ®(Adversarial Tactics, Techniques, and Common Knowledge)は実世界の観察に基づいて整理された、敵の戦術と技術に関わるグローバルアクセス可能なナレッジベースです。

セキュリティフレームワークとして表現され、ATT&CKをベースにしてセキュリティモデルを構築することができます。

元々、ATT＆CKはFMX（ Fort Meade Experiment ）として知られる内部プロジェクトから始まりました。Getting Startedから、ATT＆CKとは何か？何故作成されたのか？その理由などを知ることができます。また、MITRE ATT&CK™ : DESIGN AND PHILOSOPHYを読むことで、設計哲学を理解できます。

ATT&CK 101 Blog Post　より、ATT＆CKが作成された理由として、4つの課題に対処するためのフレームワークが必要であると判断されたと書かれています。

• 敵対者の行動。
• 適合しなかったライフサイクルモデル。
• 実際の環境への適用性。
• 一般的な分類法。

要約すると、敵のライフサイクルにおける行動パターンと、サイバーキルチェーン¹の概念を突合させた際に、サイバーキルチェーンは構造的に抽象度が高く、TTPを充分に補完できなかったのが課題だったとのことです。

MATRICES

ATT&CKはEnterprise、Mobile、ICSを包含しています。また、戦術とテクニックはMATRICESとして構造化されています。

Enterprise Matrixを例にすると、Matrixの上部には14のカテゴリがあり、各カテゴリには敵が戦術を実行するために使用できる手法が含まれています。また、カテゴリは7段階のサイバー攻撃ライフサイクル（サイバーキルチェーン）をカバーしています。

上記、Enterprise Matrixで公開されている情報は、ツールとしてMITRE ATT&CK® Navigatorが提供されています。

ATT＆CKマトリックスを活用することで、脅威を持つAPTグループと戦術・手法をマッピングしたり、WindowsやLinuxなどプラットフォームに対してマッピングすることができます。

ATT＆CKの導入に関して、具体的な考え方を知りたい場合、Getting Started with ATT&CK: Threat Intelligenceの記事が参考になります。記事の中でレベル分けされているので、組織の成熟度に応じて適用することができます。

Adversary Emulation Plans

Adversary Emulation Plansは攻撃と、防御に関してATT＆CKの実用的な使用法を表現するためのドキュメントです。

３つのフェーズから構成されていて、GitHubでライブラリも公開されいてます。

• Adversary Emulation Library

Threat matrix for Kubernetes

Microsoftより、MITRE ATT&CK フレームワークをベースとした、Kubernetesの脅威MatrixとしてThreat matrix for Kubernetesが公開されています。

このKubernetesの脅威Matrixは、コンテナオーケストレーションのセキュリティに関連する主要な手法を含むATT＆CKのようなMatrixとなっているため、Kubernetesに対する攻撃手法の分析ができます。

現在の最新版はSecure containerized environments with updated threat matrix for Kubernetesになります。最新版より、いくつかのTechniqueは廃止になったり、新しいTechniqueが追加されています。

現在は10の戦術が含まれています。それぞれに、攻撃者がさまざまな目標を達成するために使用できるいくつかの手法が含まれています。

Adversary Playbooks

ネットワークセキュリティ商品として次世代ファイアウォールなどを販売するPalo Alto Networks社では、Unit42というグローバルに活動する脅威インテリジェンスチームが存在します。

Unit42はMITRE ATT&CK フレームワークを活用したAdversary Playbooksを公開しています。

このツールは攻撃者グループのインテリジェンスが時間軸で整理されているため、時間の経過とともにどのように行動を変えたかを比較できます。

CAR Knowledge Base

MITRE Cyber Analytics Repository (CAR) は、敵対モデルに基づいてMITREによって開発された分析のナレッジベースです。

ATT＆CKとCARは、それぞれ別々のプロジェクトとなり、MITRE Cyber Analytics Repositoryから、全ての分析を確認できます。

おわりに

よくセキュリティはイタチごっこと言われますが、ATT&CKを知ることで、攻撃を基に防御を最大化する考え方が理解できた気がしました。また、脆弱性に対して攻撃者（アタッカー、クラッカー）の視点で考えることの重要性がよく分かります。

1. アメリカのロッキードマーティン社が唱えた、軍事用語で使われていたキルチェーン（英語：Kill Chain）の造語 ↩