Help us understand the problem. What is going on with this article?

MITRE ATT&CK について知ろう!!

こちらは、 LIFULL Advent Callender 2019 14日目の記事になります。

株式会社 LIFULL セキュリティG の 福沢 と申します。
普段の業務では、

  • 脆弱性の調査
  • セキュリティインシデントを予防・低減するための取り組み

などを行っています。

この記事 is なに ??:rolling_eyes:

この記事では、ATT&CK (アタックと読みます)という
サイバー攻撃者の戦略、テクニック、ナレッジについて体系化してまとまっている
フレームワークについての調査記事になります。

セキュリティの業務を行っている中で、"ATT&CK" というワードを
最近よく見かけるようになり、これがどういったもので、
どのように活用できるかを知りたいと思い今回調べてみました!

ATT&CK とは

attack-logo-bold.png

(引用)公式サイトより

ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) とは、
サイバー攻撃者の戦略、テクニック、ナレッジについて体系化してまとめているフレームワークです。

MITRE社(※)が2013年より開発しており、四半期毎に内容がアップデートされています。

※ MITRE社とは
アメリカの非営利団体。
CVE(脆弱性識別番号)を採番している組織。
https://www.mitre.org/

ATT&CKの内容

それでは、どのような情報が載っているのでしょうか。
内容について確認していきたいと思います!

ATT&CK には、攻撃者の視点で、どんな戦術でどのような手法を
利用しているのかをマトリックス図として見ることができます。

マトリックスには、大きく 3つ の種類があります。
(リンク先からマトリックス図を確認できます。)

マトリックスの見方

matrics_2.png

見出しになっている (赤枠) 部分が "戦術" を表す項目で、
- Initial Access
- Execution
- Persistence
- Privilege Escalation
- Defense Evasion
- Credential Access
- ...
などがあります。

その下に "手法" (緑枠部分) が記載されています。

以下の例でもう少し見てみましょう。
matrics.png
これは、AWS のマトリックスですが、
例えばCredential Access を行う手法として、(つまり、クレデンシャル情報を盗む方法として)

  1. Account Manipulation
  2. Cloud instance metadata API
  3. Credentials in Files

の3つの攻撃手法があることがわかります。
それぞれの攻撃手法の詳細ページを見に行くと、

  • 攻撃手法についての説明
  • この攻撃手法を利用した攻撃グループやツールについての情報
  • 攻撃の緩和策についての情報
  • 実際に過去に起こった事例集(Reference)

を確認することができます。
(正直攻撃グループについての記載があることにはびっくりしました。)

その他の情報

上記に書いてあるとおり、ATT&CK では、
実際の攻撃グループについての情報やツールの情報も
参照することができます。

ATT&CK を活用できる場面

以下のような場面で活用できるのではと思いました。

  • 攻撃者の視点を知り、組織やシステムと照らし合わせ、セキュリティの対策ができるかの確認に利用する
  • 脅威情報の収集ツールの1つとして利用する
  • レッドチームのインプットとして活用する
  • 脅威モデリングとして利用して、リスクの洗い出しに活用する

などなどが考えられると思います。

APIにて、
ATT&CK のコンテンツ情報へのアクセスができるため、
他の活用方法も考えれば色々とありそうです。

まとめ

ATT&CKは、
世界中のセキュリティのナレッジがまとまっていて、
それを皆で活用していこう、という考え方で個人的にとても共感しました!
また攻撃者の多様な観点を体系的に知れるので、
1つの攻撃経路を防ぐだけでなく、いろんな観点で対策を計画しないといけないと
改めて思いました。 ATT&CK については今後もウォッチしていこうと思います。

参考:
- MITRE ATT&CK: THE PLAY AT HOME EDITION (BlackHat 2019)
- Whiteboard Wednesday: 3 Minutes on MITRE ATT&CK™
- What is the MITRE ATT&CK™ Framework?
- What Is MITRE ATT&CK and How Is It Useful

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away