MITRE ATT&CK について知ろう！！

こちらは、 LIFULL Advent Callender 2019 14日目の記事になります。

株式会社 LIFULL セキュリティG の 福沢 と申します。
普段の業務では、

• 脆弱性の調査
• セキュリティインシデントを予防・低減するための取り組み

などを行っています。

この記事 is なに ？？

この記事では、MITRE ATT&CK (マイターアタックと読む)という
サイバー攻撃者の戦略、テクニック、ナレッジについて体系化してまとまっている
フレームワークについての調査記事になります。

セキュリティの業務を行っている中で、"MITRE ATT&CK" というワードを
最近よく見かけるようになり、これがどういったもので、
どのように活用できるかを知りたいと思い今回調べてみました！

MITRE ATT&CK とは

（引用）公式サイトより

• MITRE ATT&CK™

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) とは、
サイバー攻撃者の戦略、テクニック、ナレッジについて体系化してまとめているフレームワークです。

MITRE社(※)が2013年より開発しており、四半期毎に内容がアップデートされています。

※ MITRE社とは
アメリカの非営利団体。
CVE(脆弱性識別番号)を採番している組織。
https://www.mitre.org/

MITRE ATT&CKの内容

それでは、どのような情報が載っているのでしょうか。
内容について確認していきたいと思います！

MITRE ATT&CK には、攻撃者の視点で、どんな戦術でどのような手法を
利用しているのかをマトリックス図として見ることができます。

マトリックスには、大きく 3つ の種類があります。
(リンク先からマトリックス図を確認できます。)

• ① PRE-ATT&CK (攻撃成立するまでの戦略とテクニック)
• ② MITRE ATT&CK(攻撃成立した後の戦略とテクニック)
  • WINDOWS
  • macOS
  • Linux
  • Cloud
    • AWS
    • GCP
    • Azure
    • Office365
    • AzureAD
    • SaaS
• ③ MITRE ATT&CK for Mobile(モバイルにおける攻撃成立後の戦略とテクニック)
  • Android
  • iOS

マトリックスの見方

見出しになっている (赤枠) 部分が "戦術" を表す項目で、

• Initial Access
• Execution
• Persistence
• Privilege Escalation
• Defense Evasion
• Credential Access
• ...
  などがあります。

その下に "手法" (緑枠部分) が記載されています。

以下の例でもう少し見てみましょう。

これは、AWS のマトリックスですが、
例えばCredential Access を行う手法として、(つまり、クレデンシャル情報を盗む方法として)

1. Account Manipulation
2. Cloud instance metadata API
3. Credentials in Files

の3つの攻撃手法があることがわかります。
それぞれの攻撃手法の詳細ページを見に行くと、

• 攻撃手法についての説明
• この攻撃手法を利用した攻撃グループやツールについての情報
• 攻撃の緩和策についての情報
• 実際に過去に起こった事例集(Reference)

を確認することができます。
(正直攻撃グループについての記載があることにはびっくりしました。)

その他の情報

上記に書いてあるとおり、MITRE ATT&CK では、
実際の攻撃グループについての情報やツールの情報も
参照することができます。

• Groups (攻撃グループの情報)

  • https://attack.mitre.org/groups/
  • ※ ただし、全てのグループについて網羅されている訳ではないとのこと。

• Software(攻撃ツールについて)

  • https://attack.mitre.org/software/
  • 今話題のEmotetや少し前に流行したWannaCry の情報も確認ができます。

MITRE ATT&CK を活用できる場面

以下のような場面で活用できるのではと思いました。

• 攻撃者の視点を知り、組織やシステムと照らし合わせ、セキュリティの対策ができるかの確認に利用する
• 脅威情報の収集ツールの1つとして利用する
• レッドチームのインプットとして活用する
• 脅威モデリングとして利用して、リスクの洗い出しに活用する

などなどが考えられると思います。

APIにて、
MITRE ATT&CK のコンテンツ情報へのアクセスができるため、
他の活用方法も考えれば色々とありそうです。

まとめ

MITRE ATT&CKは、
世界中のセキュリティのナレッジがまとまっていて、
それを皆で活用していこう、という考え方で個人的にとても共感しました！
また攻撃者の多様な観点を体系的に知れるので、
1つの攻撃経路を防ぐだけでなく、いろんな観点で対策を計画しないといけないと
改めて思いました。 MITRE ATT&CK については今後もウォッチしていこうと思います。

参考：

• MITRE ATT&CK: THE PLAY AT HOME EDITION (BlackHat 2019)
• Whiteboard Wednesday: 3 Minutes on MITRE ATT&CK™
• What is the MITRE ATT&CK™ Framework?
• What Is MITRE ATT&CK and How Is It Useful