こんにちは ;) 技術本部のAIです。
今回はSumo Logic社のMITRE ATT&CKに関するブログを日本語化したものです。
原文はこちらをご参照ください。
クラウドアプリケーションとサービスが組織の間で重要性を増すにつれて、攻撃者もこれらのクラウドネットワークを標的とするツールセットを進化させています。リモートワークと電話会議の急増は、悪意のある活動にとって前例のない機会をもたらしています。ここで登場するのが、MITRE ATT&CKフレームワーク、別名MITRE ATT&CKマトリックスです。これは、最新の敵の戦術、技術、手順(TTP)からクラウドインフラストラクチャとオンプレミスインフラストラクチャを防御するための貴重な情報源です。このフレームワークを活用するセキュリティチームは、MITRE ATT&CKの戦術とサイバー脅威に対抗し、常に変化するサイバーランドスケープに適応するための準備がより整っています。
MITRE ATT&CKの解明
MITRE ATT&CKは、「Adversarial Tactics, Techniques, and Common Knowledge(敵対的戦術、技術、共通の知識)」の略です。これは、攻撃者がコンピューターネットワークへのアクセスを獲得した後に取る可能性のある一連の行動を分類し、記述する厳選された知識ベースです。この知識は、広範な実世界の観察の結果であり、セキュリティチームや専門家が容易に理解し適用できる形式で共有されています。
MITRE ATT&CKフレームワークは、抽象的な概念の集まりではありません。それは実用的な脅威インテリジェンスを表しています。それが高く評価されている理由はいくつかあります。
- 詳細指向:このフレームワークは、TTPを単にリストアップするだけではありません。各手法について、詳細な説明、実際の事例、潜在的な軽減戦略、および検出方法を提供します。
- 進化する性質:サイバーランドスケープ(サイバー空間における脅威や攻撃の状況を指す)は常に変化しています。MITRE ATT&CKは静的なものではなく、新しい発見を反映するために継続的に更新されており、セキュリティ専門家は常に最新の情報を手元に置くことができます。
- 汎用的な適用性:このフレームワークは、小規模企業、大企業、政府機関に対応しています。その組織化された構造と包括的なカバレッジにより、あらゆる組織のセキュリティ体制を強化するための優れたリソースとなっています。
Sumo LogicのCloud SIEMにおけるコンテンツの進化
MITREの広範なリポジトリは、Sumo LogicのCloud SIEMコンテンツ開発の基礎となっています。Sumo Logic社のアプローチは2つあります。
- ギャップ分析:利用可能なログデータに基づき、より充実したカバレッジが必要な技術を特定し、評価します。
- 戦術の利用頻度:Sumo Logic Special Operations※、Sumo Logic社の顧客、現場チーム、Cloud SIEMソリューションからの知見といった多様な情報源からフィードバックを集めることで、攻撃者が一般的にどのような戦術を展開しているかを特定します。
※Sumo Logic Special Operations(SpecOps)については後述しております。
Sumo Logic社のカバレッジと実際の技術利用状況を明確に把握するため、すべてのルールはMITREと細心の注意を払って連携しています。さらに、お客様はカスタムルールに特定のMITRE ATT&CK技術をシームレスにタグ付けできるため、脅威の検出と対応に対して、より構造化された包括的なアプローチが可能になります。
MITRE ATT&CKカバレッジエクスプローラーによる脅威の可視化
Sumo Logicが提供するMITRE ATT&CK™カバレッジエクスプローラーは、Cloud SIEMシステム内のルールによってカバーされている攻撃者の戦術、技術、手順(TTP)を包括的に表示する戦略的なサイバーセキュリティツールです。検出能力をこのマトリックスにマッピングすることで、強みのある領域を特定し、防御のギャップを発見し、進化する脅威の状況に基づいて強化の優先順位を付けることができます。多くの場合、ヒートマップとして提示されるカバレッジエクスプローラーは、カバレッジレベルを色分けして表現し、セキュリティチームが潜在的な攻撃者の行動に対する準備状況を一目で理解できるようにします。この視覚的なツールは、情報に基づいた意思決定を促進し、サイバー防御への積極的なアプローチを可能にします。
この動的なページでは、ユーザーが脅威検出能力を3つの方法で評価できます。
- 最近のアクティビティ(Recent activity) – 過去180日間に受信したシグナルに基づいて、組織のカバレッジを表示します。
- すべてのコミュニティ活動(All community activity) – Cloud SIEM を利用している他の顧客と比較して、自社がどのようなカバレッジを欠いているかを判断します。
- 理論上のカバレッジ(Theoretical coverage) – Sumo Logicに取り込まれたすべてのデータが正常に動作し、有効になっているすべてのルールが少なくとも1つのシグナルを生成した場合の、組織のカバレッジを表示します。この表示は、実装する上で最も価値のあるカスタムルールを決定するのに役立ちます。
可視化機能、フィルタリングオプション、エクスポート機能は、セキュリティ担当者がルールの有効性を最適化し、データソースを評価し、業界標準のMITRE ATT&CKフレームワークに合わせて防御を戦略的に調整することを可能にします。
Sumo LogicのCloud SIEMソリューションを調べる
Sumo Logicは、SOC(セキュリティオペレーションセンター)チームがサイバー脅威に対してより効果的に防御し、クラウドSIEMによってセキュリティ運用を最新化することを可能にします。このクラウドネイティブなSIEMソリューションは、組織のセキュリティ体制を包括的に可視化します。アナリストが必要とする実用的な洞察を自動的に明らかにし、組織のクラウドジャーニーを保護し、変化する攻撃対象領域を管理し、SOCに革新をもたらします。
SIEMを最大限に活用する方法について、さらに詳しく学びましょう。
クラウドアプリケーションとサービスが組織間でますます一般的になるにつれて、攻撃者はクラウドネットワークを標的とし、侵入するためのツールセットを進化させ続けるでしょう。リモート従業員や電話会議の増加に伴い、組織にとってクラウドコンピューティングはこれまで以上に重要になっています。クラウドコンピューティングは世界中からリソースへのアクセスを提供できるため、善意の者にとっても悪意の者にとっても素晴らしいものです。
MITRE ATT&CKフレームワークは、最新の攻撃者の戦術、技術、手順(TTP)に対して、クラウドとオンプレミスの両方のインフラストラクチャを防御するための多数の方法を提供します。ATT&CKフレームワークを活用するセキュリティチームは、悪意のある者に対して優位に立ち、常に変化する脅威の状況に合わせて防御を測定し、進化させることができます。
MITRE ATT&CKとは?
MITREは、現実世界のシナリオに基づいた敵対的戦術と技術の知識ベースです。この情報ライブラリは、民間部門から政府機関に至るまで、サイバーセキュリティコミュニティ全体で利用されています。MITREは、MITRE ATT&CKエンタープライズマトリックスを使用して、これらの戦術と技術を視覚的に表現しています。これらの戦術は、攻撃ライフサイクルに基づいて左から右に構成されており、偵察(Reconnaissance)から始まり、影響(Impact)で終わります。各戦術は、さらに複数の技術とサブ技術に細分化されています。これらは、敵が各戦術内で実行する詳細かつ具体的な行動であり、実際の例と補足資料が添付されています。
https://attack.mitre.org/techniques/T1059/001/
コンテンツ開発
MITREが提供する広大な知識ベースは、Sumo LogicのCloud SIEMコンテンツが開発される多くの方法の1つです。MITRE ATT&CKフレームワークに含まれる膨大な量の攻撃者情報を考慮し、Sumo Logic社は焦点を当てる戦術と技術を優先する際に、主に2つのアプローチを取っています。
- ギャップ分析 – ログソースの利用可能性に基づいて、どの技術がカバレッジを欠いているか、またはより深いカバレッジを持つことができるかを理解すること。
- 技術使用頻度 – Sumo Logic社は、Sumo Logic Special Operations(SpecOps)サービス、お客様、およびフィールドチームからのフィードバックに加え、Cloud SIEM Enterprise製品で生成されたシグナルとインサイトを収集しています。これにより、どのMITRE技術が他の技術よりも攻撃者によって頻繁に使用されているかを理解することができます。
Sumo Logic社のMITRE ATT&CKカバレッジと、実際の顧客環境で確認された戦術および技術の両方を測定するために、すべてのルールをMITREに準拠させています。これは、前述の2つのアプローチにおけるSumo Logic社のコンテンツ進化に直接結びついています。
ロードマップ
ギャップ分析と技術の頻度は常に進化しているため、MITREが新しいバージョンをリリースする際に、常に最新の状態を維持することが同様に重要です。Sumo Logic社は最近、ATT&CK v8を考慮に入れるために「ヒートマップ」とコンテンツのアライメントを更新しました。2020年10月27日にリリースされたバージョン8では、PRE-ATT&CKがエンタープライズATT&CKに統合され、偵察(Reconnaissance)とリソース開発(Resource Development)という2つの新しい戦術がフレームワークに追加されました。MITREフレームワークを最新の状態に保つための次の優先事項は、Sumo Logic Cloud SIEMコンテンツのサブテクニックレベルまで追加のアライメントを行うことです。
MITRE ATT&CKは、攻撃の戦術、技術、手順を分類するための優れたフレームワークです。MITRE ATT&CKと、Sumo Logicがデジタル変革のセキュリティ強化にどのように活用しているかについて、さらに詳しく学びましょう。
MITRE ATT&CKヒートマップ
MITRE ATT&CKを活用してコンテンツを開発すると、私たちが低、中、高のカバレッジを持つ技術を視覚的に示したヒートマップが生成されます。このヒートマップは、MITREのATT&CK Navigatorツールを使って作成されます。
