ネットワーク・セキュリティの攻撃と防御の対決のためのATT&CKフレームワークの解釈

赤と青の対決は、攻撃と防御を促進するための重要な手段であり、重要なのは実際のネットワーク環境にあり、攻撃者の視点を採用して脅威要因を発見し、セキュリティ保護能力を強化し、企業のセキュリティ構築を支援する。

ATT&CKは、MITRE組織によって開発された攻撃モデリングフレームワークであり、実世界の観察に基づいた実際の攻撃ベクトルを集めたものである。ATT&CKには、公に報告されている数多くの脅威組織と、彼らが使用するツールや攻撃手法が含まれており、Red-Blue Confrontationの良い参考書や学習ガイドとして使用することができる。したがって、ATT&CKの学習研究は、Red-Blue Confrontationシリーズの記事の冒頭として使用される。

ATT&CKとは?

ATT&CKは、2013年にマサチューセッツ工科大学(MITRE Corporation)が初めて提案したフレームワークで、攻撃行動を記述するための知識ベースとモデルである。

ATT&CKの重要な寸法

ATT&CKにはいくつかの重要な次元があり、それらが一体となってATT&CKのフレームワークを形成している。
  • マトリックス:マトリックスはATT&CKフレームワークのマクロモデルである。
  • 戦術:戦術は攻撃側の攻撃目標を示す。
  • テクニック:攻撃のテクニックとは、攻撃の目的を達成するために使われる技術のことである。
  • 手順:攻撃プロセスとは、攻撃者が特定の攻撃手法を実際に使用した例を指す。
  • 緩和策:緩和策とは、さまざまな攻撃手法に対して組織がとることのできる軽減策を指す。

各次元の主な関係を以下に示す:

赤と青の対立のためのATT&CKフレームワークの入門と解説

 

ATT&CKとは何か?

サイバーキルチェーンとは対照的に、ATT&CKは攻撃チェーンの直線的な関係を正確に追うのではなく、攻撃者の攻撃手法とそれに対応する緩和策、監視手段、実際の事例の枠組みを十分に示しながら、可能な限り直線的な関係に沿うようにしている。

ATT&CKのフレームワークは、マトリックスの3つの主要カテゴリーに分かれている:

  • ATT&CK for Enterprise 企業向けアタック・チェーン
  • ATT&CK for Mobile モバイル・プラットフォーム向けアタック・チェーン
  • 産業制御システムのためのATT&CK 産業制御システムのためのアタックチェーン

例えば、Enterprise Matrix には、PRE(攻撃準備)、Linux などのプラットフォームの攻撃チェーンが含まれています。ATT&CK では、攻撃フェーズ全体を 14 の戦術に分類しており、PRE には偵察、リソース開発、その他のプラットフォームには以下が含まれます。初期アクセス、実行、持続、特権エスカレーション、防御回避、発見、横移動。移動、収集、指揮統制、流出、影響。

エンタープライズ・マトリックス図のサンプルを以下に示す:

赤と青の対立のためのATT&CKフレームワークの入門と解説

上の表では、14 の戦術が示されており、各戦術には複数の攻撃テクニックが含まれています。たとえば、「初 期アクセス」には、「ドライブバイダ型攻撃」、「公開アプリケーションのエクスプロイト」、「外部リ モートサービス」、「ハードウェアの追加」、「フィッシング」、「リムーバブルメディアを介した複製」、 「サプライチェーンの侵害」、「信頼関係」、「有効なアカウント」など、9 つの攻撃手法が含まれています、ハードウェアの追加」、「フィッシング」、「リムーバブル・メディアを介した複製」、「サプライ・チェー ンの侵害」、「信頼関係」、「有効なアカウント」、およびその他の攻撃です。信頼関係、有効なアカウントは以下の通り:

赤と青の対立のためのATT&CKフレームワークの入門と解説

 

ATT&CKアプリケーション・シナリオ

攻撃モデリングフレームワークとしてATT&CKはどのように役立つのか?ATT&CKはどのようなシナリオで利用できるのか?

公式応募シナリオガイド

ATT&CKの公式サイトでは、一般的な使用シナリオを4つのカテゴリーに分けて説明している:

赤と青の対立のためのATT&CKフレームワークの入門と解説

 

  • 検出と分析

ATT&CKは、ネットワーク防御者が攻撃者が使用するテクニックをタイムリーに特定するための検出手順を開発するのに役立ちます。

  • 脅威インテリジェンス

ATT&CKは、脅威インテリジェンスを整理、比較、分析するための共通言語をセキュリティアナリストに提供し、ATT&CKのグループは、脅威組織の攻撃特性をよりよく把握することができる。

  • 敵対的エミュレーションとレッド・ティーム(敵対的シミュレーションと赤と青の対決)

ATT&CKは、ブルース(海外ではストライク・チームの代わりにレッズと呼ばれることが多い)が攻撃計画を策定し、脅威特有の攻撃をシミュレートするために使用できる共通の言語とフレームワークを提供する。

  • アセスメントとエンジニアリング

ATT&CKは、組織の防御を評価し、どのツールやログを導入すべきかなど、防御アーキテクチャを推進するために使用することができます。

ATT&CKは、上記の4つのタイプのアプリケーションシナリオに対して多くの参考知識を提供し、各タイプのアプリケーションシナリオは、3つの異なるレベルのセキュリティ能力でさらに個別に詳しく説明されています。赤と青の対決におけるATT&CKの主なアプリケーションを紹介するために、敵対者のエミュレーションとレッド・チームを例として取り上げます。

Getting Started with ATT&CK: Adversary Emulation and Red Teamingでは、組織のセキュリティ能力に応じて3つのレベルがある:

レベル1:セキュリティ・チームを立ち上げたばかりで、リソースがあまりない。

レベル 2:比較的成熟した中堅レベルのセキュリティチーム

レベル 3:より高度なセキュリティチームとリソースを有する組織

レベル1の組織の場合。脅威を特定する上でブルースの助けがなくても、いくつかの簡単なテストを使って攻撃をシミュレートすることは可能である。著者らは、ATT&CK にマッピングされた関連する防御コンポーネントをテストするために、単純な「アトミック・テスト」を実行する Atomic Red Team を推奨している。例えば、Network Share Discovery(T1135)はT1135でテストできる:

赤と青の対立のためのATT&CKフレームワークの入門と解説

上図に示すように、対応するプラットフォームで対応するテストコマンドを実行し、防御システムがアラームのプロンプトに反応するかどうか、防御の最適化ができるかどうかを検出することができます。その後、以下のサイクルのように、拡張と改善を続ける:

赤と青の対立のためのATT&CKフレームワークの入門と解説

レベル2の組織向け。例えば、私たちは侵入ツールCobalt Strikeを使って攻撃をシミュレートし、最終的には下図に示すように、ATT&CKフレームワークにマッピングされた様々なタイプの攻撃手法でカバーすることができる:

赤と青の対立のためのATT&CKフレームワークの入門と解説

レベル3の組織の場合赤軍、強力な青軍、あるいは独自の脅威情報機関がすでに存在する場合、青軍は「完全なテスト」を目的として、脅威情報を利用して、特定の標的を持つ脅威組織を選定し、攻撃をシミュレートすることができる。

赤と青の対立のためのATT&CKフレームワークの入門と解説

 

  • 脅威情報を収集:脅威情報を収集し、特定の対戦相手を選択する。
  • テクニックの抽出:脅威組織とブルーフォースの攻撃テクニックをATT&CKにマッピングする。
  • 分析と組織化:組織の攻撃計画を分析する

例えば、APT3の脅威組織に対する模擬攻撃計画の策定などである:

赤と青の対立のためのATT&CKフレームワークの入門と解説

  • ツールと手順の開発:攻撃ツールと手順を開発する。
  • 敵のエミュレート:ブルーフォースは計画に従って模擬攻撃の実行を開始する。

優れた応用シナリオの例

公式に推奨されているいくつかの適用シナリオに加え、業界には優れたATT&CKの実践例がある。

教師としてのATT&CKの活用

MITRE ATT&CKcon の Travis Smith 氏は、ATT&CK マトリックスをエクスプロイトの難易度に応じて整理し、それを識別するために異なる色を使用した:

 

赤と青の対立のためのATT&CKフレームワークの入門と解説

 

  • 青:このテクニックは実際には悪用ではなく、ネットビューのような他の一般的な機能を使うことで実現できる。
  • グリーン:POCやスクリプト、有効なアカウント認証情報などのツールを必要としない、利用しやすいテクノロジー。
  • 黄色:通常、何らかのツールやPOCが必要(メタスプロイトなど
  • オレンジ:完成させたり調査したりするには、さまざまな程度のインフラが必要で、これらのテクノロジーは非常に単純なものから非常に複雑なものまであり、著者はそれらをウェブシェルなどの「オレンジ・レベル」にパッケージしている。
  • 赤:プロセスインジェクションなど、OSやDLL/EXE/ELFなどを深く理解する必要がある、より高度な、あるいは根本的なテクニックを指す。
  • 紫:作者は後に上位テクニックを更新しており、ATT&CKレインボーテーブルと組み合わせることで、より高い攻撃しきい値を必要とするか、成功率の低い攻撃テクニックを利用していると理解している。

この時点で、ATT&CKマトリックス自体を含むATT&CKレインボー表は、個人またはチームのためのガイド付き学習ガイドとして使用することができる。例えば、横からの侵入を研究する場合、どのような観点から始めるか?ATT&CKは非常に良い参考になるだろう。

特定のシステムフレームワークのきめ細かな解釈

ATT&CKは、ネットワーク全体のリスクをより統合的に分析しているが、一部の特定のシステムやプラットフォームの分析は、やや粒度が粗くなる。AliCloud Securityは、クラウド上のコンテナという特定のフレームワークについて、ATT&CKに基づいてより粒度の細かい攻撃トポロジーを下図のように作成しました:

赤と青の対立のためのATT&CKフレームワークの入門と解説

厳密にはATT&CKの共通言語で展開されるわけではないが、各戦術で使用されるテクニックをより詳細に示すことで、ブルーの攻撃実行を指導しやすくなる。共通言語の使用に関する限り、ビジネス内、あるいは国内においてレッドとブルーの共通理解に達することは難しくない。

したがって、クラウドコンテナ、プライベートクラウド、パブリッククラウド、ビッグデータプラットフォームなどの特定のシステムフレームワークについても、このアプローチを参照することで、ATT&CKの基本マッピングを完成させることができる。

概要

優れた攻撃モデルフレームワークとして、ATT&CKは比較的完璧な攻撃マトリクスを提供し、攻撃と防御の両方にとって良い指針となる。我々は、ATT&CKの技術的なコレクションを改良し続けることで、赤と青の対決能力を向上させることができ、また、ATT&CKを地域の状況に応じて企業内のさまざまなシナリオやフレームワークに対応させることができる。

 

参考リンク

https://attack.mitre.org/

https://mitre-attack.github.io/attack-navigator/

https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3

https://github.com/redcanaryco/atomic-red-team

https://github.com/TravisFSmith/mitre_attack

https://zhishihezi.net/

https://www.tripwire.com/state-of-security/mitre-framework/using-アタック-先生

https://www.freebuf.com/articles/blockchain-articles/251496.html

https://www.freebuf.com/articles/network/254613.html

https://www.freebuf.com/articles/container/240139.html

http://vulhub.org.cn/attack

出典:OPPO

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/the-attck-framework-for-cyber-security-attack-and-defense.html。

のように (0)
前の 2022年2月7日午前8時5分
2022年3月5日午前3時10分

関連する提案