ATT&CKとは?
ATT&CKの重要な寸法
- マトリックス:マトリックスはATT&CKフレームワークのマクロモデルである。
- 戦術:戦術は攻撃側の攻撃目標を示す。
- テクニック:攻撃のテクニックとは、攻撃の目的を達成するために使われる技術のことである。
- 手順:攻撃プロセスとは、攻撃者が特定の攻撃手法を実際に使用した例を指す。
- 緩和策:緩和策とは、さまざまな攻撃手法に対して組織がとることのできる軽減策を指す。
各次元の主な関係を以下に示す:
ATT&CKとは何か?
ATT&CKのフレームワークは、マトリックスの3つの主要カテゴリーに分かれている:
- ATT&CK for Enterprise 企業向けアタック・チェーン
- ATT&CK for Mobile モバイル・プラットフォーム向けアタック・チェーン
- 産業制御システムのためのATT&CK 産業制御システムのためのアタックチェーン
例えば、Enterprise Matrix には、PRE(攻撃準備)、Linux などのプラットフォームの攻撃チェーンが含まれています。ATT&CK では、攻撃フェーズ全体を 14 の戦術に分類しており、PRE には偵察、リソース開発、その他のプラットフォームには以下が含まれます。初期アクセス、実行、持続、特権エスカレーション、防御回避、発見、横移動。移動、収集、指揮統制、流出、影響。
エンタープライズ・マトリックス図のサンプルを以下に示す:
上の表では、14 の戦術が示されており、各戦術には複数の攻撃テクニックが含まれています。たとえば、「初 期アクセス」には、「ドライブバイダ型攻撃」、「公開アプリケーションのエクスプロイト」、「外部リ モートサービス」、「ハードウェアの追加」、「フィッシング」、「リムーバブルメディアを介した複製」、 「サプライチェーンの侵害」、「信頼関係」、「有効なアカウント」など、9 つの攻撃手法が含まれています、ハードウェアの追加」、「フィッシング」、「リムーバブル・メディアを介した複製」、「サプライ・チェー ンの侵害」、「信頼関係」、「有効なアカウント」、およびその他の攻撃です。信頼関係、有効なアカウントは以下の通り:
ATT&CKアプリケーション・シナリオ
公式応募シナリオガイド
- 検出と分析
ATT&CKは、ネットワーク防御者が攻撃者が使用するテクニックをタイムリーに特定するための検出手順を開発するのに役立ちます。
- 脅威インテリジェンス
ATT&CKは、脅威インテリジェンスを整理、比較、分析するための共通言語をセキュリティアナリストに提供し、ATT&CKのグループは、脅威組織の攻撃特性をよりよく把握することができる。
- 敵対的エミュレーションとレッド・ティーム(敵対的シミュレーションと赤と青の対決)
ATT&CKは、ブルース(海外ではストライク・チームの代わりにレッズと呼ばれることが多い)が攻撃計画を策定し、脅威特有の攻撃をシミュレートするために使用できる共通の言語とフレームワークを提供する。
- アセスメントとエンジニアリング
ATT&CKは、組織の防御を評価し、どのツールやログを導入すべきかなど、防御アーキテクチャを推進するために使用することができます。
ATT&CKは、上記の4つのタイプのアプリケーションシナリオに対して多くの参考知識を提供し、各タイプのアプリケーションシナリオは、3つの異なるレベルのセキュリティ能力でさらに個別に詳しく説明されています。赤と青の対決におけるATT&CKの主なアプリケーションを紹介するために、敵対者のエミュレーションとレッド・チームを例として取り上げます。
Getting Started with ATT&CK: Adversary Emulation and Red Teamingでは、組織のセキュリティ能力に応じて3つのレベルがある:
レベル1:セキュリティ・チームを立ち上げたばかりで、リソースがあまりない。
レベル 2:比較的成熟した中堅レベルのセキュリティチーム
レベル 3:より高度なセキュリティチームとリソースを有する組織
レベル1の組織の場合。脅威を特定する上でブルースの助けがなくても、いくつかの簡単なテストを使って攻撃をシミュレートすることは可能である。著者らは、ATT&CK にマッピングされた関連する防御コンポーネントをテストするために、単純な「アトミック・テスト」を実行する Atomic Red Team を推奨している。例えば、Network Share Discovery(T1135)はT1135でテストできる:
上図に示すように、対応するプラットフォームで対応するテストコマンドを実行し、防御システムがアラームのプロンプトに反応するかどうか、防御の最適化ができるかどうかを検出することができます。その後、以下のサイクルのように、拡張と改善を続ける:
レベル2の組織向け。例えば、私たちは侵入ツールCobalt Strikeを使って攻撃をシミュレートし、最終的には下図に示すように、ATT&CKフレームワークにマッピングされた様々なタイプの攻撃手法でカバーすることができる:
レベル3の組織の場合赤軍、強力な青軍、あるいは独自の脅威情報機関がすでに存在する場合、青軍は「完全なテスト」を目的として、脅威情報を利用して、特定の標的を持つ脅威組織を選定し、攻撃をシミュレートすることができる。
- 脅威情報を収集:脅威情報を収集し、特定の対戦相手を選択する。
- テクニックの抽出:脅威組織とブルーフォースの攻撃テクニックをATT&CKにマッピングする。
- 分析と組織化:組織の攻撃計画を分析する
例えば、APT3の脅威組織に対する模擬攻撃計画の策定などである:
- ツールと手順の開発:攻撃ツールと手順を開発する。
- 敵のエミュレート:ブルーフォースは計画に従って模擬攻撃の実行を開始する。
優れた応用シナリオの例
公式に推奨されているいくつかの適用シナリオに加え、業界には優れたATT&CKの実践例がある。
教師としてのATT&CKの活用
MITRE ATT&CKcon の Travis Smith 氏は、ATT&CK マトリックスをエクスプロイトの難易度に応じて整理し、それを識別するために異なる色を使用した:
- 青:このテクニックは実際には悪用ではなく、ネットビューのような他の一般的な機能を使うことで実現できる。
- グリーン:POCやスクリプト、有効なアカウント認証情報などのツールを必要としない、利用しやすいテクノロジー。
- 黄色:通常、何らかのツールやPOCが必要(メタスプロイトなど
- オレンジ:完成させたり調査したりするには、さまざまな程度のインフラが必要で、これらのテクノロジーは非常に単純なものから非常に複雑なものまであり、著者はそれらをウェブシェルなどの「オレンジ・レベル」にパッケージしている。
- 赤:プロセスインジェクションなど、OSやDLL/EXE/ELFなどを深く理解する必要がある、より高度な、あるいは根本的なテクニックを指す。
- 紫:作者は後に上位テクニックを更新しており、ATT&CKレインボーテーブルと組み合わせることで、より高い攻撃しきい値を必要とするか、成功率の低い攻撃テクニックを利用していると理解している。
この時点で、ATT&CKマトリックス自体を含むATT&CKレインボー表は、個人またはチームのためのガイド付き学習ガイドとして使用することができる。例えば、横からの侵入を研究する場合、どのような観点から始めるか?ATT&CKは非常に良い参考になるだろう。
ATT&CKは、ネットワーク全体のリスクをより統合的に分析しているが、一部の特定のシステムやプラットフォームの分析は、やや粒度が粗くなる。AliCloud Securityは、クラウド上のコンテナという特定のフレームワークについて、ATT&CKに基づいてより粒度の細かい攻撃トポロジーを下図のように作成しました:
厳密にはATT&CKの共通言語で展開されるわけではないが、各戦術で使用されるテクニックをより詳細に示すことで、ブルーの攻撃実行を指導しやすくなる。共通言語の使用に関する限り、ビジネス内、あるいは国内においてレッドとブルーの共通理解に達することは難しくない。
したがって、クラウドコンテナ、プライベートクラウド、パブリッククラウド、ビッグデータプラットフォームなどの特定のシステムフレームワークについても、このアプローチを参照することで、ATT&CKの基本マッピングを完成させることができる。
概要
優れた攻撃モデルフレームワークとして、ATT&CKは比較的完璧な攻撃マトリクスを提供し、攻撃と防御の両方にとって良い指針となる。我々は、ATT&CKの技術的なコレクションを改良し続けることで、赤と青の対決能力を向上させることができ、また、ATT&CKを地域の状況に応じて企業内のさまざまなシナリオやフレームワークに対応させることができる。
参考リンク
https://mitre-attack.github.io/attack-navigator/
https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3
https://github.com/redcanaryco/atomic-red-team
https://github.com/TravisFSmith/mitre_attack
https://zhishihezi.net/
https://www.tripwire.com/state-of-security/mitre-framework/using-アタック-先生
https://www.freebuf.com/articles/blockchain-articles/251496.html
https://www.freebuf.com/articles/network/254613.html
https://www.freebuf.com/articles/container/240139.html
http://vulhub.org.cn/attack
出典:OPPO
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/the-attck-framework-for-cyber-security-attack-and-defense.html。