[レポート][PwCコンサルティング合同会社]MITRE ATT&CKと実際のサイバー攻撃のギャップにどのように対処するか? – CODE BLUE 2022 #codeblue_jp

CODE BLUE 2022 のセッション「[PwCコンサルティング合同会社]MITRE ATT&CKと実際のサイバー攻撃のギャップにどのように対処するか?」のレポートです。

yhana

2022.10.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

CODE BLUE 2022 で行われた下記セッションのレポートです。

セッション概要

タイトル

[PwCコンサルティング合同会社]MITRE ATT&CKと実際のサイバー攻撃のギャップにどのように対処するか?

概要

近年セキュリティ対策においてサイバーインテリジェンスの必要性が認知されており、組織のアプローチも脅威アクター、戦術/技術/手段(TTPs)といった概念を取り入れたものにシフトしています。こうした攻撃の手口をまとめたフレームワークとしてMITRE ATT&CKが広く普及していますが、フレームワークと実際の攻撃の手口には時間的な理由からギャップが存在します。本セッションではこのギャップを分析し、どのように対処していくべきか考察します。

Presented by

村上 純一 (PwCコンサルティング合同会社 ディレクター)

レポート

  • 趣旨
    • MITRE ATT&CK は TTPs のフレームワークであって辞書ではない
    • 各ステートホルダーはこの点を考慮して ATT&CK を活用する必要がある
  • 意図していないこと
    • MITRE ATT&CK の妥当性、有効性の否定ではない
    • 新たな TTP の紹介・解説ではない
  • アジェンダ
    • 前提理解
    • 課題
    • 実際の事例
    • 対応方針

前提理解

  • MITRE とは?
    • 米国連邦政府の資金により運営されている非営利団体
    • 2019 年に MITRE 財団が設立され、民家糸の連携も推進されている
  • MITRE ATT&CK とは?
    • 脅威アクターと各アクターが利用する戦術・技術・手順(TTPs)を体系化したフレームワーク
  • 2022/10/25 に v12.0 がリリース
    • MITRE ATT&CK for ICS への検知手法の追加
    • Campaigns の追加
      • 新しく観測された攻撃キャンペーンを「Campaigns」として追加された
    • TTPs の更新(新規 Techniques, Sub-Techniques, Software, Group の追加)

本ブログ上での補足資料:MITRE ATT&CK®

課題

  • 実際のサーバ攻撃とのギャップ
    • フレームワークの宿命として新たに「悪用・観測・報告された TPP」を反映するまでに所要時間が発生する
    • 例によっては 1 年程度のギャップが生まれる場合もある
  • ギャップによる影響
    • MITRE ATT&CK は典型的なユースケースとして机上・実機でのアセスメントがある
    • 仮に TTPs に漏れが合った場合に、アセスメント結果の正常性が損なわれる場合がある

実際の事例

  • 実際のギャップの事例紹介
  • 次の 3 つの例で、実際に攻撃が観測されたと時期から MITRE ATT&CK に反映される時期までのラグにより、アセスメントの正常性が損なわれた例を紹介
    • オンラインコラボレーションアプリのコメント機能悪用、の例
    • メールフィルタ操作によるメールの隠ぺい、の例
    • Adversary-in-the-Middle による MFA 回避、の例
  • 実際の攻撃の進化、手口の変化に対して、MITRE ATT&CK もバージョンアップされていく

対応方針

  • すべてのステークホルダーが最新脅威を追い続ける必要があるのか?
    • 無限のリソースがあるわけではない
    • 完全な TTPs の辞書を作成するには、過去に悪用・観測された未反映の TPPs に加えて、情報を収集・分析し続けて更新する必要がある
  • ステークホルダーにおける最適な ATT&CK の在り方とは?
    • 製品ベンダー、サービスプロバイダー、ユーザーなどの立場毎に、脅威情報の収集・分析、検知、アセスメント、脅威ベースペネトレーションテスト・Red teaming に対して適したスコープで目指す
    • 例えば
      • 「製品ベンダー」なら「脅威情報の収集・分析」については最新の情報を収集すること目指して、独自に TTPs を拡張する
        • PwC コンサルティングでは独自のナレッジを蓄積している
      • 「ユーザー」は「検知」について、最新情報が反映されていない歯抜けの部分の動向を追って、対策に反映する
      • 「脅威ベースペネトレーションテスト」は、関連する脅威アクター、サイバー攻撃のトレンド(最近の 1 年の事例など)を踏まえて攻撃シナリオのレビューを行い、TTPs のカバレッジ、精度を高める

おわりに

  • 趣旨
    • MITRE ATT&CK は TTPs のフレームワークであって辞書ではない
    • 各ステートホルダーはこの点を考慮して ATT&CK を活用する必要がある
  • 意図していないこと
    • MITRE ATT&CK の妥当性、有効性の否定ではない
    • 新たな TTP の紹介・解説ではない

さいごに

どのようなフレームワークもその特性や内容を十分に理解した上で上手に付き合っていくことが大切だと思うようになるセッションでした。

customer-story-analytics

関連記事

[レポート]Closing Keynote : Cyber and Security in Times of War – CODE BLUE 2023 #codeblue_jp

臼田佳祐

2023.11.09

[レポート]デジタル主権 – テクノロジーによる支配に対する規制対応の形成​​​ – CODE BLUE 2023 #codeblue_jp

江口佳記

2023.11.09

[レポート]国際パネルディスカッション「能動的サイバー防御の包括的研究」 – CODE BLUE 2023 #codeblue_jp

臼田佳祐

2023.11.09

[レポート]内部からの勝利: 海外のディアスポラ(移住者)をターゲットにした中国の情報作戦 – CODE BLUE 2023 #codeblue_jp

臼田佳祐

2023.11.09