MITRE ATT&CK™について
近年「MITRE ATT&CK™」(マイター アタック)という名前がセキュリティ関連記事などに多く取り上げられるようになりました。
MITRE ATT&CK™とは
MITREは、1958年に設立された米国政府の支援を受けた非営利団体であり、先進技術やICT関連の研究開発を実施している機関です。また、脆弱性に関するニュースでも参照される世界共通の脆弱性識別子「CVE」を採番している機関としても広く知られています。
ATT&CK™(以下、ATT&CK)は、「Adversarial Tactics, Techniques, and Common Knowledge」の略称で、直訳すると「敵対的戦術、テクニック(技術、戦法)と一般知識」となり、その趣旨から「攻撃者の戦術や戦法から分類したフレームワーク兼ナレッジベース」と考えることができます。攻撃者による攻撃エミュレーションを記述する、あるいは防御システムの効果を評価する方法を標準化するため、攻撃者が攻撃に使用する戦術・戦法・手順(「Tactics, Techniques and Procedures」、TTPs)などをシステム的にカテゴリ分類することで確立されました。
ATT&CKモデルでは、「Tactics(戦術)」「Techniques(技術、戦法)」「Software(ソフトウェア)」「Group (攻撃者)」がオブジェクトとして規定され、攻撃の目的を達成するための「戦術」として、「攻撃者」が様々な「技術、戦法」や「ソフトウェア」を駆使する関係で記述されています。これらオブジェクトの詳細については、ATT&CKのサイトの専用タブでそれぞれ詳細を確認することができます。
(Tactics、Techniques)
また ATT&CKの大きな特徴として、攻撃者が攻撃の目的を達成するための「戦術」を基軸として、対応する「技術、戦法」をマトリックスとしてまとめたモデルが公開されています。そのため、攻撃者の目的から利用される「技術、戦法」を推測することや、利用された「技術、戦法」からその目的となる「戦術」を類推することが可能です。ATT&CKは、Windowsを対象とした初期モデルが2013年9月に確立され、その後様々な改善を通して2015年5月に一般公開されました。現在では企業システム(Windows、macOS、 Linux)、モバイルデバイス(iOS, Android)、各種クラウドサービスに加え、生産制御システム(Industrial Control Systems)を対象としたマトリックスが公開されています。
VMware Carbon BlackとMITRE ATT&CKについて
VMware Carbon Blackは、Streaming Preventionと呼ばれるAIエンジンを利用した次世代型アンチウイルス対策ならびにEDR製品です。VMware Carbon Blackでは、センサーで収集した各種イベントに対してTTP (Tactics, Techniques and Procedures)と呼ぶタグを付与します。このTTPは、MITRE ATT&CKでの「戦術」や「技術、戦法」と非常に近いカテゴリ分類に基づき、戦術を現すTTPや、戦法・手順を示すTTPなど100種類以上から構成されています。Streaming Preventionと呼ばれるAIエンジンでは、端末上で稼働するプロセス(Software)の情報と、センサーから収集された戦法・手順のTTPのタグ情報を基にその攻撃を分析し、既知ならびに未知の攻撃の判定とともに、攻撃の目的を示す戦術TTPの判定を行い防御します。
VMware Carbon BlackでのTTP表示例
また、VMware Carbon Blackが保有するEDR(Endpoint Detection and Response)機能では、独自のTTP情報に加え、対応するATT&CKの「技術、戦法」情報を表示するほか、ATT&CKサイト上の対応Techniques情報を参照するための外部リンクが設定されています。
VMware Carbon BlackでのATT&CKの活用について
ATT&CKのナレッジベースを十分に活用するため、VMware Carbon Blackではホワイトペーパとして「MITRE ATT&CK WORKBOOK」を公開しています。主要なATT&CKの「技術、戦法」情報に対し、VMware Carbon Black環境において、関連する攻撃の調査方法や防御方法に対する考え方を解説しています。
また「MITRE ATT&CK WORKBOOK」に掲載された主要TID(Technique ID)について、概要を視覚的に整理して紹介するサイトが公開されていますので合わせて参照ください。
関連リンク
VMware Carbon Black Cloud Endpoint Standardとは
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら
様々な企業が「VMware Carbon Black Cloud」を活用しています
株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現
スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択
HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点
NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた
サイバネットシステム株式会社 ITソリューション事業部 - カテゴリ別
- 製品別
- ソリューション別