2019年4月23日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣
第14回 ハッカーの攻撃や行動、目的を文書化する「ATT&CK™」フレームワーク
攻撃者の行動を調査段階から目的達成までモデル化した「Cyber Kill Chain」が有名ですが、このモデルを使って具体的なセキュリティ対策につなげるには抽象化のレベルが高いため、向いているとは言えませんでした。攻撃者の行動を分析し、セキュリティ対策につなげるためにはもっと具体的なものが必要なのです。
そこで開発されたのが「ATT&CK™ (https://attack.mitre.org/)」です。ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) は攻撃者の行動を文書化できるようにすることで、防御対策に活かすためのツールなのです。脆弱性識別に使われるCVE-IDなどを管理しているMITREが2013年から開発しているフレームワークで、2018年後半頃からペネトレーションテスターやSOCアナリストなどの人々に急速に注目されてきました。
ATT&CKモデルを使った解説例
ATT&CKモデルは「MITRE ATT&CK™ : Design and Philosophy
(https://www.mitre.org/sites/default/files/publications/pr-18-0944-11-mitre-attack-design-and-philosophy.pdf)」で次の図のように解説しています。
モデルで使われる要素は、Adversary Group(攻撃者)、Software(ソフトウェア)、Technique(使用するテクニック)、Tactic(戦術:目指すゴール)です。
攻撃者グループAPT28による攻撃例をATT&CKモデルを使って説明すると次のようになります。
攻撃者「APT28」が、ソフトウェア「MIMIKATZ」を使用して、「Credential Dumping (認証情報ダンピング)」というテクニックで、「Credential Access (認証情報アクセス)」を達成した、というように説明することができます。
ATT&CKモデルの使い方
Technique と Tactic との関係はATT&CK Matrix(https://attack.mitre.org/matrices/enterprise/)で視覚化できます。見出し行に「Tactic(戦術:目指すゴール)」、その下に「Technique(使用するテクニック)」が並んでいます。
該当するTacticからTechniqueを選択してクリックすると、それを使用する具体的な Software の名称や過去に使用したことがある攻撃者のグループ名などが表示されます。
このATT&CK Matrixの日本語版は日本SOCアナリスト情報共有会(SOCYETI) が「ATT&CKについてとMatrixの日本語抄訳(https://www.socyeti.jp/posts/4873582)」で公開しています。
ATT&CKの活用
ATT&CKの活用方法としては、「MITRE ATT&CK™ : Design and Philosophy (https://www.mitre.org/sites/default/files/publications/pr-18-0944-11-mitre-attack-design-and-philosophy.pdf)」の中で次のように挙げられています。
- *Adversary Emulation(一般的な攻撃手法に対する防御を検証するための攻撃シナリオを作成するツールとして)
- *Red Teaming(ペネトレーションテストなど使う攻撃手法の技術ナレッジとして)
- *Behavioral Analytics Development(攻撃者の行動を検出するための行動分析ツールとして)
- *Defensive Gap Assessment(防御手法のギャップ分析ツールとして)
- *Defensive Gap Assessment(防御手法のギャップ分析ツールとして)
- *Defensive Gap Assessment(防御手法のギャップ分析ツールとして)
ATT&CKを活用することで攻撃者の行動を文書化することができるようになり、さまざまな防御活動が捗るようになります。自社のセキュリティ対策を促進するためにも、ATT&CKを一読してみましょう。
