MITRE Engenuity ATT&CK®Evaluationsの活用方法と注意点

ハイブリッド環境やテレワークの浸透により、攻撃対象領域が急速に拡大し続ける今、IT環境全体にわたるサイバーリスクを改めて検証することが求められています。

こうした状況において、サイバー攻撃の流れと手法を体系化したフレームワークであるMITRE ATT&CKと、サイバー攻撃に対する評価テストである「ATT&CK® Evaluations」は、最新の高度なサイバー攻撃に対する組織の防御力を可視化し、追加投資を判断するための基礎的な情報として有効活用することができます。

MITRE Engenuity ATT&CK Evaluations とは？MITRE Engenuity ATT&CK Evaluationsは、MITRE ATT&CKのフレームワークに沿って、実在するサイバー攻撃者グループの攻撃手法を再現し、標的型攻撃に対するセキュリティソリューションを評価するテストです。この評価では、ランキングやレーティングは一切なされません。つまり、一般的なセキュリティソリューションの検証とは異なり、MITRE Engenuity ATT&CK Evaluationsは、侵害が発生した後の各ソリューションの防御と検出能力のみに焦点をあてています。

2022年の評価では、サイバー攻撃者グループWizard SpiderやSandwormの攻撃を模倣し、テストが実施されました。
Sandwormはロシアのサイバー攻撃者グループといわれ、ウクライナの電力会社を標的とした2015年と2016年の攻撃、および2017年のNotPetya攻撃が広く知られています。また、Wizard Spiderによるランサムウェアキャンペーンは少なくとも2018年から確認されており、今に至るまで、企業から病院に至るまでさまざまな組織に対して攻撃を行っています。

とくにWizard Spiderは、EMOTET再構築やランサムウェアConti開発にも関与しているといわれ、特定の業種、地域に依らず、多くの組織に被害を与えているサイバー攻撃者グループであることから、日本の組織にとっても今回の評価結果は有用な情報といえるでしょう。

2022年のMITRE Engenuity ATT&CK Evaluationsは、これらのサイバー攻撃者グループの攻撃を模倣し、2つのシナリオ、109の攻撃ステップでシミュレーションを実施しています。この評価において、トレンドマイクロのサイバーセキュリティ・プラットフォームは前年度と同様、高い評価を得ました。
※2022 MITER Engenuity ATT&CK　Evaluation　Wizard Spider + Sandworm　Enterprise Evaluation 2022
https://attackevals.mitre-engenuity.org/enterprise/wizard-spider-and-sandworm

図：サイバー攻撃者グループWizard SpiderとSandwormの評価の全体像※

※実際の攻撃をもとに、目標達成までの攻撃者の行動を、戦術とそれを実行するための技術・手法に分類し、攻撃シミュレーションを実施。このうち、評価対象となったのは、11の戦術とそれを実行するための46の技術。

・Tactics（戦術）：組織への侵入を試みる“初期アクセス(Initial Access)”から、目標達成のための“影響(Impact)”まで攻撃者の戦術を分類。

・Techniques（技術・手法）：目標達成までの戦術の各ステップにおいて、利用される技術・手法を示す。攻撃の実例やリスク軽減と検知方法なども提案されている。

・Impact（影響）：攻撃者にとって最後の戦術。ターゲットのシステムやデータを操作、
停止、破壊を試みる。ここでは最終目標の達成のため、あるいは情報窃取の隠れ蓑となるよう、攻撃技　　　術が利用される。攻撃者を理解した、セキュリティの計画、実装が必要。

ーーーーーーーーーーーーーーーーーーーーーー

**表：トレンドマイクロの評価結果概要**
トレンドマクロの評価概要
※サブステップとは：個々の攻撃ステップ。2つのシミュレーションで109の攻撃ステップが用意された
分析カバレッジ	可視化	防御
100/109	105/109	100%
サブステップ	サブステップ	防御
ATT&CK Techniquesとのマッピングまたはアラートの説明などのコンテキストが付加された高度な検出となっています。	攻撃手法の可視化により、お客様は攻撃の全体像を把握し、より迅速に対応することができます。分析またはテレメトリ情報が収集可能だった箇所を示しています。	早期にリスクを回避し調査リソースを開放できるため、セキュリティチームはより困難なセキュリティ課題に集中することができるようになります。
SOCレベル1アナリスト：トリアージに有効なデータ	SOCレベル2/3アナリスト：脅威ハンティング/インシデント対応の担当者に有効なデータ	防御者およびセキュリティチーム：防御能力を測るのに有効

※2022 MITER Engenuity ATT&CK　Evaluation　Trend Micro Overview
https://attackevals.mitre-engenuity.org/enterprise/participants/trendmicro?view=overview&adversary=wizard-spider-sandworm&tactic=TA0004
表中の結果の説明はトレンドマイクロによるもの

評価とフレームワークの活用方法MITRE ATT&CKは、戦術や技術・手法等の観点で攻撃を整理、標準化したフレームワークです。サイバー攻撃者グループの行動を説明する共通言語として役立つため、サイバーセキュリティ業界にとって貴重なツールになっています。

このフレームワークは、組織全体のセキュリティ状況を可視化し、説明する際にも有用です。攻撃者の目標達成までの戦術、技術が整理されたこのフレームワークを利用し、現在の対策をマッピングしていくことで、脅威に対して脆弱な箇所を発見することができます。また、セキュリティ状況の可視化により対策の重複を判断し、コストを最適化することも可能になります。

MITERのフレームワークにより自組織のセキュリティニーズを特定したうえで、MITRE Engenuity ATT&CK Evaluationsを活用すれば、そのニーズに適した追加投資やソリューション選定を行うことができるでしょう。

評価活用において考慮すべき点検出の品質評価を見る際には、攻撃テストに対する検出タイプの階層を考慮することが重要です。MITRE Engenuity ATT&CK Evaluationsでは、検出の情報（コンテキストの量）に応じて、以下の5つのタイプに検出結果を分類しています。

戦術や技術といった攻撃者の意図を推察できる精度の高い検出結果、アラートを受け取ることができれば、限られた人員やスキルであっても、迅速に攻撃に対処し、被害を未然、最小限に抑えることが可能になります。検討しているソリューションの検出タイプが、組織のリソースやスキル、環境といったニーズに適切なものであるか考慮が必要です。

① None（なし）：検出情報が提供されていませんが、検出が行われなかったという意味ではありません。MITRE Engenuity ATT&CK Evaluationsが設定した必要な検出基準を満たさなかったことを意味します。

② Telemetry（テレメトリ）：テスト対象に検出基準を満たすイベントが発生したことを示します。

③ General（ジェネラル）：何か疑わしいと判断されたことを示す検出ですが、特定の戦術や技術を示すものではなく、詳細な情報は提供されないか、もしくは限定的です。

④ Tactic（戦術）：検出が戦術的目標（例：認証情報のアクセス）に起因する可能性があることを意味します。

⑤ Technique（技術・手法）：検出が特定の攻撃者の行為（例：認証情報窃取）に起因する可能性があることを意味します。

出典：MITER Engenuity
https://attackevals.mitre-engenuity.org/enterprise/wizard-spider-sandworm#sn-technique-scope
参考：MITRE Engenuity WIZARD SPIDER AND SANDWORM DETECTION CATEGORIES
https://attackevals.mitre-engenuity.org/enterprise/wizard-spider-sandworm/detection-categories

組織固有のセキュリティニーズの理解が大前提検出率やカバー率といった評価結果にフォーカスする前に、組織固有の脅威やセキュリティニーズを理解しておくことが重要です。組織に必要な対策やソリューションを明らかになれば、追加投資や見直しの判断において、この評価を基礎的な情報として有効活用できるでしょう。

MITRE Engenuity ATT&CK Evaluationsは、客観性の点で有用な情報です。しかし、組織固有のニーズや環境、要件については、もちろん考慮されていません。ＭITER自身も指摘しているように、それらは組織ごとに考える必要があるのです。組織固有の脅威、そしてニーズを理解するためには、MITER ATT&CKのフレームワークやセキュリティ機関等から提供される脅威情報などが役に立つでしょう。
参考：MITRE ATT&CK　USING RESULTS TO EVALUATE ENDPOINT DETECTION PRODUCTS
https://attackevalscdnendpoint.azureedge.net/publicsiteimages/Using-Results-to-Evaluate-Endpoint-Detection-Products_Booklet.pdf

高度なサイバー攻撃に対しては、MITRE ATT&CKのフレームワークが示すように、組織のインフラ全体のセキュリティリスクを網羅的に可視化するアプローチが前提になります。トレンドマイクロの統合サイバーセキュリティ・プラットフォームTrend Micro Oneは、攻撃対象領域全体にわたるリスクの特定、軽減を支援します。可視化の向上により、攻撃対象領域のライフサイクルの点が結ばれることで、防御や検出の精度は向上し、セキュリティチームは重大なアラート、攻撃にフォーカスすることができるようになります。