サイバー脅威
MITRE Engenuity ATT&CK評価「Turla」におけるトレンドマイクロのパフォーマンス
2023年のMITRE Engenuity ATT&CK評価において、各セキュリティベンダーは、攻撃グループ「Turla」の攻撃を模倣したシナリオが課されました。本稿では、トレンドマイクロがいかにして防御における100%の成功率を達成したのかを解説します。
攻撃者が革新的に取り組み、創造的かつ積極的な手法を見つけ続けている中、彼らの侵入を効果的に阻止し、業務を維持するためには、企業や組織は、適切な防御、可視性、検出の能力を備えておくことが極めて重要となります。
MITRE ATT&CKフレームワークは、セキュリティ専門家が攻撃者の戦術、技術、手順(TTPs)を理解、視覚化し、それらに対応するための共通言語を提供します。2023年、MITRE Corporationが提供するセキュリティフレームワーク「MITRE ATT&CK」の評価プログラムである「MITRE Engenuity ATT&CK」により、攻撃グループ「Turla」を模倣した攻撃シナリオによるサイバーセキュリティベンダーへの評価テストが実施されました。
評価結果について
トレンドマイクロが2023年の評価で達成した100%の防御成功率は、現代的かつプロアクティブなコントロールへの同社の取り組みと投資の証と言えます。この成果は、エンドポイント保護、EDR、XDR分野での成果と相まって、業界内で一貫として証明されるリーダーシップを反映し、さらに強化しています。
可視性と分析の面でトレンドマイクロは、MITRE ATT&CKマトリックス全体において強固なカバレッジを実現しました。攻撃が完全な侵害に進展する前に、必要なステップを検出し、警告、対応して封じ込めることに成功しています。特に、初期及び中間段階の戦術に対して高精度の検出アラートを効果的に提示するトレンドマイクロのプラットフォームアプローチは、攻撃者に対する迅速かつ断固たる対抗措置を保証します。
現在、企業や組織のセキュリティチームとSOCチームは、圧倒的な量の検出アラートとノイズに直面しています。トレンドマイクロのソリューションが提供する可視性と分析の機能は、初期段階および重要な戦術・技術に焦点を当てたアラートを通じて、アラート疲れと分析者の経験の間で最適なバランスを実現しています。このアプローチにより、攻撃活動を初動で効率的かつノイズなしに封じ込めることが可能となります。今回実施された各シミュレーションにおいても、Turlaの攻撃が成功したシナリオはありませんでした。
- 予防および防御において100%を達成
- 重要なTTPの可視性で100%を達成
- 重要なTTPの検出率で100%を達成
攻撃フローの初期段階での攻撃活動の検出と、Trend Vision Oneの対応機能の組み合わせにより、企業や組織のセキュリティチームは平均検出時間(MTTD)と平均対応時間(MTTR)において顕著な成果を上げることができます。これにより、特定の攻撃に対する包括的な可視性と防御を確実に提供できるでしょう。
今後の展望
2023年3月に実施されたテストでは、トレンドマイクロのエンドポイント技術の初期バージョンが使用されました。強力なパフォーマンスの維持が評価されたものの、シナリオ全体での可視性のレベルは88%にとどまり、新たなエンドポイントエージェント「Trend Vision One - Endpoint Security™」として進化した機能を完全には発揮していませんでした。その後、この最新エージェントは一般公開されました。
トレンドマイクロでは、セキュリティチームが最先端のソリューションを装備し、企業や組織を安全に保つための継続的な改良とイノベーションに注力し、今回、Turlaによる攻撃シナリオによって明らかになった改善が必要な領域には、同社が自らに課す高い基準と、ユーザが期待する水準に合わせるため、専門のエンジニアリングおよび開発努力を継続していきます。
今後の評価では、最新化されたエンドポイントエージェント「Trend Vision One - Endpoint Security™」によって、エンドポイント、サーバ、クラウドワークロードにわたる検出機能が強化され、Trend Vision Oneの統合サイバーセキュリティプラットフォームの一環として、より強力な検出能力とセキュリティの成果を提供します。
革新的なプラットフォーム戦略
現代の複雑な脅威状況に対応するには、セキュリティベンダーは、最先端の製品の提供だけでなく、リスクを積極的に管理し、侵入の可能性を最小限に抑える堅牢なプラットフォーム戦略の取り組みが必要です。
Trend Vision One™の革新的なプラットフォーム戦略は、従来からの脅威対策と積極的なサイバーリスク管理の間のギャップを埋めるために、顧客環境の多くの要素を統合します。これにより、エンドポイント、サーバ、ワークロード、メール、ネットワーク、OT、クラウドを含む幅広い範囲をカバーし直接的なセキュリティセンサーを提供します。トレンドマイクロのプラットフォームセキュリティを利用する企業や組織は、以下のようなメリットがあります。
- 強固なセキュリティ対策の成果:継続的なアタックサーフェスの把握とリアルタイムリスク評価により、企業や組織は、リスクを特定、評価、軽減します。これにより、攻撃をもたらす可能性のある脆弱性やインターネットへの露出面の対処が可能となります。
- 一元化された可視性:分断されたセキュリティツールでは攻撃の全体像の把握が難しくなります。トレンドマイクロでは、XDRによる相関分析により包括的な脅威の可視化を実現し、MTTDとMTTRの迅速化を実現します。
- コストと複雑さの最小化:多数のツールの使用は本質的にコストが高く、複雑です。簡素化された調達、ライセンス、メリットのあるパッケージングとトレーニングを提供します。
- コンテキストに基づくサイバーリスクの定量化と報告:一元化された報告とリアルタイムのリスク・脅威データを活用し、セキュリティリーダーはサイバーリスク、セキュリティ姿勢、レジリエンス計画を確実に定量化、比較、伝達できます。
- AI/MLと自動化:AI/ML、生成型AI、自動化プレイブックは、脅威やセキュリティリスクの理解と対応の時間を短縮し、ノイズを減らしながら脅威を早期に軽減します。これにはパターンと異常の識別、誤報の減少、対応時間の加速、より確信を持った対策が含まれます。
Trend Vision One™は、AIによる包括的な予防、検出、対応能力を活用して、セキュリティを全体的に管理し、最先端の脅威調査と情報収集を実現します。
参考記事:
Decoding Turla: Trend Micro's MITRE Performance
By: Shannon Murphy
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)