MITRE社は、単にセキュリティ製品の比較を実施する企業ではありません。より安全な世界の創成をミッションとする非営利企業です。サイバーセキュリティの世界に通じた人であれば、MITREと聞けば脆弱性情報データベースのCommon Vulnerabilities and Exposures(CVE)を思い浮かべることでしょう。数年前、同社はさらに歩を進め、「MITRE ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)」と呼ばれるマトリックスをまとめ上げました。
MITRE ATT&CKとは何か
MITRE ATT&CKとは基本的に、さまざまなサイバー攻撃グループによる標的型攻撃にて使用されたテクニックで構成される、オープンなナレッジベースです。データはマトリックスの形で提示されており、攻撃者が企業インフラ内に侵入して足場を築く方法の概要、検知を逃れるための技法などをここから見て取ることができます。主なものはエンタープライズレベルのマトリックスですが、モバイルデバイスや産業用制御システムに対するサイバー攻撃で使われる戦術を網羅するマトリックスについても取り組みが進んでいます。
しかしながら、MITRE ATT&CKは知識目的の情報収集にとどまりません。このフレームワークは、さまざまな業界に対する脅威モデルの構築を簡素化することを意図しています。また、さらに重要なことに、特定のソリューションまたはソリューションの組み合わせによって検知可能な既知の脅威の見極めに利用することが可能です。たとえば、自社インフラを保護するためのソリューションを検討中の企業が、導入候補のソリューションが備える機能をATT&CKのマトリックスと突き合わせ、カバーしきれなかった脅威を確認する、というケースが考えられます。言うならばビンゴゲームに似ています。このほか、特定のセキュリティ製品がどういった脅威を特定するのかを実践面で理解するために、MITREは「ATT&CK Evaluation(ATT&CK評価テスト)として知られるテストを実施しています。
ATT&CK評価テスト:その仕組み
MITREでは既知のAPTグループを取り上げ、調査対象ソリューションのテスト環境内で数日間にわたってその攻撃をエミュレート(模倣)します。ただ、過去の攻撃とまったく同じように攻撃を進めるのではなく、対象ソリューションが攻撃の各段階でさまざまな敵対的テクニックをどのように検知するのかを見るために、個々の攻撃ツールに変更を加えています。評価は、攻撃防止やシステム復旧などのレスポンスメカニズムが無効化された状態で実施されます(攻撃段階によっては、無効化されていないとテストできない場合があるため)。
「APT29 Evaluation」と題された最新ラウンドは、サイバー脅威グループAPT29(別名:CozyDuke、CozyBear、The Dukes)の攻撃シナリオに基づいて実施されました(リンク先は英語)。ATT&CK評価の詳細については、こちらのページ(英語)をご覧ください。
テスト対象製品、およびテスト結果
最新ラウンドのテストに参加したのは、Kaspersky Endpoint Detection and Response(Kaspersky EDR)およびKaspersky Managed Protection(MDRサービス)です。テストの具体的な設定については、こちらのページ(英語)をご参照ください。
当社ソリューションは、最新の標的型攻撃の極めて重要な段階(特に実行、永続化、権限昇格、横展開の段階)において利用される主要な手法を高いレベルで検知できることを示しました。評価の詳しい結果、その他ATT&CK関連資料については、当社コーポレートサイト(英語)をご覧ください。