ビジネス&テクノロジー

FortiEDR、2年連続でMITRE Engenuity® ATT&CK®評価テストにおいて、攻撃を100%遮断

投稿者 Brook Chelmo | 2022年6月6日

サイバー犯罪者が「新旧のランサムウェアの亜種を使って組織への攻撃を続けている(1週間あたりの検知数は約15万件)」という現状を受けて、最新のFortiGuard Labs脅威レポートによると、今年のMITRE ATT&CK®評価テストは極めて重要であると解説しています。MITRE ATT&CKが発表したエンタープライズ向け評価テストにおいて、フォーティネットのFortiEDR(エンドポイントの脅威検知とレスポンス)はすべて(100%)の攻撃をブロックしたと評価されました。FortiEDRがすべての攻撃をブロックしたのは、今年で連続2回目です。また、サブステップの検知能力が32%向上し、ほぼすべての攻撃手法(Techniques)を識別できました。

MITRE ATT&CK評価テストでは、既知の敵対的行為に対するサイバーセキュリティ製品の検知能力を評価します。製品の機能を客観的に分析するために、MITREは独自のナレッジベースであるAdversarial Tactics, Techniques & Common Knowledge(ATT&CK)を使用して、実際のハッカーの挙動で観測された戦術(Tactics)と攻撃手法(Techniques)をエミュレートします。

今回の評価テストには、脅威グループのWizard SpiderとSandwormsが選択されました。Wizard Spiderは金銭目的の犯罪グループで、2018年8月以降、大企業や銀行をはじめとするさまざまな組織に対してランサムウェア攻撃を行っています。Sandwormは破壊的行為を行う脅威グループで、2015年と2016年にウクライナの電気会社を標的にした攻撃や、2017年のNotPetya攻撃などはよく知られています。

FortiEDRの評価結果

FortiEDRは、Linuxテストを除くすべてのテストシナリオに参加しました。来年はLinuxテストにも参加する予定です。FortiEDRは9つのシナリオにおいて、テストで使用されたLinux以外の90個のステップの97%を検知して解析分類化し、すべての攻撃をブロックしました。さらに、サブステップの93%が「攻撃手法」を使用して検知されました。つまり、攻撃手法の説明から、EDR(エンドポイントの脅威検知とレスポンス)ソリューションのテストで使用された攻撃手法を推察することができます。MITREフレームワークを使って脅威診断能力を向上させることで、FortiEDRは組織の信頼を得ることができます。

Gartner®は次のように述べています。「脅威を検知するのは難しいものです。なぜならセキュリティおよびリスクマネジメントの技術者は、何百もの既知の脅威、そしてさらに多くの未知の脅威から組織を保護しなければなりません。MITRE ATT&CKフレームワークは脅威を類型化し、脅威検知の基本事項を規定すべく進化してきました」。1

このフレームワークを取り入れたことにより、特に脅威ハンティングにおいて、セキュリティ担当者がFortiEDRをより直観的に使用できるようになりました。

評価テストの結果は、FortiEDRに搭載された人工知能と機械学習テクノロジーによって、FortiEDRの成熟した脅威ハンティング、検知、および防御機能がさらに向上していることを示しています。FortiEDRはシグネチャを使用しないため(ただし、クラウドでは使用されています)、今回の評価テストとよく似た戦術や手法が将来のサイバー攻撃で使用され、たとえそれに関する脅威インテリジェンスが確立されていなかったとしても、その攻撃をブロックできる可能性は高いでしょう。

注目すべきは、フォーティネットが最近参加したMITRE Engenuity Center for Threat Informed Defenseとの共同調査の結果、過去28ヵ月間に確認されたサイバー犯罪において、わずか15のカテゴリが全攻撃手法の90%を占めていたことです。つまり、これらの手法に関する知識だけでなく、その手法に基づいて攻撃をブロックする能力が立証されれば、組織は未知のランサムウェア攻撃にも対抗できると確信が持てます(最もよく使われるこれらの攻撃手法の2/3以上が、今回のATT&CK評価テスト第4ラウンドで使用されました)。

FortiEDRは、「コードトレース」と呼ばれる独自の方法を使用して、システムアクティビティを厳密に監視します。フォーティネットが特許を取得しているこの技術の利点は、今回の評価結果にもはっきりと表れています。高度な攻撃は、潜伏して発見されないようにするために、大抵は1つ以上の正当なオペレーティングシステム命令に違反しています。FortiEDRは、オペレーティングシステムのアウトバウンド通信やファイル変更命令と、それ以前のオペレーティングシステムの命令フローを関連付けることで、不正行為をリアルタイムで検知し阻止することができます。

MITRE ATT&CK評価テストでは、単一のエージェントを使用した振る舞いベースのEPP(エンドポイント保護プラットフォーム)やEDRアプローチ、さらにはコードトレース機能によって、FortiEDRがいかに適切に脅威を検知し阻止するかが証明されています。

FortiEDRについて

FortiEDRソリューションは、感染前でも感染後でも、エンドポイントをリアルタイムで包括的に保護します。通信デバイスのインシデントレスポンスを統合管理することで、エンドポイントをリアルタイムで自動的に保護します。すべての処理は単一の統合プラットフォームで実行されます。FortiEDRは、最新 / レガシーOSを実行するワークステーションやサーバー、さらにはPOSや製造制御システムなど、あらゆるエンドポイントを保護します。ネイティブのクラウドインフラストラクチャを使用して構築されたFortiEDRは、クラウドはもちろんオンプレミスやハイブリッドでの導入も可能です。

FortiEDRは、機械学習を使用した次世代アンチウイルス、アプリケーション通信制御、自動エンドポイント保護 / レスポンス、リアルタイムブロック、脅威ハンティング、インシデントレスポンス、仮想パッチなどの機能を備えています。さらには、FortiGateFortiNACFortiSandboxFortiSIEMなどのセキュリティ ファブリック コンポーネントを統合し、広範囲なフォーティネット セキュリティ ファブリック アーキテクチャも活用します。FortiEDRでは次のような機能を実行できます。

● 実行前および実行後における高度でリアルタイムの保護
● セキュリティチームに負担をかけることなく、高額でリスクの高いアクティビティを正確に検知
● 統一されたアプローチによる保護、検知、自動レスポンス

FortiEDRの評価結果とMITRE評価テストの詳細については、MITRE Engenuityのサイトをご覧ください。FortiEDRの詳細については、「エンドポイントセキュリティの評価」を参照してください。

[1] Gartner社、「How to Use MITRE ATT&CK to Improve Threat Detection Capabilities」、Joshua Ammons著、2021年7月30日。GARTNERは、Gartner, Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.