ビジネス&テクノロジー

MITRE Engenuityで明確になったフォーティネットFortiEDRの防御 / 検知機能

投稿者 David Finger | 2021年5月18日

MITRE Engenuityは本日、ATT&CK評価テストの最新ラウンドの結果を発表しました。この評価テストでは、29ものエンドポイントセキュリティ製品を対象に、実際のCarbanak攻撃やFIN7攻撃においてサイバー犯罪者が用いる幅広い戦術や手法の検知能力が評価されました。この評価では、攻撃ライフサイクルに含まれる20以上のステップが網羅され、合計で170を超えるサブステップが含まれます。MITRE EngenuityによるATT&CK評価結果は、テスト攻撃のみならず、セキュリティ製品の設計においても重要な洞察を提供します。評価で使用された攻撃手法 / 戦術の検知能力は、今後予想される攻撃を含め、他の攻撃にも十分適用することができます。

2020年の評価テストには、製品のサブセットをテストするProtection(保護)評価が新たに追加されました。これは、主な手法 / 戦術を単に識別して記録するだけでなく、ブロックする能力を評価するものです。今日のサイバー脅威は巧妙化しており、長期にわたって完全に防止することは難しいという点で、悪意のあるアクティビティを検知する能力は重要ですが、ブロックする能力の方が望ましいと言えます。

「悪意のあるアクティビティは常にブロックすべきだ」という考えもありますが、必ずしもそうではありません。特に、ビヘイビア(振る舞い)ベースのブロックがこれに当てはまります。これは、サイバー攻撃において悪意のある振る舞いは、正当なオペレーションにおいても一般的な振る舞いであることが多いためです。MITRE Engenuity ATT&CKのような評価テストでは、悪意のある振る舞いをブロックする機能は高く評価されますが、本番環境で稼働するセキュリティ製品にとって「正解」であるとは限りません。また、検知機能でさえ、データ量が増加して調査が煩雑になるなど、プラスよりもマイナスの影響が大きくなるケースもあります。この概念は、FortiEDR製品のMITRE評価テスト結果ではっきりと示されています。

Protection(保護)評価の結果

ここでは、例を1つ挙げて説明します。テスト13は、FIN7攻撃の挙動を再現したものです。組織全体への感染拡大を目的に開発されたこの攻撃は、まずPowerShellを使用して2つのファイルをダウンロードします。FortiEDRは不審な挙動としてこれを識別しますが、動作を許可します。というのは、ITスクリプトではファイルのダウンロードにPowerShellが使用されることがあるためです。次に、PowerShellは有効なユーザーの有効なアカウントにログインし、管理者の共有ドライブにアクセスしようとします。以上の挙動は検知および記録されますが、すべての動作は正当であり、悪意のある処理は何も行われていないため、この時点で攻撃と結論付けることはできません。攻撃が動作を続けている間、FortiEDRは監視とエビデンスの収集を継続します。ただし、ダウンロードされたファイルがHTTPを介してデータの抜き取りを試みた時点で、動作をブロックします。実際に被害が発生する前にブロックを行い、悪意のある処理は自動的に取り消されます。

FortiEDRは、システムやユーザーに影響することなく、データを保護し侵害を自動的に阻止することを目的に開発されたソリューションです。特許取得のコードトレース機能により、FortiEDRはシステムの深い層で実行される処理を分析し、不審な挙動を高精度で特定します。ランサムウェアによる暗号化といったファイルの改ざんに加えて、コマンド&コントロールやデータの抜き取りをはじめとする攻撃のブロックが可能です。

Protection(保護)評価の結果

コードトレース機能の特性上、FortiEDRは、初期段階では厳格なブロックを試みません。エビデンスを収集し、攻撃であるということが確定された時点で、サイバー攻撃を阻止します。また、MITRE Engenuityテストの評価対象ではありませんが、特許取得のコードトレース機能は、ブロックまでに実行された処理をすべて記録します。悪意のある挙動が確認されると、FortiEDRは攻撃によって変更された処理をロールバックして正常な状態へとシステムを復旧し、リブートの必要はありません。

MITRE Engenuity:検知評価の結果

検知評価でも、同様の設計原則が明確に示されています。このテストでは、20のステージにおいて177のステップが網羅されています。対象となったステップとサブステップの検知率はおよそ70%であり、この結果に非常に満足しています。検知から漏れたステップは、大半が設計上の理由から検知されなかったステップです。製品の適用外であったLinux上のサブステップを除き、ステップが検知されなかったケースのほとんどは、その時点では意図的にフラグを立てなかったディスカバリ(探索)アクティビティです。

プロセス、システム情報、システムネットワーク、ファイルとディレクトリといったディスカバリは、巧妙なサイバー攻撃で悪用される戦術です。ただしこれは、日常業務で一般的に行われるタスクでもあります。資産管理とディスカバリシステム、プロセスパフォーマンス監視プログラム、ITオペレーションスクリプトといったタスクでは、一般的にディスカバリ手法が使用されています。平均的なFortiEDRユーザーを圧倒しないように、この情報を意図的に取得しないことを選択しました。ただし、ユーザーが自社の要件に基づいて取得するデータを調整することも可能です。

また、FortiEDRでは、検出した標準アプリケーション層プロトコルと標準暗号化プロトコルを報告する方法が異なります。悪意のあるポートアクティビティとして報告するのではなく、不審な通信アクティビティとして報告します。評価テストでは、「識別」は「検知」と評価されませんでしたが、サードパーティによる評価の相違点を確認する良い機会となりました。

どちらの方法が正しく、どちらが間違っているか、ということではありません。テストによってフォーティネット独自の方法が示されましたし、MITRE Evaluationsからどのような情報が得られるかも明らかになりました。

 

MITRE Engenuity評価テストの結論

今回は、FortiEDRが初めて参加したMITRE Engenuity ATT&CK評価テストでした。満足のいく結果を得ることができ、評価情報はサイバーセキュリティコミュニティに広く公開されています。また、フォーティネットは、MITRE Engenuityチームの卓越した専門性を高く評価しています。このテストにおいて、FortiEDRは次のように評価されました。

  1. CarabankやFIN 7など、過去に発生、現在発生中、将来予測される攻撃に関する保護テストを100%ブロックする能力
  2. システムアクティビティを高精度でトレースしきめ細かく評価する能力、評価対象となった手法 / 戦術を包括的に検知する能力、最適なタイミングで確実にブロックする能力
  3. 明確な設計原則。特に、効果と精度、品質と量のバランス

評価結果全体は、MITRE EvaluationのWebサイトに掲載されているCarbanakとFIN7の項目をご覧ください。また、FortiEDRの詳細な情報やデモについては、フォーティネットにお問い合わせください。詳しくは、FortiEDRのWebサイトをご覧ください。

FortiEDRは、リアルタイム、さらに感染の前後で脅威を無効化および無害化します。詳しくは、こちらをご覧ください。