脅威リサーチ

Sightingsプロジェクトからその先へ、サイバーセキュリティにおける攻撃フロー

投稿者 Douglas Jose Pereira dos Santos | 2022年4月12日

さまざまな調査プロジェクトにおいて、FortiGuard LabsはMITRE EngenuityのCenter for Threat Informed Defense(Center)と連携して、最先端の脅威情報に基づくサイバーセキュリティを推進しています。フォーティネットはCenterの積極的なメンバーであると同時に、調査スポンサーでもあります。絶えず進化する脅威の状況に対する認識を防御者や経営陣に広めることの意義を理解しているからです。

たとえば、FortiGuard Labsは、Centerのプロジェクト「Sightings」では主導的な役割を担いました。このプロジェクトでは、Centerの参加者や協力者から提供された解析データを基に、最も使用頻度の高いサイバー攻撃者のTTP(戦術、技術および手順)を正確に伝えています。プロジェクトの概要については、こちらのブログMITREのSightings Reportがサイバー攻撃の主な手口を解説をご覧ください。

Sightingsのプロジェクトでは、「ヒートマップ」を構築して攻撃者の技術に関する情報を明らかにすることで、組織にとって非常に貴重な脅威インテリジェンスがもたらされました。この脅威インテリジェンスは、さらに拡張したり強化したりできるのです。

活動の実行場所を明確に把握

これを実現するのが、Centerの一環で次のプロジェクトとして取り組んでいる攻撃フロープロジェクトです。このプロジェクトの目的は、どのように攻撃がキルチェーンやMITRE ATT&CK®フレームワーク上で推移していくのかを明らかにすることです。その結果、どのように攻撃者がネットワーク内で移動するかだけではなく、その過程でどのようなアセットが狙われているかを把握できる有益かつ実証的なデータが得られます。攻撃フローがわかると、特定の活動が実行される場所を明らかにすることができるので、ITリーダーは優先すべき防御戦術を把握できるようになります。

攻撃フローは複数存在することもあります。そのようなときはなおさら、攻撃フローがわからなければ、環境内や管理下にある特定のアセットに対してどのように攻撃が仕掛けられるのかを経営陣が把握するのは非常に困難になります。また、サイバー防御者も、ネットワーク内で発生した特定のTTPを検知した後に、着目するべき箇所を把握するのが困難になります。そこで、今回の攻撃フローインテリジェンスが、よくあるこの2つの問題に光明を投じます。

攻撃フローとは?

Centerの調査ディレクターであるJon Bakerは、攻撃フローを次のように定義しています。「一連の活動やアセットのプロパティ情報を使用して、これらを機械で読み取り可能な形式で表示します。この表示は、次の5つの主要オブジェクトであるフロー、活動リスト、アセットリスト、知的資産リスト、活動とアセット間の因果関係リストで構成されます。この5つのオブジェクトには、それぞれ必須フィールドとオプションフィールドがあります。たとえば、活動には説明と名前が必須なのに対し、アセットには関連記載などがありますが、必須ではありません。」

攻撃フロープロジェクトのポイントは、大きくまとめると次の2点です。

1)  活動フローのマッピング

2) サイバー防御者が次に行う手順を把握できるように、フローの最終目標を明確化

    視覚的な攻撃フローの例

図1:MITRE Engenuityの脅威インテリジェンスレポートに基づく攻撃フローの例

この例では、各活動が赤のボックス(ATT & CK技術の参照も含む)、各アセットが青のボックス、一部の選択プロパティが緑のボックスで表示されています。

ご覧のように、フローごとに結果が異なり、組織への影響も異なります。「暗号通貨」へのルートがあれば、「データ」へのルートもあります。このような情報があれば、経営陣やITセキュリティチームは、高い確率で予測された結果に基づいて優先すべき防御策を決定することができるようになります。

経営陣は、各アセットの価値と攻撃フローの両情報を併せ持つことで、最初に強化すべき防御を「脅威情報」に基づいて決定することができるようになります。

起こり得る結果を把握する意義

同じデータを使用することで、サイバー防御チームのアクションも迅速になります。たとえば、攻撃の90%が特定の攻撃パスに準じているのであれば、調査中の案件でより迅速に攻撃パスを特定することができます。これは、広範な攻撃フローのデータセットを持つことで、その集積された攻撃フローをデータ分析したり検証をすることで実現できることです。

攻撃フローだけでなく、これにより起こり得る結果やアセットへの影響を把握することも非常に有用で、次のことが期待できます。

  • 攻撃の結果に関する経営陣への説明がスムーズになる
  • 各アセットへの攻撃による影響について、経営陣がしっかり理解できるようになる
  • 環境内で特定のTTPを検知したときに、次に着目すべき場所がわかるようになる
  • 実際に行われた攻撃の手順を把握することで、現実にそった攻撃がリプレイできる

次のステップ

Centerの攻撃フロープロジェクトに関する次のフェーズでは、攻撃者フローのツールやデータセットライブラリの構築に焦点を当てます。世界中の組織が使用できる項目で、サイバー攻撃に対する防御を強化する上で役立ちます。これは、(強化レベルは違いますが)攻撃者エミュレーション計画のように、Centerが長年かけて行ってきた他の調査プロジェクトとよく似ています。