FortiGuard Labs 脅威リサーチ

MITRE Attack Flowの貴重なコンテキストがCISOのリスク管理を改善

投稿者 Douglas Jose Pereira dos Santos | 2023年1月24日

MITRE EngenuityのCenter for Threat-Informed Defense(CTID)は先日、Attack Flowプロジェクト最新バージョンをリリースしました。これはFortiGuard LabsがCTIDとのパートナーシップの下で取り組んでいるプロジェクトの第3弾であり、私たちはサイバーセキュリティ業界全体の発展におけるこのプロジェクトの将来性に大いに期待しています。CTIDとフォーティネットはその他のリサーチパートナーとも連携し、今年前半にAttack Flowの運用を開始しました。その目的は、「防御能力の強化に向けて、攻撃者の一連の振る舞いを記述する共通のデータ形式」を開発することです。

サイバー犯罪に対抗するうえで最も強力な手段の一つは、攻撃の経済的意義を変えることです。それを実行しているのが、攻撃者の振る舞いに主眼を置くAttack Flowです。Attack Flowを利用すると、攻撃について次々と明らかになる情報をより深く理解できます。サイバー侵害のデータに別の視点が加わることで、サイバー防御者は攻撃者が最も利用しそうな経路をさらに絞り込み、適切な防御策を講じて攻撃を阻止することが可能になります。

Attack Flowは、セキュリティリーダーとそのチームにとって極めて有益です。攻撃の流れや想定される結果、影響を受けるアセットなどを把握し、可視化して通知することで、誰もがより効果的な防御を実現できます。

Attack Flowの新機能とCISOにとっての重要性

最新リリースで導入された最新機能によって、セキュリティチームは攻撃者の一連の振る舞いをより簡単に記述、表示、共有できるようになります。一般的に、防御者は攻撃者の振る舞いを個別に追跡しており、一度に1つの具体的な行為にしか注目しません。Attack Flowを使用すると、防御者は想定される脅威を「全体的に捕捉」し、より総合的に分析することができます。その結果、確認した内容を明確に伝達するとともに、脅威アクターを効果的に阻止する方法を、十分な情報に基づいて決定することができます。Attack FlowはCISOにとっても、標的になりやすいアセットやそのアセットへの攻撃方法を特定するうえで非常に有益です。効率的なサイバーセキュリティ態勢を構築する際には、Attack Flowが貴重な情報源となります。なぜなら、攻撃される可能性が高いアセットに優先順位を付けることができるからです。

今回リリースされたバージョン2では、攻撃の細かいニュアンスを攻撃フローに取り込む機能が強化されており、必須条件のフィルターや論理構成(「AND」と「OR」)などの使用が可能です。現在、Attack FlowはSTIXで記述されているため、STIXオブジェクトのあらゆる機能を活用して、手動でも自動ツールでも攻撃フローを設計することができます。

Attack Flowの最新リリースの恩恵を受けるのは、脅威アナリストだけではありません。これらの最新機能はチーム間の協力を促進し、一刻を争うインシデント調査では特に効果を発揮します。また、CISOはビジネスを標的にした攻撃を幅広い視野で捉えることができます。

最新版Attack Flowの機能強化の概要と、セキュリティチームや組織全体にとっての有用性を以下に示します。

「サイバー侵害のデータに別の視点が加わることで、組織は攻撃者が最も利用しそうな経路をさらに絞り込み、適切な防御策を講じて攻撃を阻止することが可能になります。」

コンテキストをより正確に把握する

Attack Flowを活用すると、防御者は個々の脅威アクター、攻撃、マルウェアのタイプやファミリーをより正確に識別できます。こうしたデータについては、TTPから非常に詳細なフィンガープリントを得ることができますが、それぞれのデータをより深く理解することで、防御者が迅速かつ効果的に対応する能力は飛躍的に向上します。機械学習モデルでもう一つのデータセットとしてAttack Flowを使用し、マルウェア攻撃データを分類することも可能です。

Attack Flowでは各種の手法、ならびにその順序や関係性も重要視しています。ある手法を成功させる目的は、別の手法を開始することにあるのではないか?  このようにTTPを詳細に調査することで、アナリストは想定される攻撃パターンを分析して「チョークポイント(戦略的に重要な拠点)」を見つけることができます。そして攻撃者は、組織のセキュリティ対策を回避するための新たな「フロー」を見つけることがますます難しくなります。

攻撃者の視点を持つ

Attack Flowを実行すると、現在のセキュリティ対策を詳細にテストし、不均衡な部分を特定することができます。たとえば、アナリストは標的のアセットやその利用目的をより簡単に特定し、単純なクリプトマイニングから大規模なデータ漏洩にまで対応できます。

このプロセスは脅威ハンターにとっても有益です。Attack Flowを使用して、脅威ハンターは攻撃の次の手順を調べることができます。また、環境への侵害行為でサイバー犯罪者が最もよく使用する攻撃経路を突き止めることも可能です。

わかりやすいビジネスレベルの協議を促進する

想定される脅威についてセキュリティチームと話し合う、新しいリソースの企画書を提出する、取締役会で予算を説明するなど、どのような場合においても、明快でタイムリーなコミュニケーションは極めて重要です。

Attack Flowの最新機能には、コミュニケーション面で明確なメリットがあります。第一に、チームは標準的なわかりやすい形式で情報を文書化して提示できます。SIEMベースのアラートのリストをくまなく調査する代わりに、次のような重要な質問を可視化して回答することができます。

  • 「攻撃者は何をしているのか?」
  • 「攻撃者はどのような手口をどのような順序で実行するのか?」
  • 「どのアセットが標的にされるのか?」
  • 「攻撃者の最終目標は何か?」

このような攻撃フローは、アナリストが防御範囲や適切な次の対策を伝えるための高度なツールとなるだけでなく、経営幹部や取締役との対話にも使用することができます。Attack Flowユーザーは、標的のアセットに攻撃フローを重ね合わせてリスクを明確化し、情報漏洩、財務上の損失、業務停止など、ビジネスに対する攻撃の影響を伝達することができます。

Attack Flowによるチームの俊敏性と実効性の向上

Attack Flowはサイバー防御者同士だけでなく、攻撃者の模倣演習を実施するパープルチームや経営幹部へのブリーフィングを行うCISOなど、防御者と上級リーダーとの連絡や協力関係も円滑化します。コミュニケーションやコラボレーションの促進に加えて、Attack Flowは攻撃フローを収集 / 分析する契機にもなります。攻撃フローの分析によって予測インテリジェンスが可能になり、誰もが攻撃者に対する防御を強化できるようになります。

Attack Flowをまだお試しでないお客様は、是非CTIDの攻撃フローサンプルをダウンロードしてご確認ください。