MITRE ATT&CK - Cyber SEC TSM | サイバーセキュリティTSM

MITRE ATT&CK

MITRE ATT&CK（マイター アタック）は、サイバーセキュリティの脅威情報を体系化したフレームワークであり、サイバー攻撃の戦術、技術、手法を記録しています。

MITRE ATT&CKフレームワーク

概要

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）は、サイバー攻撃の戦術、技術、および手法（TTP）を整理し、攻撃者の行動を理解するための包括的なモデルを提供します。
サイバー脅威インテリジェンスの共有とセキュリティ対策の改善を目的としています。

戦術（Tactics）

戦術は、攻撃者が攻撃を実行するために達成しようとする目的を指します。
MITRE ATT&CKフレームワークでは、次のような戦術が定義されています。

初期アクセス（Initial Access）
実行（Execution）
持続（Persistence）
特権エスカレーション（Privilege Escalation）
防御回避（Defense Evasion）
資格情報アクセス（Credential Access）
ディスカバリ（Discovery）
横展開（Lateral Movement）
収集（Collection）
コマンド＆コントロール（Command and Control）
外部への送信（Exfiltration）
影響（Impact）

技術（Techniques）

技術は、攻撃者が戦術を達成するために使用する具体的な方法です。各戦術には、複数の技術が関連付けられています。以下にいくつかの技術の例を示します。

初期アクセス（Initial Access）
フィッシング（Phishing）
ドライブバイダウンロード（Drive-by Compromise）
脆弱性の悪用（Exploitation of Vulnerability）
実行（Execution）
スクリプト実行（Script Execution）
コンパイル済みバイナリの実行（Execution of Compiled Binaries）
マルウェアの実行（Malware Execution）
防御回避（Defense Evasion）
コード難読化（Code Obfuscation）
ファイル削除（File Deletion）
署名付きバイナリの利用（Use of Signed Binaries）

サブ技術（Sub-techniques）

サブ技術は、特定の技術の詳細な実装方法やバリエーションを指します。サブ技術は、攻撃者の行動をさらに詳細に分析し、特定の対策を講じるために重要です。

例
技術: フィッシング（Phishing）
サブ技術: スピアフィッシングリンク（Spearphishing Link）
サブ技術: スピアフィッシングアタッチメント（Spearphishing Attachment）

使用方法

MITRE ATT&CKフレームワークは、以下のように使用されます。

• セキュリティ対策の強化

攻撃者の技術や戦術を理解することで、効果的な防御策を構築できます。
セキュリティツールやプロセスのギャップを特定し、改善策を講じることができます。

• 脅威インテリジェンスの共有

組織間での脅威情報の共有を促進し、共同で対策を強化できます。
攻撃者の行動パターンを共有することで、早期検知と迅速な対応が可能になります。

• セキュリティインシデント対応

インシデント発生時に、攻撃者の技術や戦術を特定し、迅速に対応できます。
フレームワークを使用して、攻撃の進行を追跡し、被害の最小化を図ることができます。

まとめ

MITRE ATT&CKは、サイバー攻撃に対する防御を強化するための強力なツールです。攻撃者の戦術、技術、手法を詳細に理解し、適切な防御策を講じることで、組織のセキュリティを大幅に向上させることができます。初学者から上級者まで、MITRE ATT&CKフレームワークを活用して、効果的なセキュリティ戦略を構築しましょう。