What is MITRE ATT&CK Framework?

MITRE ATT&CKフレームワーク

MITRE ATT&CKフレームワークは、サイバー攻撃がどのように機能するかについての認識と理解を深めるように設計されています。 これを実現するために、次のような階層に情報を整理します。

• 戦術： MITRE ATT&CK 戦術は、攻撃者がサイバー攻撃中に達成したい高レベルの目標です。 これには、システムへの初期アクセスの取得、ユーザーアカウントの侵害、ネットワーク内の水平移動などの攻撃の段階が含まれます。
• 技術： MITRE ATT&CKは、ハイレベルな戦術ごとに、目標を達成するための複数のテクニックを定義しています。 たとえば、攻撃者は、ブルートフォース推測攻撃、オペレーティング システムからの盗用、およびその他の方法によって、ユーザーの資格情報にアクセスできます。
• サブテクニック: 一部の MITRE ATT&CK テクニックは、他のさまざまな方法 (サブテクニックと呼ばれます) で実現できます。 たとえば、ブルートフォースパスワード攻撃は、パスワードハッシュの解読、クレデンシャルスタッフィング、またはその他の手段によって実現される可能性があります。

MITRE ATT&CKの戦術、テクニック、サブテクニックは、攻撃者が目標を達成するための具体的な方法にドリルダウンします。 これらの各手法について、MITRE ATT&CKには攻撃の説明と次の情報が含まれています。

• 手続き： 手順では、手法を使用する具体例について説明します。 これには、マルウェア、ハッキングツール、およびその特定の手法を使用することが知られている脅威アクターが含まれます。
• 検出： 特定の手法について、MITRE ATT&CK は、その手法を検出する方法を推奨します。 このセクションは、特定の攻撃を検出するために収集する必要がある情報の種類を概説するため、サイバーセキュリティ防御の設計に非常に役立ちます。
• 緩和： 軽減策のセクションでは、特定の手法の影響を防止または軽減するために組織が実行できる手順について説明します。 たとえば、多要素認証 (MFA) の使用は、ユーザー アカウントへのアクセスを実現するように設計された手法の一般的な軽減策です。

MITRE ATT&CKをサイバー防御に活用

MITRE ATT&CKフレームワークは、単なる情報のリポジトリではなく、ツールとして設計されています。 セキュリティ オペレーション センター (SOC) チームは、次のようなさまざまな方法で MITRE ATT&CK マトリックスを運用できます。

• 防御の設計: MITRE ATT&Ck フレームワークは、さまざまなサイバー攻撃手法を検出して軽減する方法を概説しています。 この情報は、組織が適切な防御策を講じ、特定の脅威を検出するために必要な情報を収集していることを確認するために使用できます。 脅威インテリジェンス を使用して、組織が重点を置く手法に優先順位を付けることができます。
• インシデント検出: MITRE ATT&CK フレームワークは、特定の脅威を検出する方法を記述します。 この情報は、セキュリティ情報およびイベント管理 (SIEM) ソリューション、次世代ファイアウォール (NGFW)、およびその他のセキュリティ ソリューションで検出ルールを開発するために使用する必要があります。
• インシデント調査: MITRE ATT&CKフレームワークは、特定の攻撃がどのように機能するか、および特定の手法を使用するマルウェアを記述します。 この情報は、調査担当者が使用中の MITRE ATT&CK 手法を特定し、フレームワークによって提供される追加データを活用できるため、インシデント調査にとって非常に貴重です。
• 感染の修復: MITRE ATT&CKフレームワークは、特定の手法がどのように実行されるか、およびさまざまなマルウェアサンプルと脅威アクターの能力を記述します。 これは、攻撃者が実行したアクションの概要を示し、感染を除去するために元に戻す必要があるため、修復作業に役立ちます。
• 報告： MITRE ATT&CK フレームワークは、用語を標準化することで、レポート作成を簡素化します。 ツールとアナリストは、フレームワーク内の特定の手法を参照するレポートを生成でき、必要に応じて追加の詳細と軽減手順を提供します。
• 脅威ハンティング: MITRE ATT&CKで提供される説明と検出情報は、脅威ハンティングにとって非常に貴重です。 脅威ハンターは、MITRE ATT&CK評価を実行し、フレームワークに記載されている各手法を実行することで、特定の手法を使用する攻撃者の標的になっているかどうか、および既存のセキュリティソリューションがこれらの攻撃を検出して防止できるかどうかを判断できます。

チェック・ポイントとMITRE ATT&CK

The MITRE ATT&CK framework is a valuable tool for improving communication and understanding of cyberattacks. CheckPoint has integrated MITRE ATT&CK’s taxonomy into its entire solution portfolio, including Infinity SOC and Infinity XDR. Mappings to MITRE ATT&CK techniques are included in forensic reports, malware capability descriptions, and more.

これにより、SOC アナリストには多くの利点があります。 特定の攻撃を分析する場合、MITRE ATT&CKを使用すると、根本原因、攻撃フロー、および各段階における攻撃者の意図を簡単に理解できます。 攻撃者が何をどのように達成しようとしているかを理解することで、SOCチームは攻撃の範囲、必要な修復、および将来の防御を改善する方法を簡単に理解できます。

By integrating MITRE ATT&CK, Check Point Infinity SOC makes cyberattacks more transparent and comprehensible. To see for yourself, check out this demo video. You’re also welcome to sign up for a free trial to see how Check Point and MITRE ATT&CK can simplify and optimize incident detection and response.