この記事は機械翻訳されました。
MITRE ATT&CK フレームワークは、ハッカーの目標と手法のコレクションです。 MITRE Corporationは、この知識のデータベースを開発および維持しています。
ATT&CKの名前は、「Adversarial Tactics, Techniques, and Common Knowledge」の頭文字をとったものです。
このデータベースの内容を説明し、この情報を使用して会社概要のリソースを安全かつ健全に保つ方法の概要を説明します。
MITRE ATT&CK フレームワーク Breakdown
もし、敵があなたに何をしたいのか、常に更新されるリストがあるとしたらどうでしょうか?そして、そのリストに彼らがあなたをどのように傷つける計画を立てたかについての情報も含まれていたらどうでしょうか?
2013年、MITREコーポレーションの関係者は、 FMX研究プロジェクトを通じてその質問に答えることを決定しました。エンタープライズネットワーク上で発生している攻撃に関するデータを収集し、さまざまな防御メカニズムをテストして、それらが機能するかどうかを確認しました。 やがて、データベースは非常に堅牢で価値のあるものになったため、チームは自分たちの知識をより広い世界と共有することを決定しました。MITRE ATT&CKマトリックスが誕生しました。
マトリクス内の情報は、表形式で共有されます。リンクを使用すると、調査を深く掘り下げることができ、脅威が時間とともにどのように変化するかを定期的にチェックできます。
マトリックスは、2つの重要な領域に分かれています。
- 戦術: なぜ敵対者は特定の一歩を踏み出すのか?彼らは何を達成したいのでしょうか?MITREの関係者は、これらの動機付け要因を「戦術」と呼んでいます。
- 技術: 敵対者は目標を達成するために何をしますか?具体的にどのようなステップを踏むのか?MITREの職員は、これらの計画を「技術」と呼んでいる。
MITREの用語を理解するには、時間と少しの練習が必要です。しかし、努力する価値はあります。 MITRE ATT&CKの研究が人気を博すにつれ、ITプロフェッショナルは、自分たちが直面している脅威についての会話に言葉を滑り込ませる傾向があります。研究の進捗状況を知れば知るほど、これらの講演にうまく参加できます。
MITRE ATT&CK戦術&
すべての戦術は、「なぜ?」という質問に答えます。これらは、攻撃者が自分の行動をとるように駆り立てる動機と考えてください。
MITREのチームは、エンタープライズ環境で働く人々のために14人を特定しています。その攻撃に特化したMITREのページにリンクしますので、調査を掘り下げて、各戦術や時間とともに物事がどのように変化するかを理解することができます。
認められているエンタープライズ戦術には、次のものがあります。
- リソース開発。 敵対者は、攻撃が正常に進行するようにしたいと考えています。攻撃者が利用可能なツールをたくさん持っている場合、このハッキングと次のハッキングはさらに効果的になる可能性があります。
- 偵察。攻撃者は、受動的または能動的にあなたに関する情報を収集したいと考えているため、攻撃はデータによって推進され、成功する可能性が高くなります。
- 初期アクセス。 攻撃者は、環境への侵入に成功し、攻撃が深まるにつれて悪用される可能性のある足場を得たいと考えています。
- 実行。攻撃者は、ローカルシステムまたはリモートバージョンでコードを実行して制御を奪おうとしています。
- 永続性。 ハッカーは、システムを再起動したり、認証情報を変更したり、環境を保護しようとしても、その場にとどまることを望んでいます。
- 特権のエスカレーション。 ハッカーは、ネットワークの単なるユーザーになる以上のことをしたいと考えています。ハッカーは、目標を遂行できるように、より多くの特権を望んでいます。
- 防御回避。 ハッカーは、セキュリティソフトウェアで侵入者を探している場合でも、隠れ続けたいと考えています。
- 認証情報 access。 攻撃者は、後で販売または使用される可能性のあるユーザー名やパスワードなどの認証情報を盗もうとしています。
- ディスカバリー。 侵入者は、システムのセットアップとネットワークについて詳しく知りたいので、次のステップはスムーズに進みます。
- 横方向の動き。 ハッカーは、ネットワーク上の任意のリモートシステムに侵入して制御したいと考えています。
- コレクション。 あなたの侵入者は、あなたとあなたのリソースの両方についてさらに多くの情報を収集したいと考えています。
- コマンド&コントロール。 敵対者は、ネットワーク上のシステムと通信したいと考えています。できれば、人もこれらのシステムを制御できる。
- エクスクルート。 ハッカーはデータを盗み、ITをシステムから押し出したいと考えています。
- インパクト。 敵対者は、あなたの可用性を制限したり、プロセスを操作したりしたいと考えています。
モバイル環境で作業している場合、戦術はほぼ同じです。しかし、この一覧には、エンタープライズの状況には適用されない 2 つの新しい戦術 が表示されます。 それらは次のとおりです。
- ネットワーク効果。 敵対者は、デバイスに出入りするトラフィックを傍受または操作したいと考えています。
- リモートサービスエフェクト。 ハッカーは、リモートサービスを使用してデバイスを制御または監視しようとします。
これらの戦術は、ハッカーのウィッシュリストと考えてください。それらを順番に追うと、誰かがあなたの環境に入ったときに何をしたいのか、そして各ステップが最後のステップにどのように続くのかがわかります。攻撃を早期に阻止することがなぜ重要なのか、理解できるようになるかもしれません。
MITRE ATT&CKのテクニック
ハッキングの目標を達成するためには、敵はどのような手順を踏む必要がありますか?これらのアクションはテクニックです。
MITRE ATT&CKマトリックスでは、戦術を管理するのと同じ方法論を使用して手法がグループ化されています。つまり、 エンタープライズ環境用 と モバイル環境用の2つのセットが存在するということです。
このデータを掘り下げると、攻撃者が何をしようとしているのか、そしてその仕事を成し遂げるために必要なツールやテクノロジーを理解することができます。
MITRE ATT&CKマトリクスの3つの使用方法
MITREのWebサイトを掘り下げることを選択した場合、たくさんのデータがあなたを待っています。また、情報は定期的に変更されるため、ハッカーがどのように作業を変更しているかを理解するために、頻繁にチェックする必要があります。
なぜ面倒なことをしなければならないのですか?このデータを使用して、次のことができます。
- 評。 あなたのツールは、著名なハッカーのアプローチにどれだけうまく立ち上げられますか? あなたが計画していなかった新しいことが起こっていますか?
- 優先 順位。 すべてのセキュリティシステムは、多少の改善の余地があります。どこから始めればよいですか?現在の状況を理解することで、パッチを適用すべき最大の脆弱性を特定できる可能性があります。
- 追跡する. セキュリティの状況はどのように変化していますか?あなたの既知の敵対者は何をしていますか?このデータはデータベース内で監視できます。
一般的に、MITREチームは脅威インテリジェンスと学んだ教訓を共有するのを支援し、あなたがさらに仕事を改善できるようにします。時々マトリックスに入る価値があるので、侵入者の先を行くために次に何をすべきかがわかります。
現在の脅威についてさらに詳しい情報をお探しですか?私たちは、あなたの時間を費やす価値のある リアルタイムのセキュリティインテリジェンス に特化したウェビナーをご用意しています。試してみて下さい。
参考文献
よくある質問。MITREコーポレーション。
偵察。MITREコーポレーション。
リソース開発。MITREコーポレーション。
初期アクセス。MITREコーポレーション。
実行。MITREコーポレーション。
永続性。MITREコーポレーション。
特権のエスカレーション。 MITREコーポレーション。
防御回避。MITREコーポレーション。
認証情報 Access. MITREコーポレーション。
ディスカバリー。MITREコーポレーション。
横方向の動き。MITREコーポレーション。
コレクション。MITREコーポレーション。
コマンド&コントロール。MITREコーポレーション。
エクスクルート。MITREコーポレーション。
インパクト。MITREコーポレーション。
モバイル戦術。MITREコーポレーション。
エンタープライズ手法。MITREコーポレーション。
モバイル技術。MITREコーポレーション。
