サイバー・キル・チェーン

サイバー・キルチェーンとは何か?

ロッキード・マーチンが開発したCyber KillChain®は、脅威行為者が目的を達成するために完了しなければならないサイバー攻撃の段階のリストです。攻撃の進行段階を特定することで、組織はサイバーインシデントをより適切に防御し、阻止することができる。

サイバー・キル・チェーンが導入されたのは10年以上前だが、いまだに多くの組織がサイバーセキュリティ・プロセスの定義に役立てている。 

サイバー・キルチェーン・ステージ

サイバー・キルチェーンの段階

サイバーキルチェーンモデルは、サイバー攻撃の潜在的な経路を段階的に示したものである。この考え方は、攻撃がプロセスのどの段階まで進行しているかを特定することさえできれば、組織が介入して攻撃を阻止するチャンスがあるポイントが攻撃中にいくつか存在するというものである。

1.偵察

サイバーキルチェーン手法によると、サイバー攻撃の最初の兆候は、攻撃者がネットワークの弱点や脆弱性を探ることです。これは、脅威者がフィッシングのような手口を使って、電子メールアドレス、ログイン認証情報、アプリケーション、オペレーティングシステムの詳細などの情報を収集する段階です。

2.兵器化

次に、攻撃者はその発見に基づいて攻撃ベクトルを作成する。例えば、既知の脆弱性を悪用するために、リモートアクセスマルウェア、ウイルス、ワームなどを使うかもしれない。また、本来のエントリー・ポイントがブロックされた場合にアクセスできるよう、システムにバックドアを設置することもある。

3.配送

攻撃者が攻撃を開始する時点である。具体的にどのようなベクトルを使うかは、ステージ1と2で収集した情報と攻撃の目的によって異なる。そして、攻撃の絶好のタイミングを待つ。 

4.搾取

悪用段階では、攻撃者は被害者のシステム内で悪意のあるコードを実行する。特定のデバイスを攻撃したり、悪意のあるリンクを含む電子メールを送信したり、ブラウザ・レベルでネットワーク全体を攻撃したりする。 

5.設置方法

このフェーズでは、攻撃者は被害者のシステムにマルウェア、ランサムウェア、ウイルスをインストールする。このフェーズが成功すると、攻撃を仕掛けた人物によって環境がコントロールされることになる。

6.コマンド&コントロール(C2)

この時点までに、攻撃者はターゲット・ネットワーク上のデバイスまたは ID を完全にリモート・コントロールできるようになります。この段階では、攻撃者は他のユーザーと同じように見えるため、攻撃者を追跡することは困難である。 

7.目標に対する行動

この段階は即座に起こる可能性もあれば、攻撃者が大規模な攻撃を仕掛けてくる前に、ネットワークについて知るためにさらに偵察を行う可能性もある。攻撃者がデータの暗号化、流出、破壊など、目的に向かって行動を起こすと決めた時点で、組織は攻撃者のなすがままになる。 

サイバー・キルチェーンの使い方

サイバー・キル・チェーンは、組織が攻撃に耐えるためのサイバーセキュリティ戦略を確立するのに役立つ。これは、攻撃のさまざまなレベルと、セキュリティが不足している可能性のある場所を組織に示すものです。

サイバー・キル・チェーン・モデルの一環として、組織はプロセスの各段階でネットワークを保護するセキュリティ・テクノロジーを導入すべきである。これらのソリューションやサービスには、以下のようなものがある:

  • 検出ツール
  • 権限のないユーザーによる認証情報の搾取を防ぐ予防策
  • ネットワーク全体で共有されるデータを隠す暗号化
  • 企業がリアルタイムで攻撃に対応できるレスポンス・ツールとアラート
  • ネットワーク内での横移動を防止するための手順

サイバー・キル・チェーンは、サイバーセキュリティ・チームがそのニーズと脆弱性に応じてセキュリティ・エコシステムを設計するためのフレームワークを提供する。 

サイバー・キルチェーンの進化

テクノロジーが進化するにつれて、脅威行為者のスキルや能力も進化しています。サイバー攻撃はより巧妙になり、組織が復旧するためのコストも増大している。しかし、サイバーキルチェーンの基本的な設計は変わりません。

セキュリティ専門家は、サイバー・キル・チェーン・モデルが境界のセキュリティに重点を置いていると批判している。多くの組織は、コラボレーションを可能にし、データ共有を合理化するために、ソフトウェア定義システムで稼働しているが、サイバー・キル・チェーンは、リモートワーク組織やIoTデバイスなど、ビジネスネットワーク上に存在しないエンドポイントのニーズには対応していない。 

また、革新的な脅威行為者の様々な攻撃タイプやテクニックも考慮されていません。ウェブベースの攻撃、インサイダーの脅威、漏洩した認証情報は、サイバーキルチェーンモデルでは考慮されていません。 

サイバーキルチェーン vs MITRE ATT&CK

Cyber Kill ChainとMITRE ATT&CK®は、どちらも企業やその他の組織を標的としたサイバー攻撃に対処するためのフレームワークです。Cyber Kill Chainがハイレベルな概要でサイバー攻撃のプロセスに対処するのに対し、MITRE ATT&CKはサイバー攻撃に関するより詳細な情報を企業に提供します。 

MITRE ATT&CKは、サイバー脅威に関するインテリジェンスを獲得し、さまざまなサイバー攻撃に対する標準的なリファレンスと語彙を提供するために設計されました。これは無料でオープンなリソースであり、ウェブ上のサイバーセキュリティ情報をシンプルな階層型フレームワークに整理しています。さらに、フレームワークの各レベルでは、様々な攻撃手法に応じて従うべき詳細な手順を提供しているため、あらゆるスキルレベルの専門家が組織に安全な環境を提供することができます。 

一方、サイバーキルチェーンは、サイバー攻撃は毎回同じ手法や戦略に従う傾向があると主張している。これは事実ではなく、テクノロジーの進化に伴い、新たな攻撃ベクトルや手法が発見されています。MITRE ATT&CKは、攻撃と防御の一連の戦術ではなく、サイバーセキュリティの専門家に、その分野の専門家から特定の攻撃タイプに対処するための実用的な情報を提供する広範な知識ベースです。 

BlackBerry MITRE ATT&CK エミュレーションでサイバーセキュリティが100%有効であることが証明される

BlackBerryの一連のサイバーセキュリティ・ソリューション(Cylance )は、MITRE ATT&CKの2022年評価において、Wizard SpiderとSandwormの両攻撃のエミュレーションを、被害が発生する前の非常に早い段階で100%防ぐことに成功した。 

BlackBerry's CylancePROTECT®CylanceOPTICS®のソリューションは、個々の攻撃テクニックを高い信頼性で包括的に検出し、誤検出を追うために費やされる無駄なリソースの削減に貢献しました。

さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース