MITRE ATT&CK vs サイバーキルチェーン:何が違うのか?

MITRE ATT&CK®とCyber Kill Chain®は、組織に対するサイバー攻撃に対処するためのフレームワークです。しかし、Cyber Kill Chainがサイバー攻撃のプロセスを7つのフェーズで高いレベルから扱っているのに対し、MITRE ATT&CKは、攻撃手法や手順、業界の勧告へのリンクなど、サイバー攻撃に関する詳細な知識を含む、より深い範囲の知識を含んでいます。
MITRE ATT&CK vs サイバー・キル・チェーン

MITRE ATT&CK フレームワークとは?

MITRE ATT&CK(AdversarialTactics, Techniques, and Common Knowledge)は、MITRE Corporationが2018年に初めて公開したサイバーセキュリティ情報のフリーでオープンな知識ベースです。ATT&CKは、サイバーセキュリティアナリストやその他の関係者がサイバーセキュリティプログラムの計画や設計のためにサイバー脅威インテリジェンス(CTI)の知見を得るのを支援し、共通のサイバーセキュリティ参照語彙を提供することでコミュニケーションを促進するように設計されています。

MITRE ATT&CK は、サイバーセキュリティの知識を階層的なフレームワークに整理するために、戦術、技術、手順(TTP)の観点を使用しています。各戦術には複数の技法が含まれ、それぞれが戦術目標を達成するための戦略的方法を定義している。ATT&CK フレームワークの最下層の階層レベルには、ツール、プロトコル、実際のサイバー攻撃で観測されたマルウェアの系統など、各テクニックの詳細な手順が含まれています。ATT&CK 情報の最下位レベルには、各テクニックを使用することが知られている敵対グループなど、関連する知識が含まれます。

MITRE ATT&CK タクティクス

  • 偵察(エンタープライズ、ICS)
  • リソース開発(エンタープライズ、ICS)
  • 初期アクセス
  • 実行
  • 永続性
  • 特権のエスカレーション
  • 防御回避
  • クレデンシャル・アクセス(エンタープライズ、モバイル)
  • ディスカバリー
  • 横の動き
  • コレクション
  • 指揮統制
  • 流出(エンタープライズ、モバイル)
  • インパクト 
  • ネットワーク効果(モバイルのみ)
  • ネットワークサービス効果(モバイルのみ)
  • 反応抑制機能(ICSのみ)
  • プロセス制御を損なう(ICSのみ)

サイバー・キルチェーンとは何か?

サイバー・キル・チェーンは、ロッキード・マーチン社が開発し、2011年に発表したサイバー攻撃のフレームワークである。キルチェーン」という言葉は、攻撃を計画し、開始するプロセスと定義する伝統的な軍事概念から採用された。

MITRE ATT&CKのように、サイバーキルチェーンはすべてのサイバー攻撃行動を偵察から目的達成までの連続した戦術に分類しています。また、サイバーキルチェーンでは、攻撃の各段階が「キルチェーンを断ち切る」ことによって攻撃を阻止するチャンスであるという考え方を推進しています。サイバーキルチェーンでは、攻撃の特定された段階ごとにセキュリティ対策を計画し、テストすることが、包括的な防御戦略につながると提唱しています。

サイバー・キルチェーンの7つの段階

  1. 偵察
  2. 兵器化
  3. 配送
  4. 搾取
  5. インストール
  6. 指揮統制
  7. 目標に対する行動

MITRE ATT&CKとサイバー・キルチェーンとの違い

サイバーキルチェーンは、MITRE ATT&CKのフレームワークとは根本的に異なり、すべてのサイバー攻撃は成功するために特定の攻撃戦術のシーケンスに従わなければならないと主張しています。サイバーキルチェーンは、サイバー攻撃を構成する初歩的な一連の段階であり、「キルチェーン」のいずれかの段階を「破る」ことで攻撃者が目的を成功裏に達成することを阻止するという一般的な防御セキュリティ公理と組み合わされています。 

MITRE ATT&CK は一連の攻撃戦術以上のものです。それは、特定の敵対グループへの帰属など、戦術、技術、手順、その他の共通知識の階層に沿って環境固有のサイバーセキュリティ情報を関連付ける深い知識ベースです。

どっちがいい?MITRE ATT&CKとCyber Kill Chainのどちらが優れているか?

サイバー攻撃の行動に関する基本的な入門書として、サイバーキルチェーンはシンプルであるため、サイバー攻撃のプロセスに関する基礎的な理解を提供し、新しい学習者を圧倒することはないだろう。しかし、この意味での長所は、別の意味での短所でもある。攻撃者の手順に関する深い洞察が得られないため、その有用性は限定的である。

また、サイバー・キル・チェーンは、境界のセキュリティに重点を置いていると批判されることが多く、その中心的な公理である、攻撃者のプロセスのある段階を阻止すれば攻撃を無効化できるという考え方が、サイバーセキュリティに対する現実的なアプローチであるかどうかは議論の余地がある。サイバーセキュリティに対する実践的なリスク駆動型アプローチでは、文脈上のリスクに応じてリソースを適用することが求められる。攻撃の初期段階に優先順位をつけることでセキュリティ侵害を防ごうとするアプローチは不適切である。

MITRE ATT&CK フレームワークは、悪意のある行動(TTP と共通知識)の完全なライブラリであり、実行可能なサイバー脅威インテリジェンス(CTI)のより深いライブラリを提供します。サイバー攻撃情報の包括的な知識ベースであるため、ATT&CK は攻撃者の方法論と目標のチェックリストとして機能し、セキュリティ対策を含めることを正当化し、これらの対策が包括的で、実際のサイバー攻撃のあらゆる側面に対してある程度の防御を提供することを保証します。

ATT&CK は、脅威ハンター、レッドチーマー、セキュリティ・ポリシーや管理策を設計・実装する人々(セキュリティ・アーキテクトやネットワーク管理者など)にとって、より有用である。また、より包括的な用語と定義を提供することで、関係者間のサイバーセキュリティに関するコミュニケーションを正常化することもできる。

BlackBerry MITRE ATT&CK エミュレーションでサイバーセキュリティが100%有効であることが証明される

BlackBerryの一連のサイバーセキュリティ・ソリューション(Cylance )は、MITRE ATT&CKの2022年評価において、Wizard SpiderとSandwormの両攻撃のエミュレーションを、被害が発生する前の非常に早い段階で100%防ぐことに成功した。 

BlackBerry's CylancePROTECT®CylanceOPTICS®のソリューションは、個々の攻撃テクニックを高い信頼性で包括的に検出し、誤検出を追うために費やされる無駄なリソースの削減に貢献しました。

さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース