MITRE ATT&CKフレームワークを活用してOT/IoT脅威への対応を迅速化および簡素化!

 Oct 3, 2024 1:43:08 PM  新美竹男

画像4-Oct-03-2024-04-42-58-2724-AM

~企業のセキュリティチームはサイバー攻撃の複雑化と多様化に迅速に対応できない~

悪意のあるメンバーは、マルウェア、ランサムウェア、IoTボットネットなど、多くの脅威を伴う統合OT/IoT環境をターゲットにしています。残念ながら、企業のセキュリティ担当チームには、OT/IoT環境を狙ったサイバー攻撃活動を分類し、そのセキュリティ防御を強化するための一貫した対応策が欠けていることがよくあります。

セキュリティアナリストは悪意のある振舞いを検出する場合、多くはアドホックな調査と分類の手法に頼って、その振舞いが悪意のあるものであるかどうか、またそれが攻撃チェーン全体とどのように関連しているかを判断しています。

MITREは、こうした状況に対処するために、“MITRE ATT&CK Framework for Enterprise and MobileをベースにしたICS向けMITRE ATT&CKフレームワークを開発しました。このフレームワークは、OT環境で検出された振舞いをSOCアナリストやインシデントチームが判断するための迅速かつ効果的な手法を提供します。このフレームワークでは、悪意のある振舞いを11Tacticsに分類(以下の図参照)し、“初期アクセス”から“インパクト”に至るまで、攻撃チェーンの各ステップを説明していします。この11のカテゴリには、100の個別のTechniquesがあり、各Techniqueが示す特定の脅威の詳細な説明が含まれています。

画像1-Oct-03-2024-04-39-21-9821-AM

: ATT&CKTactics(戦術)Techniques(手法)Procedures(手順)の階層モデル

注1:ATT&CK Tacticsとは、MITRE ATT&CKフレームワークでは、攻撃者のアプローチの背後にある“Why”を概説し、攻撃の目的を表す以下の図で示す11Tacticsで構成されています。ATT&CKでは、各Tacticsに対するセキュリティカバレッジの重要性は同等に重視されます。

注2:ATT&CK Techniquesとは、使用される各Tacticsには、さまざまな関連するTechniquesが含まれます。ATT&CK Techniquesは、敵が目的を達成する“How”、つまり敵が求めているものを得るために取る行動です。フレームワークには、Techniquesの使用方法と、セキュリティチームが深く掘り下げる必要がある理由に関する詳細な説明が含まれています。

注3:ATT&CK Procedures(手順)とは、ATT&CK フレームワークProcedures(手順)は、攻撃者がTechniquesを実行して実装するために実行する特定の手順です。

Nozomi NetworksはMITRE Frameworkとの統合により、SOCアナリストはNozomi Guardianによって検出された振舞いと、全体的な攻撃チェーンにおけるその役割を理解できるようになります。

画像2-Oct-03-2024-04-40-02-3348-AM

図:Nozomi NetworksMITRE Frameworkの統合により、SOCアナリストはGuardianによって検出された振舞いと攻撃チェーン全体におけるその役割を理解することができます。

ICS向けMITRE ATT&CKフレームワークに対するGuardianの統合サポートを利用して脅威への対応を加速

脅威への対応を迅速化するために、Nozomi Networks ICS向けMITRE ATT&CKフレームワークをアラート機能に組み込んでいます。この統合により、悪意のある振舞いを攻撃チェーン内の1つ以上の手法に関連付けることで、即座にコンテキストが提供されます。このコンテキストにより、SOCアナリストがこうした振舞い検知をより深く理解するための追加調査の作業が減り、SOCスタッフ内に存在する可能性のある知識のギャップを埋めるのに役立ちます。

たとえば、プロセスを停止する要求は、産業プロセスを標的とするよく知られたTRITONマルウェアを使用した攻撃の一部である可能性があります。Nozomi Networks は、プロセスを停止する試みを検出すると、“IOTデバイス停止要求”アラートを生成します。アラートには、MITRE ATT&CK Framework for ICS の適切な手法である Change Program State 手法 (T875) の識別が含まれており、これは実行とプロセス制御の妨害の両方の戦術(Tactics)に関連付けられています。

OTデバイスを標的とした潜在的に悪意のある振舞いを識別する“OTデバイス停止要求”アラートの例。詳細と攻撃分析が含まれています。

脅威インテリジェンス(TI)を活用してOT/IoTネットワークを新たな脅威から守る

脅威インテリジェンスサービスは、Nozomi Guardianアプライアンスを最新の脅威に対して最新の状態に保ち、脆弱性や新たな脅威をより迅速に検出して対応できるようにします。Nozomi Guardianは、継続的に更新される脅威インテリジェンス(Threat Intelligenceアセットインテリジェンス(Asset Inteligence)をより広範な環境の動作と関連付けて、最大限のセキュリティと可視性を実現します。

画像3-Oct-03-2024-04-40-34-3037-AM

おわりに

上記で紹介したMITRE ATT&CKは他のICSセキュリティベンダーも組み合わせていますが、Nozomi Guardianは、Nozomi Networks独自の脅威インテリジェンス(TI)とアセットインテリジェンス(AI)とシームレスに統合しています。このNozomiMITRE ATT%CKの統合では、企業のセキュリティチームが ICS 向けMITRE ATT&CKフレームワークを効率的に利活用する方法も紹介しています。

NozomiメンバーがWebinarでも紹介していますので以下のサイトからご視聴ください。

https://www.nozominetworks.com/resources/how-security-teams-use-the-mitre-attack-framework-for-ics

尚、今年の7/24日付けNozomi NetworksのMITRE ATT&CK® とNozomiとのデータの統合のニュースによれば、Nozomi Networks Operating System (N2OS) は、アラートプロパティ mitre_attack_for_ics および mitre_attack_enterpriseで MITRE ATT&CK® 関連情報を公開します。同じ情報は、レガシーアラートフィールドmitre_attack_techniquesおよび mitre_attack_tactics、およびレガシーアラートプロパティmitre_attack/techniques にも含まれています。これらのレガシーフィールドとプロパティは現在非推奨であり、N2OS の将来のバージョンリリースで削除される予定です。

(筆者)


RECENT POST「Nozomi Networks」の最新記事


Nozomi Networks

Nozomi Guardianで検知した通信をTXOne EdgeIPSで遮断してみた

Nozomi Networks

“製造業のIT/OTマッピング”とは

Nozomi Networks

MITREがATT&CKによるOT防御を設計し、重要なインフラ設備全体のセキュリティ体制を強化!

Nozomi Networks

ISA/IEC 62443規格に準拠したNozomiNetworksのプラットフォーム

MITRE ATT&CKフレームワークを活用してOT/IoT脅威への対応を迅速化および簡素化!