~企業のセキュリティチームはサイバー攻撃の複雑化と多様化に迅速に対応できない~
悪意のあるメンバーは、マルウェア、ランサムウェア、IoTボットネットなど、多くの脅威を伴う統合OT/IoT環境をターゲットにしています。残念ながら、企業のセキュリティ担当チームには、OT/IoT環境を狙ったサイバー攻撃活動を分類し、そのセキュリティ防御を強化するための一貫した対応策が欠けていることがよくあります。
セキュリティアナリストは悪意のある振舞いを検出する場合、多くはアドホックな調査と分類の手法に頼って、その振舞いが悪意のあるものであるかどうか、またそれが攻撃チェーン全体とどのように関連しているかを判断しています。
MITREは、こうした状況に対処するために、“MITRE ATT&CK Framework for Enterprise and Mobile”をベースにしたICS向けMITRE ATT&CKフレームワークを開発しました。このフレームワークは、OT環境で検出された振舞いをSOCアナリストやインシデントチームが判断するための迅速かつ効果的な手法を提供します。このフレームワークでは、悪意のある振舞いを11のTacticsに分類(以下の図参照)し、“初期アクセス”から“インパクト”に至るまで、攻撃チェーンの各ステップを説明していします。この11のカテゴリには、約100の個別のTechniquesがあり、各Techniqueが示す特定の脅威の詳細な説明が含まれています。
図: ATT&CKのTactics(戦術)、Techniques(手法)、Procedures(手順)の階層モデル
注1:ATT&CK Tacticsとは、MITRE ATT&CKフレームワークでは、攻撃者のアプローチの背後にある“Why”を概説し、攻撃の目的を表す以下の図で示す11のTacticsで構成されています。ATT&CKでは、各Tacticsに対するセキュリティカバレッジの重要性は同等に重視されます。
注2:ATT&CK Techniquesとは、使用される各Tacticsには、さまざまな関連するTechniquesが含まれます。ATT&CK Techniquesは、敵が目的を達成する“How”、つまり敵が求めているものを得るために取る行動です。フレームワークには、Techniquesの使用方法と、セキュリティチームが深く掘り下げる必要がある理由に関する詳細な説明が含まれています。
注3:ATT&CK Procedures(手順)とは、ATT&CK フレームワークProcedures(手順)は、攻撃者がTechniquesを実行して実装するために実行する特定の手順です。
Nozomi NetworksはMITRE Frameworkとの統合により、SOCアナリストはNozomi Guardianによって検出された振舞いと、全体的な攻撃チェーンにおけるその役割を理解できるようになります。
図:Nozomi NetworksとMITRE Frameworkの統合により、SOCアナリストはGuardianによって検出された振舞いと攻撃チェーン全体におけるその役割を理解することができます。
ICS向けMITRE ATT&CKフレームワークに対するGuardianの統合サポートを利用して脅威への対応を加速
脅威への対応を迅速化するために、Nozomi Networks はICS向けMITRE ATT&CKフレームワークをアラート機能に組み込んでいます。この統合により、悪意のある振舞いを攻撃チェーン内の1つ以上の手法に関連付けることで、即座にコンテキストが提供されます。このコンテキストにより、SOCアナリストがこうした振舞い検知をより深く理解するための追加調査の作業が減り、SOCスタッフ内に存在する可能性のある知識のギャップを埋めるのに役立ちます。
たとえば、プロセスを停止する要求は、産業プロセスを標的とするよく知られたTRITONマルウェアを使用した攻撃の一部である可能性があります。Nozomi Networks は、プロセスを停止する試みを検出すると、“IOTデバイス停止要求”アラートを生成します。アラートには、MITRE ATT&CK Framework for ICS の適切な手法である Change Program State 手法 (T875) の識別が含まれており、これは実行とプロセス制御の妨害の両方の戦術(Tactics)に関連付けられています。
OTデバイスを標的とした潜在的に悪意のある振舞いを識別する“OTデバイス停止要求”アラートの例。詳細と攻撃分析が含まれています。
脅威インテリジェンス(TI)を活用してOT/IoTネットワークを新たな脅威から守る
脅威インテリジェンスサービスは、Nozomi Guardianアプライアンスを最新の脅威に対して最新の状態に保ち、脆弱性や新たな脅威をより迅速に検出して対応できるようにします。Nozomi Guardianは、継続的に更新される脅威インテリジェンス(Threat Intelligence)とアセットインテリジェンス(Asset Inteligence)をより広範な環境の動作と関連付けて、最大限のセキュリティと可視性を実現します。
おわりに
上記で紹介したMITRE ATT&CKは他のICSセキュリティベンダーも組み合わせていますが、Nozomi Guardianは、Nozomi Networks独自の脅威インテリジェンス(TI)とアセットインテリジェンス(AI)とシームレスに統合しています。このNozomiとMITRE ATT%CKの統合では、企業のセキュリティチームが ICS 向けMITRE ATT&CKフレームワークを効率的に利活用する方法も紹介しています。
NozomiメンバーがWebinarでも紹介していますので以下のサイトからご視聴ください。
https://www.nozominetworks.com/resources/how-security-teams-use-the-mitre-attack-framework-for-ics
尚、今年の7/24日付けNozomi NetworksのMITRE ATT&CK® とNozomiとのデータの統合のニュースによれば、Nozomi Networks Operating System (N2OS) は、アラートプロパティ mitre_attack_for_ics および mitre_attack_enterpriseで MITRE ATT&CK® 関連情報を公開します。同じ情報は、レガシーアラートフィールドmitre_attack_techniquesおよび mitre_attack_tactics、およびレガシーアラートプロパティmitre_attack/techniques にも含まれています。これらのレガシーフィールドとプロパティは現在非推奨であり、N2OS の将来のバージョンリリースで削除される予定です。
(筆者)