MITREの脅威情報に基づく防衛センターは、AttackIQ、Ensign InfoSecurity、Global Cyber Alliance、Siemensと連携して、重要インフラの運用に影響を及ぼす敵対的攻撃を防御するためのOT防御 (ATT&CKによるOT防御) を開発。同センターは、脅威状況を調査し、ITおよびOTシステムに影響を及ぼす敵対者の行為を企業側に伝えます。
(注1) AttackIQは、MITRE ATT&CKフレームワークに合わせて、攻撃者の戦術、手法、手順をエミュレートし、明確なデータ駆動型の分析と緩和ガイダンスにより、セキュリティプログラムのパフォーマンスを可視化します。
(注2) Ensign InfoSecurityは、アジア最大のエンドツーエンドのサイバーセキュリティサービスプロバイダーです。本社はシンガポールにあります。
(注3) Global Cyber Alliance は、サイバーリスクを軽減してインターネットをより安全な場所にすることを目的とした非営利団体です。
MITREは、複雑なIT/OTの資産と制御インフラシステムに対し、敵対的行為を包括的に特定する3つのアプローチを策定しました。これらには、脅威モデルの方法論、レファレンスアーキテクチャ、および敵対者の固有の脅威が含まれます。これらの情報は、重要インフラへの敵対者の攻撃手法に対する防御策を実装するために不可欠です。
“発電施設、水処理場、交通システムなどの重要インフラは、我々のコミュニティの生命線です。そして、これら重要インフラは脅威アクターの主なターゲットになっています”
と、MITRE Engenuityの脅威情報防御センターの研究開発Program Manager,Mike Cunninghamは語る。さらに、“これらの重要インフラには、企業ネットワークで見られるセキュリティ対策が欠けていることが多く、攻撃を受けやすくなっています”と警鐘を鳴らしています。
(注)MITRE Engenuity は、米国で連邦政府の資金提供を受けた研究開発センター (FFRDC) を運営する米国の非営利組織である MITRE Corporation に関連する非営利組織です。
ATT&CKは、OT環境の攻撃対象領域と脅威モデルをカスタマイズしたMITRE ATT&CK手法を提供しています。そして、OTに対する過去の攻撃例と、ATT&CK for Enterprise、ATT&CK for ICS 、およびその他関連するATT&CKプラットフォームに含まれる敵対的手法を分析し、IT/OTハイブリッドアーキテクチャ内で敵対者が使用しているレファレンスアーキテクチャと脅威を特定しました。これらの情報リソースは、OT企業が、現実世界の敵対者の行動に対処するセキュリティ制御を評価するために利活用できます。
MITREのアナリスト達は、潜在的な敵対的手法の分析と文書化を促進するために、この研究プロジェクトでは、複数のドメインを含むIT/OTハイブリッド環境への脅威をモデル化する手法を開発し、収集された脅威を分析するためのカスタマイズ可能で繰り返し可能なフレームワークを提供しています。
この手法は、IT/OTハイブリッド環境内の全体的な運用に影響を及ぼす可能性のある敵対者の行動を包括的に把握することで、同センターの“ATT&CK による IaaS の防御”アプローチを拡張できます。
(注4)ATT&CK による IaaS の防御は、IaaSの固有の攻撃対象領域と脅威モデルに合わせてカスタマイズされたMITRE ATT&CK® テクニックのコレクションを作成するプロジェクトです。このコレクションは、ATT&CKで説明されている既知の敵対者の行動に基づいて、IaaS を使用する企業のセキュリティ制御を計画および評価するために使用できます。プロジェクトの方法論も文書化されているため、組織は独自のニーズと状況に合わせてカスタマイズされた独自のコレクションを作成できます。
ATT&CKによるOTの防御について、“この手法を適用して、IT/OTハイブリッド環境の攻撃対象領域にある資産を特定し、これらの資産から、レファレンスアーキテクチャを考案しました” そして、“OSのリスクや影響を及ぼす産業用制御システム (ICS) プロセスなどの関連要因に基づいて、これらがもたらす脅威を評価するための選択基準を確立しました“ とMITREのアナリストは語っています。最初のステップは、IT/OTセキュリティ境界線を特定し、そのレファレンスアーキテクチャを構成するテクノロジーを理解することです。次に、敵対的リスクの包括的なチャートを作成します。リスト化された資産のサイバー脅威インテリジェンス(CTI)を含める必要があります。また、シナリオと資産に適用される敵対的リスクを特定し、無関係なソースを除外します。その後、IT/OTハイブリッド環境で各資産の敵対的手法をレビューおよび評価して、その手法をカスタム脅威情報にまとめ、企業全体に共有する必要があります。
脅威敵対者の攻撃対象領域を特定するために、MITREは IT/OTハイブリッド環境内のテクノロジーを可視化するレファレンスアーキテクチャを開発しました。そのアーキテクチャによる資産を定義する際には、サイバーリスクを包括的にカバーするために、ITシステムとOTシステムの境界線を評価し、関連する攻撃ベクトルを特定し、インフラの運用を妨害または影響を与える可能性のある資産を標的にする際の敵対者の目的を理解するなど、いくつかの要素を考慮しました。
レファレンスアーキテクチャで表示されたすべての資産は、ATT&CK for EnterpriseのプラットフォームまたはATT&CK for ICSで資産をマッピングします。
このレファレンスアーキテクチャは、さまざまなインフラ運用ゾーンの境界で、IT資産とOT資産間の攻撃ベクトルを評価するのに役立ちます。
ATT&CKによるOT防御の脅威情報収集は、OT環境の攻撃対象領域と脅威モデルによるATT&CKテクニックによるものです。このマルチドメイン収集を識別するために、ATT&CK for Enterprise、ATT&CK for ICS、およびクラウドやコンテナーなどのその他の関連する ATT&CKに含まれる敵対的な戦術、テクニック、および手順 (TTP) を分析します。この脅威情報収集は、IT/OTハイブリッドアーキテクチャ内で敵対的なテクニックに対するセキュリティ制御のために評価、計画、および採用するように設計されています。
“我々はこの防衛センターのATT&CKワークベンチを利用して、ATT&CK v15に記録された現実世界の敵対者の行為の集大成に基づいて脅威のカスタム収集基盤を構築しました“とMITREのアナリストたちは明らかにしました。”ATT&CK ワークベンチは、レファレンスアーキテクチャで概説されている20のアーキテクチャ資産に関連する敵対的リスクを特定するために必要な柔軟性とカスタマイズを提供します。このプロセスにより、251のテクニックと441 のサブテクニックで構成される包括的な脅威コレクションが作成されました。“
さらに、ATT&CKワークベンチ によって脅威の分析が効率化され、各資産のさまざまなリスクの伝達が容易になったと付け加えています。さらに、STIXバンドルをエクスポートして共有できるカスタム脅威コレクションも作成しました。
(注) ATT&CK ワークベンチは、企業が独自のローカル バージョンのATT&CKを管理および拡張し、MITREのナレッジベースと同期させることができる、使いやすいオープンソースツールです。
特定のニーズに合わせて調査内容をカスタマイズしたい企業は、最新バージョンのATT&CK ワークベンチを使用して一連のテクニックを参照できます。これらのリソースは、実際の脅威を活用して敵対的な行動が環境全体の資産にどのような影響を与えるかを理解するための脅威インテリジェンスマッピングや、戦略的な敵対的シミュレーションとシナリオを実行して攻撃対象領域全体の実際のリスクを包括的に評価するレッド チーム演習と侵入テストなど、意図したユースケースに合わせてアプローチを拡張したい企業にテンプレートを提供します。
さらに、効果的な脅威ハンティング、悪意のある攻撃対象への対応、IT/OTエコシステム内の脅威の根絶のための機能を開発します。また、敵対的リスクを評価し、それを企業の既存のセキュリティテクノロジーと比較するサイバーテーブルトップ演習も提供します。
(注)テーブルトップ演習は、企業のサイバー攻撃に対する防御と対応能力をテストする効果的かつ手頃な方法。
先月、MITREは、ICS のエミュレーションを強化するために、ATT&CK 評価に関するcall for intelligenceを発表しました。
おわりに
MITREは、ICS (産業用制御システム) のエミュレーションを強化するために、ATT&CK評価のためのcall for intelligenceを発表しています。企業からのフィードバックによるEnhancement機能により、総合的なエミュレーションアプローチの改善が可能になります。
“悪意があるか過失があるかに関わらず、内部の関係者は資産所有者のインフラ運用に重大な脅威をもたらします”とMITREのATT&CK評価のICSリーダであるOtis Alexanderは語っています。企業インフラ運用に関する広範な知識とリモートアクセスを組み合わせれば、悪意のある内部関係者はステルス攻撃や標的型攻撃(Advanced Persistent Threat:APT)を実行して重大な影響を及ぼす可能性があります”を付け加えています。
最近、国内でもMITREのATT&CKを評価する企業が少しずつですが増えてきています。今後、重要インフラのフレームワークとMITRE ATT&CKの利活用が普及することを望みます(新美)
