<ATT&CK™全三回連載記事 / 第二回>マルウェア研究者と脅威アナリスト:MITRE ATT&CK™ナレッジベースに対する2つの視点
ESET Corporate Blog 4 July 2019
ESETのマルウェア研究チームとマルウェア&脅威分析チームのメンバーが集まり、「ATT&CK効果」が自分たちの業務に与えた影響について話し合いました。本記事では、ESETにおけるコラボレーション、継続的な学習、およびイノベーションにATT&CKがどれだけ役立っているのかを簡単に説明します。
サイバーセキュリティ業界の中には、MITER ATT&CKナレッジベース(KB)を取り巻く活動、コミュニケーション、さらにはメディアの扱いが大げさすぎると感じている人もいますが、使いこなしている人もいます。ATT&CKナレッジベースが存在していること、共通の分類法が確立していること、そして攻撃手法を明確に定義したポートフォリオが拡充を続けていることが、業界横断的なコラボレーション、および脅威アナリスト、研究者、その他専門家の間でのコラボレーションを向上させる基盤となっています。そうしたコラボレーションで得られた結果は、複雑なEDR(Endpoint Detection and Response)製品の運用に役立てられています。
マルウェア研究者
シニアリサーチャーのMarc-Étienne Léveilléは、ESETの入社前にMacおよびiOSのソフトウェアを開発していましたが、当時からコンピュータセキュリティに情熱を傾けており、セキュリティ業界でのキャリアを目指していました。Léveilléは当時を振り返り、次のように述べています。「数多くの技術的知識を身につけてはいましたが、定評のある研究者が使っている専門用語と私が使っている用語は違うのではないかと不安でした。また、インターネットのブログや記事で使用されている用語が、入社を希望している企業で実際に使用されているものなのかどうか、確信が持てませんでした。」
こうした知識ギャップこそ、共通の分類法を通じてATT&CK KBが埋めようとしているものです。MITERとその共同研究者による説明は非常に正確であり、業界の専門家からも一目置かれていることから、研究/分析チームの新規加入メンバーや、技術的知識に乏しい人材であっても、自信を持って攻撃手法について語ることができるなど、大いに役立っています。
さらに、分類の問題が解決されたことで、同一組織内のチーム(インシデント対応、研究者、製品R&D(研究開発)、SOC(セキュリティオペレーションセンター)のアナリスト、その他ITセキュリティ専門家など)の間でのコラボレーションにさまざまな効果がもたらされています。
そうしたメリットに加えて、「私たちマルウェア研究者が提供するアウトプットの一部を、他の研究者や自動化されたシステムでさえも理解できる構造にしてくれています」と、Léveilléは述べています。現在では、WeLiveSecurityに掲載されているESETの調査報告において、「ATT&CK Techniques(ATT&CKの攻撃手法)」はファイルハッシュ、ドメイン名、IPアドレス、YARAシグニチャなど、ドキュメントのIoC(セキュリティ侵害の痕跡情報)で使用されています。この効果は、ESET ResearchのGitHubリポジトリに保存されている平文の解析可能なファイルにまで及んでいます。その結果、より多くの人がこれらの研究の成果の一部を簡単に利用できるようになります。
脅威アナリスト
マルウェア&脅威担当シニアアナリストのMiroslav Babisは、2016年末にATT&CKの作業を開始しました。「私は、EDRソリューションであるESET Enterprise Inspector(EEI)用にルールセットを作成するチームの一員でした。チームはまず、社内のソースと知識、主にHIPS(ホストベースの侵入防止システム)ルールとヒューリスティックルールを処理することから始め、続いて社外のオープンソースデータを使用してこれを拡張していきました。この時ATT&CKの存在を知り、フレームワークと呼ばれるKBを使用し始めました。なぜなら、ATT&CK KBは他の多くのリソースと異なり、攻撃者がネットワークで実行できる操作とその方法についてコンテキスト情報を提供していたからです」と、Babisは述べています。
BabisがATT&CKの利用を開始したのは2016年です。「現在のように大々的に取り上げられたり、サイバーセキュリティ業界で注目を浴びたりし始める2年ほど前のことです。当時業界内で高まりつつあった知識共有の動きや、独自の知識を厳重に保護するという考え方が「IOC共有」という協調的文化へと変化していったことと関係していたと思います。これが良いことなのか悪いことなのかは、また別の複雑な議題です」と、Babisは述べています。
Babisはその後、ATT&CKへの寄稿の技術的レビューも担当するようになり、増え続けるESET Enterprise Inspectorのルールセットの更新についても継続的に作業しています。ルールセットの更新に関しては、「ATT&CKによる攻撃手法および実際の使用例の包括的な説明」に価値を見出しています。
「私は、ATT&CKに対応するように、EEIが検出すべき痕跡の「可視性」マッピングマトリックスのようなものを作成しました。続いて、EEIが能動的に監視および報告しているものをマッピングしました。チームは、両者を比較することによって、EEIが(実際に)認識できるものを決定しました。また、ギャップを埋め、ルールセットを向上させることで改善できる領域を特定することに成功しました。」
MITREのATT&CKフレームワークは進化していますが、Babisは以前と変わらず、ATT&CKフレームワークが自身の判断基準や、EEIのルールの作成と見直しについての考え方に与えている影響を高く評価しています。「脅威分析チームがATT&CKに参加していることで、小さなイノベーションが誕生しています。たとえば、ESETは現在、ATT&CKの攻撃手法をEEIのルールで直接引用しています。」
EEIでこれほど説明が充実しているということは、これからさらに具体的なコンテンツが提供され、作成された各ルールとそのルールによってトリガーされるアラームについて(ATT&CKのおかげで)詳細なコンテキストが提供することになるでしょう。最終的な目標は、お客様がEEIをより効果的かつ効率的に使用できるようにすることです。また、ATT&CKのおかげで、すべての潜在的脅威について「コンテキスト/リスクの定量化」を介して脅威レベルの捉え方が改善されるはずです。
この機能を使用するのが訓練を積んだSOC担当者であっても、すべてのアラームを理解しようとしている人員不足のチームのセキュリティ管理者であっても、より良い結果をもたらすはずです。
自らが作成したルールセットを製品のR&Dチームに直接提供しているBabisは、ATT&CKのメリットについて次のように説明しています。「ルールセットの作成や製品の機能性、さらにはブログや研究論文で解説されている特定の手法と脅威との関連性の説明など、さまざまな活動に従事する人々が効率的なマッピングと文書化を実行できるようになった、というのがATT&CKがもたらしている最大の効果です。」
有用性の高さと残された課題
BabisとLéveilléの話は、ATT&CKがマルウェア研究者と脅威アナリストの両者にメリットをもたらしていることを裏付けています。しかし、課題は残されています。ESETのシニアリサーチャーであるLéveilléは、次のように説明しています。「課題の1つは、分析対象のマルウェアを説明する際に用いることのできる攻撃手法の数が限られているという点です。一方で、一部の攻撃手法は非常に汎用的であり、ほぼすべてのマルウェアがそれに該当するため、提供する情報が冗長な印象を与えてしまう可能性があります。さらには、欠落している攻撃手法もあるため、ATT&CKへのマッピングは不可能です。」「しかし、詰まるところATT&CKは生き物のようなものです。ESETがATT&CKマトリックスのサポートを決定し、MITERのさらなる改善のために貢献しているのは、それが理由です。このコミュニティがATT&CKをどこまで進化させられるのかが楽しみです。」
