MITRE ATT&CKフレームワークを利用して発生し得る攻撃を予測する
皆様こんにちは! この記事ではMITRE ATT&CKフレームワークを利用したサイバー攻撃対策について触れています。
多くのセキュリティチームが、自社のCloud環境で発生しているアラートの検出やIoA/Cの調査対応、パッチの適用等、セキュリティ対策に日々忙殺されているのではと推測しています。
サイバー攻撃の手法は日進月歩で進化していて攻撃者はありとあらゆる手口でCloud環境上の重要な資産を不正に搾取しようと企てています。
サイバー攻撃対策に正解はありませんが、1つの考え方として攻撃者側の視点に立って対策を検討する方法があるかと思います。
MITRE ATT&CKフレームワークは攻撃者が企てるであろう攻撃手法を体系化したフレームワークで、ネーミングはAdversarial Tactics, Techniques & Common Knowledgeの頭文字からきています。
Tacticsは攻撃者が何を(What)しようとしているかを、Techniquesはどのように(How)それを実現しようとするかを表現していて、具体的かつ網羅性が高いフレームワークです。
Initial Access(Tactics) / Phishing(Technique) : Initial Accessは攻撃者がターゲットのCloud環境に侵入を試みる際に1番初めに企てることですね。代表的な手法としてPhishingがあるかと思います。Phishingサイトやメッセージでユーザを誘導して、Cloud環境にアクセスするための必要情報を取得します。
Credential Access(Tactics) / Bruete Force(Technique) : Inirtial Accessに成功した後に攻撃者が考えることは管理者権限の掌握です。代表的な攻撃としてBruete Forceがあるかと思います。無数のID/Passwordの組み合わせでLoginを試して強引に管理者のCredntialを盗むやり口ですね。
Collection(Tactics) / Data from Cloud Storage(Technique) : 管理者権限の掌握に成功すると、多くの攻撃者はCloudストレージ上の機密情報を搾取することを考えると思われます。不必要に大きなアクセス権限が付与されていたり機密情報を暗号化せずに保管したりすることは、Cloudストレージのよくある設定ミスかと思われます。
Orca Securityは、検出した個々のアラートにATT&CKのタグを自動的に付加します。これにより、セキュリティチームは個々のアラートから攻撃者が何を意図して(Tactics)どんなやり口で(Technique)で自社のCloud環境に侵入する可能性があるのかを把握することが可能です。
更に攻撃者の視点に立った攻撃経路を描写して、各々の経路にATT&CKのタグをリンクすることも可能です。セキュリティチームは視覚的に発生しうる攻撃を予測できます。
皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。