備忘メモ #08 Defending OT with ATT&CKの使い方を確認する

サイバーセキュリティ対策を検討する際、最近はMITRE ATT&CKフレームワークを活用するケースが増えていますが、制御システム（OT）の対策にATT&CKを活用する新しいプラットフォームが開発されたので、その使い方を確認しました。

Defending OT with ATT&CKとは

Defending Operational Technology (OT) with ATT&CKとは、MITRE Engenuity（MITRE社が運営する非営利団体）が2024年8月に発表した、実在するサイバー攻撃に対するOT環境向けのセキュリティ管理策を提供するプラットフォームです。

Defending Operational Technology (OT) with ATT&CK — Defending OT with ATT&CK v1.0.0 documentation

このプラットフォームで定義しているリファレンスアーキテクチャでは、狭義のOT環境に加えて、ネットワークで接続されるIT環境も含まれます。IT/OTの両方を含むハイブリッド型のアーキテクチャを用いることで、次の３つの対策技術（Technique）を提供することを目指しています。

• OT環境を管理するために使用するエンタープライズシステム（IT）に関する対策技術

• 制御システム（ICS）に関する対策技術

• IT資産と同様のOS・プロトコル・アプリケーションを使用するOT資産に関する対策技術

パデューモデルを採用したリファレンスアーキテクチャ

Defending OT with ATT&CKのリファレンスアーキテクチャでは、パデューモデル（Purdue Model）を採用して、次の6つのゾーンに分かれたシステム構成を前提としています（3つ目の「運用と制御」はLevel 3.5→Level 3の間違いのような気がしますが）。

• Level 4/5: エンタープライズ（Enterprise）

• Level 3.5: OT環境のDMZ（OT DMZ）

• Level 3.5: 運用と制御（Operation and Control）

• Level 2: 制御（Control）

• Level 1: プロセス（Process）

• Level 0: 制御対象装置（Equipment Under Control）

リファレンスアーキテクチャの作成に参考とした文書には、次の2つが挙げられていました。どちらもOTセキュリティではメジャーな規格なので、昨今のOTセキュリティの考え方と、大きな違いはなさそうです。

• ISA/IEC 62443 series

• NIST SP 800-82 Rev.3

Reference Architecture — Defending OT with ATT&CK v1.0.0 documentation

リファレンスアーキテクチャの中では、攻撃を受けるリスクがある資産として、次の21個の機器を定めています。

1. Application [O365]

2. Application Server [ICS & Enterprise]

3. Cloud - IaaS [AWS/Azure/GCP]

4. Cloud [SaaS/M365/Google Workspace]

5. Container [Enterprise]

6. Control Server [ICS & Enterprise]

7. Data Gateway [ICS & Enterprise]

8. Data Historian [ICS & Enterprise]

9. Engineering Workstation (EWS) [ICS & Enterprise]

10. Field I/O (Sensors and Actuators) [ICS]

11. Firewall [ICS & Network]

12. Human-Machine Interface (HMI) [ICS & Enterprise]

13. Identity and Access Management [Azure AD/Entra ID]

14. Intelligent Electronic Device (IED) [ICS]

15. Jump Host [ICS & Enterprise]

16. Programmable Logic Controller (PLC) [ICS]

17. Remote Terminal Unit (RTU) [ICS & Enterprise]

18. Routers & Switches [ICS & Network]

19. Safety Controllers [ICS]

20. Servers and Endpoints [OS: Linux, Windows]

21. Virtual Private Network (VPN) Server [ICS & Enterprise]

脅威コレクションはEnterpriseとICSの双方から

Defending OT with ATT&CKにおける脅威コレクションでは、リファレンスアーキテクチャで定めた21の資産（機器）に対応づけて、ATT&CK for Enterpriseから692個のTechniques、ATT&CK for ICSから251個のTechniques/441個のSub-Techniquesを取り入れています。
また、この脅威コレクションを定めるにあたって、次の5つの手順で検討を行っていることも明記されていました。

• Step 1. Identify the attack surface

• Step 2. Compile source information

• Step 3. Define selection criteria

• Step 4. Review applicable adversarial techniques

• Step 5. Build custom threat collection

元々、ATT&CK for ICSは制御システム向けに作られたものですが、IT/OTハイブリッドのモデルを想定した場合、ATT&CK for Enterprise の対策技術（Techniques）も参照する必要があった、ということだと理解しています。

様々な利用例

Defending OT with ATT&CKの利用例としては、次の4つが示されていました。

• 脅威インテリジェンスマッピング

• レッドチームとペネトレーションテスト

• セキュリティアーキテクチャと運用

• サイバー机上演習

Use Cases — Defending OT with ATT&CK v1.0.0 documentation

この4つのうち、サイバー机上演習（Cyber Tabletop Exercises）については、Defending OT with ATT&CKを使った実施方法の解説も示されています。

Cyber Tabletop Exercise — Defending OT with ATT&CK v1.0.0 documentation