ブログ(トレンド&インサイト)

ゲシュタルトの可視化を追求:MITRE ATT&CK® for Enterprise と ATT&CK for ICSを統合して、攻撃者の行動を伝達

産業および重要インフラストラクチャを抱える組織が直面する複雑化する脅威を理解することは、単純な作業ではありません。高度なスキルを持つ脅威アクターが、運用技術 (OT) や産業用制御システム (ICS) の固有のニュアンスを学び続ける中で、攻撃者が目的を達成するために多様な方法を模索しているのを目にすることが多くなっています。防御側は、これらのインシデントから得られる情報を体系的に分析し、結果を比較する方法を開発し、共通の用語で情報を伝達するという課題に直面しています。この課題に対処するため、MITREは2020年1月、ICSを標的とする脅威アクターが使用する戦術、技術、手順(TTP)を分類した「ATT&CK for ICS」のナレッジベースをリリースしました。

MITRE の ATT&CK for ICS ナレッジベースは、ICS を標的とした攻撃に関与する脅威アクターの独自の TTPを初めて描写することに成功しました。このナレッジベースは、Enterprise のナレッジベースから出発して、ATT&CK for Enterprise の範囲外の ICS 攻撃の部分を説明しています。しかし、ナレッジベースがより成熟し、広く採用されるようになるにつれ、まだ対処すべき課題があります。脅威アクターは OT ネットワーク上を移動する際に IT や ICS の理論的な境界を重視しないため、防御側は ATT&CK for ICS と ATT&CK for Enterprise は補完的なものであることを覚えておく必要があります。MITREの「ATT&CK for ICS: Design & Philosophy paper」で説明されているように、OTインシデント全体の脅威アクターの行動を追跡するためには、両方のナレッジベースを理解することが必要です。

Mandiant Threat Intelligence と MITRE が共同で執筆した本ブログ記事では、OT Targeted Attack Lifecycle 全体のイベントの複雑さを正確に表現するハイブリッド ATT&CK マトリクス可視化の統合を評価しています。我々の提案では、既存の ATT&CK ナレッジベースからコンポーネントを取得し、それらを単一のマトリクス可視化に統合しています。これは、ATT&CK for ICS の STIX 表現を作成し、ATT&CK for ICS を ATT&CK Navigator ツールに組み込み、ATT&CK for Enterprise で ICS 攻撃の IT 部分を表現することを目的とした MITRE の現在の作業を考慮に入れています。その結果、本提案ではデータの精度だけでなく、ユーザーが利用できるツールやデータフォーマットにも焦点を当てています。


図 1: ハイブリッド ATT&CK マトリクスの可視化-単純化するためにサブテクニックは表示されていません (XLSX ファイルの ZIP ダウンロード)

EnterpriseとICSのTTPを共同で分析、アクターの行動を全面的に描き出す

長年にわたり、Mandiant は ATT&CK for Enterprise のナレッジベースを活用して、さまざまなサイバーセキュリティインシデントにおける攻撃者の TTP をマッピング、分類、可視化してきました。ATT&CK for ICS が最初にリリースされたとき、Mandiant は OT インシデントの脅威インテリジェンスデータを新しいナレッジベースにマッピングし、ICS 資産に対する攻撃者 TTP の詳細情報を分類し始めました。Mandiantは、ICS 機器に関連するテクニックを独自に選択したナレッジベースが非常に有用であることに気付きましたが、私たちが観察したほとんどのインシデントにおいて、OT 環境におけるアクターの行動の全範囲を理解し、伝達するために、エンタープライズと ICS の両方の TTP をグループ化して可視化する標準的な方法を開発することが、どれほど有用であるかに気付きました。私たちは、ATT&CK for Enterprise と ATT&CK for ICS 技術の共同分析の利点を議論するために MITRE に連絡を取り、彼らがこれらのナレッジベースの進化に取り組み続ける中で、このタスクを最適に統合する方法についていくつかのアイデアを交換しました。

中間システムの活動を説明するためには、EnterpriseとICSのTTPが必要である

ATT&CK for ICSが直面している主な課題の1つは、OT ネットワークに存在する多様な資産の中から活動を分類することです。ナレッジベースには、プログラマブル論理コントローラ(PLC)やその他の組み込みシステムなど、ICS に対する脅威を効果的に説明する TTP が含まれていますが、設計上、企業の IT 資産と同様のオペレーティング システム、プロトコル、およびアプリケーション上で動作する OT 資産に関連する技術は含まれていません。これらの OT システムは、Mandiant が中間システムと定義していますが、脅威アクターが ICS にアクセスするための踏み台として使用されることが多いです。これらのワークステーションやサーバーは、通常、ヒューマンマシンインターフェース(HMI)ソフトウェアの実行や、PLC とのデータのプログラミングや交換など、ICS の機能に使用されます。

システムレベルでは、ATT&CK for ICS の範囲には、これらの中間的な Windows や Linux ベースのシステム上で動作する ICS ソフトウェアと関連するシステムリソースの大部分が含まれていますが、基本的な OS プラットフォームは含まれていません(図 2)。このように、ATT&CK for Enterprise のテクニックの大部分は、このようにして、範囲を狭められていますが、ICS ソフトウェアに付与されたシステムリソースは、両ナレッジベースの範囲内にあるため、ATT&CK for ICS と ATT&CK for Enterprise の間には、技術的に重複する部分があります。しかし、このように ICS ソフトウェアと基盤となる OS を人為的に分離することは、敵対者が侵害された資産を包括的に管理することと矛盾する可能性があります。


図 2:ATT&CK for Enterprise と ATT&CK for ICS のナレッジベースの相違点と重複点

MITRE の ATT&CK for ICS は、これらの中間システムにおける敵対者の行動を分類するために ATT&CK for Enterprise に依存するように設計されているため、両方のナレッジデータベースを同時に使用してインシデントを分析し、伝達するための標準的なメカニズムを開発する機会があります。2つのナレッジデータベースの関係が未定義であるため、ATT&CK のユーザが一貫してインシデントを理解し、解釈することは困難です。さらに、ICS の所有者やオペレーターは、無意識のうちに ATT&CK for Enterprise を破棄し、ATT&CK for ICS を使用することで、OT 資産の大部分に適用される貴重な情報を見失う危険性があります。

EnterpriseとICSのTTPは将来の攻撃シナリオを予測するのに役立つ

MITRE が ATT&CK for ICS: Design & Philosophy の中で述べているように、ATT&CK for ICSのテクニックの選択は、主に ICS に対する攻撃活動の文書化された証拠と ICS 資産の想定される能力に基づいています。過去の観察と現在の能力に基づくテクニックの分析は、脅威を振り返って説明するための堅実な前置きを提示していますが、Mandiant は ATT&CK のナレッジとツールが、OT セキュリティ組織が斬新で将来のシナリオを予見できるようにサポートする機会を見出しています。これは、資産の能力が拡大している OT セキュリティの進化する分野では特に重要であり、ターゲットに応じて異なる攻撃経路をたどるような事象が記録されているのは、ごく少数にすぎません。

MITRE の意図は、ATT&CK のナレッジベースを、スコープ内の資産に対して観測されたテクニックに限定することにあります。しかし、セキュリティベンダーとしてのMandiantの視点からは、Enterprise や ICS の観測事例と実現可能な事例を含めた網羅的な手法の分析は、将来のシナリオを予見し、堅牢で豊富なデータに基づいて組織を保護するのに役立ちます。また、仮想化やクラウドサービスなどの新しいIT技術がOT組織で採用され、オリジナル機器メーカーの製品に実装されるようになると、将来の脅威を説明するためのナレッジベースに柔軟性が求められるようになります。ATT&CK for ICS を将来の ICS インシデントの新しさに適応させることで、業界全体のナレッジベースの長期的な実行性を高めることができます。これは、ATT&CK for Enterprise と ATT&CK for ICS を統合することで実現できます。

OTセキュリティインシデントのためのハイブリッドATT&CKマトリクス可視化

これらの観察結果に対処するために、Mandiant と MITRE は、ATT&CK for Enterprise と ATT&CK for ICSのナレッジベースを単一のマトリクスとして可視化する方法を模索してきました。混合可視化は、OT 標的攻撃ライフサイクルの全段階に存在する戦術や技術の全範囲を追跡・分析する方法を提供します。もう一つの利点は、ATT&CK マトリクスのハイブリッドな可視化により、防衛側は、現在観察されているものを超えた戦術や技術を採用した将来の OT インシデントを描くことができるということです。図 3 は、ATT&CK for Enterprise と ATT&CK for ICSの両方の知識ベースからの TTP を 1 つのマトリクスに組み込んだハイブリッド可視化についての我々の認識を示しています。(マトリクスに示された戦術は時系列に並べられておらず、インシデントの一時性を反映していないことに注意が必要です)


図 3: ハイブリッド ATT&CK マトリクスの可視化の提案とハイライトされた手法 原点のみのオーバーラップしたサブ手法を単純化のために表示しています。

このハイブリッド ATT&CK マトリクスの可視化は、ATT&CK for Enterprise マトリクスの中に配置された ATT&CK for ICS の斬新な戦術とテクニックをグレーで示しています。青色では、Enterprise と ICS の両方のマトリクスに見られる重複する技術を示しています。この可視化は、3 つの懸念事項に対応しています。

  • これは、攻撃のライフサイクル全体を通して、ICS とEnterpriseの両方の戦術とテクニックを含むインシデントの全体像を提示する。
  • 例えば、防衛回避技術を 1 つの戦術にまとめることで、2 つのナレッジベース間の戦術とテクニックの重複を排除する。
  • これは、ATT&CK for Enterprise と ATT&CK for ICS の両方のナレッジベースの影響戦術カテゴリに含まれるテクニックの抽象度を区別するものである。

Enterpriseインパクトと ICS インパクトの戦術を分離することは、両方のナレッジベースの異なる抽象化レベルを伝える必要性に応えるものです。Enterpriseインパクトが、IT プラットフォーム(Windows、Linux など)への攻撃を通じて、攻撃者がシステムや組織の完全性や可用性にどのような影響を与えるかに焦点を当てているのに対し、ICS インパクトは、攻撃者が ICS の運用にどのような影響を与えるかに焦点を当てています。ハイブリッド ATT&CK マトリクスの可視化の範囲からインシデントを分析すると、攻撃者がどのようにEnterprise インパクトを介して ICS インパクトを直接引き起こすか、例えば、インパクトのために暗号化されたデータ (T1486) がどのように表示喪失 (T0829) を引き起こすかを観察することができます。

脅威アクターはOTネットワークを横切って移動する際にITとICSの間の理論的な境界を重視しないため、ハイブリッド可視化は、OT標的型攻撃ライフサイクルの間に観察した全体像を可視化して伝えるためのコネクターとしての中間システムの概念に基づいています。これにより、脅威アクターの行動に関するより構造化された完全なデータが得られます。この構造に従ったEnterpriseと ICS の TTP の共同分析は、MITRE がサイバー脅威インテリジェンスの強化と定義しているユースケースをサポートするために特に有用です。また、この可視化は、侵入中のどの時点でも、アクターが積極的または不本意に ICS 資産に影響を与える様々なタイプのシナリオも考慮しています。その他の利点は、以下のような ATT&CK の他のユースケースにも波及する可能性があります。

  • 敵対者のエミュレーション:IT や OT をターゲットにした長期的なキャンペーンに関与する洗練されたアクターが辿る道筋を概説する。
  • レッド・チーミング:組織のセキュリティをテストするために、包括的な攻撃シナリオにアクセスすることで、これまでに起こったことだけでなく、将来起こる可能性のあることに基づいてテストすることができる。
  • 行動分析の開発:OT中間システムとICSの間にある危険な行動パターンを特定する。
  • 防御力ギャップの評価:脅威アクターがさまざまなタイプのシステムと相互作用するために活用できる防御力と可視性の正確な欠如を特定する。

OT 環境のためのハイブリッド ATT&CK マトリクス可視化の改良

ハイブリッド ATT&CK マトリクスの可視化は、両方のナレッジベースのコンポーネントを活用してインシデントを全体的に分析するためのシンプルなソリューションです。このような可視化の主な利点は、OT 標的攻撃ライフサイクル全体にわたってアクターが使用するであろう戦術やテクニックの全範囲を描くことができること、また、これまで考えてもいなかった将来のインシデントも考慮していることです。しかし、我々の懸念に対処するための他の選択肢を考えることにも価値があります。例えば、ATT&CK for ICS を拡張して OT 環境で起こりうるすべてのことを反映させるなどです。

Mandiant と MITRE が評価した主な選択肢は、ATT&CK for Enterprise のすべてのテクニックのうち、ICS と相互作用する中間システムに影響を与えうるものを特定し、両方のナレッジベース間の重複を処理するための代替案を定義することでした。特に、OT ネットワークに存在する可能性の高い資産(OS やソフトウェア・アプリケーションなど)の種類に基づいて選択する可能性を分析しました。

このアイデアは魅力的に聞こえますが、我々の初期分析では、OT 中間システムに適用される ATT&CK for Enterprise のテクニックをショートリスト化することは可能かもしれませんが、限られた利益しか得られないことが示唆されています。ATT&CK for Enterprise のサイトでは、184 の現在のテクニックをいくつかの異なるプラットフォームに分けています。表 1 にこれらのプラットフォームとその分布を示します。

Platform

Techniques

Percentage of Enterprise Techniques

Windows

176

96%

macOS

139

75%

Linux

137

74%

Cloud

41

22%

表1:資産の種類別に分けたエンタープライズATT&CKのナレッジベース

  • エンタープライズ・ナレッジベースに含まれる技術の96%近くがWindowsデバイスに適用され、半分近くがLinuxに適用されている。中間システムのほとんどがこの2つのOSをベースにしていることを考えると、OTに適用可能なテクニックの削減は非常に低いと言える。
  • また、macOSをベースにしたデバイスはOT環境では稀であるが、これらのデバイスに影響を与えるための技術の多くは、WindowsやLinuxで観測されたテクニックと一致していることを強調している。また、少なくとも一部の資産所有者がmacOSベースの製品を使用している可能性も否定できない。
  • クラウド製品も産業環境では珍しいものであるが、製造実行システム(MES)やビル管理システム(BMS)のアプリケーションバックエンド、その他のデータストレージシステムなどのビジネスアプリケーションでも見かける可能性がある。最近では、マイクロソフトやアマゾンなどの大手ベンダーが、エネルギーや公益事業などの組織向けにクラウド製品の提供を開始した。また、本番環境では重要ではないが、少なくとも数台のワークステーションには存在していると思われるMicrosoft Office 365スイートもその一例である。そのため、今後のOTへの攻撃のターゲットとして、クラウド基盤を完全に切り捨てることはできない。

OTセキュリティに全体的にアプローチするためのハイブリッド可視化の裏付け

ハイブリッド ATT&CK マトリクスの可視化は、OT セキュリティインシデントを分析・理解するために中間システムを考慮する必要性に対処することができます。これは、ATT&CK for Enterprise や ATT&CK for ICS の構造を大幅に変更して車輪を再発明しようとするものではありませんが、OT の標的型攻撃ライフサイクルにおける現在および将来の脅威アクターの行動を完全に反映させるために、戦術とテクニックの両方のセットを可視化する方法を提案しています。ハイブリッド ATT&CK マトリクスの可視化は、最も洗練された OT 攻撃シナリオのいくつかと、そうでなければ観察されないようなかなり単純な脅威活動を反映する能力を持っています。

ATT&CK for ICSが成熟し続け、業界で広く採用されるようになるにつれ、Mandiant は、この共同分析が MITRE をサポートし、我々の共通の目標である OT ネットワークの防御をサポートするために ATT&CK のナレッジベースを構築し続けてくれることを期待しています。攻撃者は企業や ICS 資産の間の理論的な境界を重視しないため、攻撃者の行動を理解するには、包括的で全体的なアプローチが必要であると確信しています。

ハイブリッドなATT&CKマトリクスの可視化.xlsxをダウンロードできます。

オーティス・アレキサンダーは、MITRE Corporation のサイバーセキュリティ主任エンジニアです。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:September 29, 2020 「In Pursuit of a Gestalt Visualization: Merging MITRE ATT&CK® for Enterprise and ICS to Communicate Adversary Behaviors