ブログ(製品・サービス関連)

MITRE社によるATT&CK評価がFireEyeエンドポイント・セキュリティを最も効果的なEDRソリューションであると実証

ファイア・アイは、2019年2月13日に発表されたMITRE社の「2018年 ATT&CKTM評価」において、FireEye®エンドポイント・セキュリティが最高の有効性スコアを獲得し、最も多くの攻撃を振る舞い検知で検出し、最も重要なコンテキストを提供したことを発表しました

MITRE社は独立した非営利機関であり、攻撃者の戦術・手法に関する、世界的に利用可能なナレッジベースを開発しました。このATT&CKフレームワークは、特定の脅威モデルや攻撃手法を検証するために、民間企業、政府機関のほか、さまざまなサイバーセキュリティコミュニティによって利用されています。

EDR(Endpoint Detection and Response)ソリューションを対象とした、第1回目のMITRE社のATT&CK(Adversarial Tactics, Techniques and Common Knowledge:攻撃者の戦術、テクニックおよび一般知識)フレームワーク評価において、MITRE社は136種類の個別の手順を使用し、56種類のATT&CK手法をテストしました。今回の評価では、研究者の間で中国国家安全部に属すると考えられている脅威グループ「APT3」を模倣した高度な攻撃が活用されました。

今回行われたのは、EDRベンダーを対象とした初めてのオープンな技術評価です。ファイア・アイは、MITRE社の公開評価に参加できたことを光栄に思っており、その透明な評価の価値を強く信じるとともに、同社の偏りのないテスト方法を高く評価しています。

採点方法

MITRE社の評価では、APT3において使われた手法に対する、各ソリューションの検知と対応能力が詳細に検証されました。一方で、このMITRE社の評価では、対象ソリューションの定量的なスコア結果は公開されていません。

そこでこのブログ記事では、FireEyeエンドポイント・セキュリティ・ソリューションとMITRE社が評価したその他のソリューションの比較状況をご理解いただくため、米フォレスター・リサーチ社のジョシュ・ゼロニス(Josh Zelonis)氏が公開した定量的な評価基準を使用した評価の結果を解説しています。

そしてこの評価において、FireEye エンドポイント・セキュリティ・ソリューションは、評価対象となったすべての主要カテゴリーでクラス最高の結果となりました。

すべての参加ベンダーの中で、ファイア・アイが最高の有効性スコアを獲得

MITRE社は、136種類のテスト手順を使って56種類のATT&CK手法を評価しました。この中には、同一のテスト手順/工程に対し、ベンダーが複数の検知を行うケースもあります(例:テレメトリや一般挙動)。有効性とは、ベンダーの行った検知数を測定したもので、上記の採点方法に基づき、同一の手順/工程に対する複数の検知によって、結果が偏らないようにしています。

ファイア・アイは、今回評価対象となったソリューションの中で最高の有効性スコアを獲得しており、これは、私たちの独自のイノベーション・サイクルが機能していることを証明する結果となっています。世界で最も堅牢な脅威インテリジェンス機能と、現場でお客様と向き合い行ってきた年間20万時間を超える攻撃の調査・対応の経験から得られた洞察の組み合わせが、サイバー攻撃・脅威に対する深い知識の源となっています。そして、このユニークな組み合わせにより、FireEye エンドポイント・セキュリティ機能強化への迅速なイノベーションと開発が実現しているのです。

すべての参加ベンダーの中で、ファイア・アイが最多の振る舞い検知を実現

振る舞い検知とは、悪意のあるアクティビティの性質を識別し、防御者が検知と対応を適切に行う上で十分理解する必要があるコンテキスト情報を提供します。これは、最も信頼性とレジリエンス(回復力)に優れた攻撃アクティビティの検知方法です。

ファイア・アイは、MITRE社の ATT&CK評価に参加したすべてのソリューションの中で、最多の振る舞い検知スコア記録しました。これは、非常に高度な攻撃を検知し、関連性の高いコンテキスト情報、影響のあるテレメトリ情報、重大なアラートを表示する、FireEyeの強力なエンドポイント・セキュリティ機能によるものです。第一線で活躍する世界最高クラスのレスポンダーによって開発されたFireEyeエンドポイント・セキュリティの対応機能は、脅威に対する圧倒的な可視性を実現しています。

テクノロジーだけではセキュリティのあらゆる課題を解決できず、最高のセキュリティ体制とは、テクノロジー、インテリジェンス、専門知識の組み合わせであると、ファイア・アイは考えています。そのため、FireEye Managed Defenseでは、業界最高の検知・対応の専門家に加えて、世界最大のサイバー脅威インテリジェンス能力を誇っており、重大な世界のサイバー攻撃の最前線で得られた、マシン、キャンペーン、攻撃者、被害者の情報を活用しています。

すべての参加ベンダーの中で、ファイア・アイが最高のエンリッチメント検知数を記録

エンリッチメント検知とは、データをキャプチャした後、ルール名、ラベル、タグ、ATT&CKの戦術や手法などの追加情報によって、ユーザーのデータ分析を支援して検知の品質を高めるもので、テストの際にはATT&CKの手法と直接関連付けられます。ファイア・アイは、関連するATT&CK手法によってアラートのエンリッチメントを行っており、最も関連性の高いコンテキスト情報と追加情報を提供することで、アラートの効果的なトリアージ(対応の優先順位を判断)を行い、対応の迅速化を可能にします。ファイア・アイは、136種類のテスト手順の70種類にエンリッチメント検知を行っており、テスト対象ベンダーの中では最多を記録しました。

検知の差別化要因:アラートの全ての検知ロジックを公開し、カスタム版セキュリティ・コンテンツを作成可能な唯一のベンダー

FireEyeエンドポイント・セキュリティは、アラートの検知ロジックを共有・表示するという点で独自性を持った製品です。これにより、アナリストとSOC(セキュリティオペレーションセンター)チームはコンテキスト情報が得られ、アラートの有効性を判断し、検知の根拠を理解できます。以下の評価サンプルは、ファイルレスの攻撃手法に対する当社の検知能力を示しており、検知ロジックを全面的に公開することで、お客様に対して非常に深いコンテキスト情報を提供しています。



(スクリーンショットは編集済み。完全な詳細は製品内で公開)

FireEyeエンドポイント・セキュリティでは、初期設定のコンテンツに加えて、お客様は自身のセキュリティ・コンテンツを作成し、アップロードできます。この機能を理解いただくため、ファイア・アイは、ATT&CKに特化したカスタム版セキュリティ・コンテンツと本番コンテンツを評価時に活用しました。ファイア・アイは、ATT&CK用のセキュリティ・コンテンツを当社のFireEye Marketに公開しています。これらのカスタムルールは、検知能力を向上するために活用するほか、自社独自のルール作成に関心のあるお客様にサンプルとしてご利用いただくことも可能です。

FireEye Managed Defense:強力な援軍として

ファイア・アイは、攻撃者のアクティビティに関する堅牢な検知機能を提供するだけでなく、サイバー攻撃の影響を軽減するためにアクティビティの調査・対応を、FireEye Managed Defenseを通じて行っています。ファイア・アイは今回、MITREの評価によって、この強力な機能の実証にも成功しました。FireEye Managed Defenseは、業界で認められたセキュリティの専門知識、ファイア・アイのテクノロジー、攻撃者に関する類を見ない知識を兼ね備えた、マネージド検知・対応(MDR)サービスであり、脅威を早期に識別し、セキュリティ侵害の影響軽減を支援します。FireEye Managed Defenseの迅速な対応機能は、脅威の影響をいち早く封じ込めて、調査時には詳細な報告と分析を行います。その本来の目的は、セキュリティの課題に真の解決策をもたらし、お客様の既存のセキュリティ・オペレーションを拡張することであり、これによってあらゆる企業に変革をもたらします。今日の高度な攻撃から効果的な防御を実現するため、企業に必要なのは先を見据えた高度な脅威検知・対応サービスです。



Day 1レポート(ATT&CK評価の工程1~10)



Day 2レポート(ATT&CK評価の工程11~20)

詳細については、レポート全文をお読みください。

MITRE ATT&CK評価の経緯

ファイア・アイは2018年8月16日、締め切り設定のないコーホート(分析対象のグループ)として、MITRE社の評価テストへの参加を確定しました。ファイア・アイの評価は2018年10月29日に始まり、2018年11月1日に終了しました。これは、最初のコーホートの結果が公表された2018年11月30日からは、かなり前のタイミングです。そのためファイア・アイは、当社の参加前の競合ベンダーの結果については、全く把握していませんでした。

ファイア・アイは、MITRE社の協調的でオープンな製品評価プロセスと、攻撃者のアクションに関する情報提供のサポートは大変重要な取り組みであると考えています。そして、この取り組みがセキュリティの有効性に大きな影響を及ぼすという点で、これらの行動に強く賛同するということを強調しておきたいと思います。今回の検証におけるファイア・アイの卓越した結果は、お客様を攻撃から防御するために必要なことをファイア・アイが深く理解し、セキュリティ侵害に対応する世界トップクラスの専門知識、最高の脅威インテリジェンス、クラス最高の製品機能を誇る当社の歴史を証明しています。

FireEye Endpoint Security:干し草の中から針を探す

FireEyeエンドポイント・セキュリティは、ファイア・アイのテクノロジー、専門知識、インテリジェンスを組み合わせることで、今日のサイバー攻撃からの防御を実現する、最も堅牢なエンドポイント・セキュリティ・ソリューションです。FireEyeエンドポイント・セキュリティでは次の4つのエンジンを使用することで、脅威の阻止・検知・対応を行いつつ、広範な調査機能と脅威ハンティング機能を実現します。

  • シグネチャベースのエンドポイント保護プラットフォーム(EPP)エンジン:一般的なマルウェアを阻止
  • MalwareGuardが機械学習:シグネチャがまだ存在しない脅威を見つけるため、サイバー攻撃の最前線で培われた知識に基づく機会学習を活用
  • Exploit Guard:振る舞い検知の分析エンジン。フィッシング攻撃などの一般的な攻撃によるエクスプロイトや脅威を阻止
  • リアルタイム・イベント・エンジン:エンドポイントでの検知と対応(EDR)機能を実現。最新かつ最前線のインテリジェンスを活用し、高度な脅威を識別

このような深い戦略に基づく防御によって、攻撃の阻止と検知時間の短縮の両方の観点から企業を守ります。ネイティブなフォレンジック機能と、EDRデータやOSの痕跡をエンタープライズ規模で迅速に探し出す機能によって、アナリストや調査担当者は、不正アクセスを効率的に検索し、攻撃の範囲を特定し、インシデントを解決できます。

その他にもオーストリアのAV-Comparatives社による評価や英Virus Bulletin社の認定(英語)などを受けているFireEyeエンドポイント・セキュリティは、市場におけるリーダー的地位と、独立した第三者テストへの会社のコミットメントを表しています。

MITRE社によるFireEyeエンドポイント・セキュリティのテスト結果(英語)についての詳細は、こちらをご覧ください。FireEye Managed Defenseの詳細は、こちらをご覧ください。