ブログ(製品・サービス関連)

MITRE ATT&CK 評価におけるFireEyeエンドポイント・セキュリティ、Mandiant Managed Defense の位置づけ

2019年のMITRE ATT&CK®アセスメントの結果が2020年4月21日に発表されました。エンドポイント対策製品としてのFireEyeエンドポイント・セキュリティと、MDRサービスである Mandiant Managed Defense をもって参加した本評価において、FireEyeは累積検知数および検知テクニック数において最高値を獲得しました。FireEyeは、業界屈指のMDRサービスを通じて、豊富なテレメトリデータや、アラートに対するエンリッチメントを元に脅威を可視化します。本評価は、ロシアに本拠地を置く攻撃グループ、APT29の攻撃のエミュレーションを用いて行われたもので、MITREによる2度目のEDRソリューション評価に当たります。

独立系NPOであるMITREは、攻撃者の攻撃戦略やテクニックに関するナレッジベースを世界に公開しています。ATT&CKフレームワークは官民を問わず、幅広いサイバーセキュリティコミュニティにおいて、特定の脅威モデルや手法を確立する際の基礎として活用されています。

FireEyeは、MITREの公開評価に参加したことを喜ばしく思うと同時に、その透明性の高いアセスメントと、偏向のない評価手法を高く評価します。また、APT29に関するFireEyeのナレッジをブログやレポートによって公開していることを誇りに思います。

APT29: NotSoCozy, TweetBlog HAMMERTOSS.

全参加ベンダーのうち累積検知数において最高値を獲得、APT29への幅広い検知が可能なことを証明

MITREは57のATT&CKテクニックと134のプロシージャを用いて評価を行いました。同一のプロシージャやステップに対し、複数の検知が行われているケースもあります(TelemetryとTechniqueの両方を検知、など)。累積検知はMITREの主要な5つの検知カテゴリ(General, Technique, Tactics, MSSP, Telemetry)の合計検知数を示しています。これには複数のカテゴリへの検知数が含まれます。

FireEyeは参加ベンダーのうち累積検知数において最高値を記録し、私達のイノベーション・サイクルの価値を証明する結果となりました。FireEyeの脅威に対する深い理解は、年間20万時間を超える攻撃検証とインシデントレスポンス活動を通じて得られたインサイトと、確固たる脅威インテリジェンスから得られたものです。こうして得られる脅威に対する理解が、FireEyeエンドポイント・セキュリティ の機能拡張や進化を可能にしているのです。

参加ベンダーの中でユニークかつ累積検知数において最大値を記録したFireEye

Techniqueの検知はMITRE ATT&CKフレームワークに直接マップ可能という点で非常に重要な検知カテゴリです。この検知は、アナリストに対して攻撃が実際にどのように実行されたかに関する情報を提供し、エンリッチメントされたデータとともにAPT29が用いたTTP(Tactics, Techniques and Procedures)の理解を助けます。

FireEyeはユニークおよび累積値の両方の検知数で、参加ベンダーの中で最高値を記録しました。これは、FireEyeエンドポイント・セキュリティ が多くの高度な攻撃を検知し、関連するコンテキスト情報や重要なテレメトリ、注意すべきアラートを提供できるからこそ実現したものです。最前線におけるインシデントレスポンス経験に富むFireEyeが開発したからこそ、FireEyeエンドポイント・セキュリティ は本当に注意しなければならない脅威に対する可視性を提供することが可能なのです。

Product Detection と Telemetry の検知数で最高値を獲得したFireEye

Telemetry はSOCが必要とするEDRの基本機能です。Telemetryに関するアラートおよび相関分析は侵害対応にとって必須です。アラートとともに提供されるエンドポイントのテレメトリデータにより、効果的なアラートトリアージや迅速なレスポンスを可能にするために必要なコンテキストや情報を得ることが可能になります。テレメトリデータは、エンドポイント対策を実現するにあたって、アナリストや侵害担当者にとって必要不可欠な情報なのです。

検知の違い:カスタム設定機能の優位性を証明

FireEyeエンドポイント・セキュリティ にはデフォルト設定されたコンテンツ(ルール)がありますが、お客様が独自のセキュリティ・コンテンツを作成することも可能です。この機能の有効性を示すため、今回の評価はデフォルト設定と、ATT&CK用ルールの両方を用いて行いました。評価に用いたルールは、FireEyeマーケットで一般公開されています。公開ルールをそのまま使うこともできますし、新しくルールを作成する際の参考にすることもできます。

MDRサービス、Mandiant Managed Defenseが強化するエンドポイント対策

FireEyeは技術単体ですべてのセキュリティ課題を解決するのは困難だと考えています。優れたセキュリティ対策には、技術だけでなく、脅威インテリジェンスや専門知識が不可欠です。今回の評価において、Mandiant Managed Defenseの持つ業界屈指の検知および対応能力を示すとともに、世界中のセキュリティ最前線の現場で集められる、機器による検知、攻撃キャンペーン、攻撃グループそしてその被害者に関する世界最大級の脅威インテリジェンスの力を示すことができました。

本評価において、Mandiant Managed Defense はエンドポイント対策を強化することを証明しました。Mandiant Managed Defense は世界トップのセキュリティ専門家チームとFireEyeの技術からなるMDR(Managed Defense and Response)サービスです。本サービスによって、脅威を早期に特定し、侵害がもたらす被害を最小化することができます。Mandiant Managed Defense が提供するラピッド・レスポンスは脅威の範囲を最小限に封じ込め、調査結果の詳細レポートを提供します。セキュリティ課題に対する真の回答を提供すること、そして既存のセキュリティ・オペレーションを広げるためには、変革が求められます。今日の高度な攻撃に効果的に立ち向かうには、組織はプロアクティブかつ高度な脅威検知、対応サービスが必要なのです。

MITRE は、検知タイプとして今回新たにMSSPを追加しています。FireEyeはMandiant Managed Defense による拡張コンテキストによってエンリッチメントされた検知において高い検知数を獲得しています。この結果は、FireEyeのEDRソリューションは、脅威インテリジェンス業界におけるリーダーと、世界中の脅威最前線で活躍するインシデント対応コンサルタントが支えるMDRサービスによって成り立っていることを証明しています。

FireEyeエンドポイント・セキュリティ: 藁の中から針を探し出すには

FireEyeエンドポイント・セキュリティ は、FireEyeの技術、専門家、インテリジェンスの力を組み合わせて今日のサイバー攻撃から組織を守る、強固なエンドポイント対策ソリューションです。FireEyeは4つの検知エンジンを用いて脅威を検知、ブロックすると同時に、脅威に対する検証やハンティング機能を提供します。

  • シグネチャによる検知で一般的なマルウェアをブロック(Endpoint Protection Platform/EPPエンジン)
  • 脅威の最前線から収集された攻撃を学習した機械学習エンジンMalwareGuardが、シグネチャがまだ準備されていない未知脅威を検知
  • ふるまいベースの分析エンジンであるExploit Guardが、フィッシングなどの攻撃をきっかけにしたエクスプロイト攻撃を検知
  • 最前線の脅威インテリジェンスを用いて高度な攻撃を特定するRealtime Event EngineによりEDR機能を提供

この多層防御戦略により、攻撃の防御と攻撃検知時間短縮を実現しています。フォレンジック機能と、EDRデータやOSのアーティファクトに対する高速検索機能は、検証担当者が侵害や被害範囲を特定するのに役立ちます。またFireEyeエンドポイント・セキュリティ は、追加モジュールにより進化を続ける脅威に迅速に対応していきます。追加モジュールには、以下のようなものがあります。

  • Logon Tracker - Windows環境における水平展開に対する検証を実現
  • Process Guard - 認証情報へのアクセスやWindows OSに保存されている鍵情報へのアクセスを防止して認証情報の流出を防止
  • Enrichment - 不正ファイルの特定やインシデントレスポンス検証などの目的でMandiant 脅威インテリジェンス情報をファイルに追加
  • Process Tracker - WindowsやMac、Linuxを用いたエンドポイントのメタデータを収集しエンドポイント・セキュリティ・コンソールに集約

時系列で見るMITRE ATT&CK 評価の流れ

2019年7月にFireEyeはMITRE ATT&CK評価への参加を表明しました。FireEyeの評価は2019年12月12日から同月15日にかけて行われました。

FireEyeは、MITREの協力的かつオープンな評価プロセスと、MITREの攻撃者行動に関する情報提供、そして何よりそれらがもたらすセキュリティの有効性への影響を支持しています。今回の結果は、FireEyeのお客様を守るためにすべきことへの理解、世界レベルでの脅威レスポンスに関わる経験、MDRサービスの提供、最高レベルの脅威インテリジェンス、業界屈指の製品機能の強みを示す形となりました。

評価手順

MITREによる評価は、APT29が用いたテクニックに対する、各ソリューションの検知および対応機能についての詳細なアセスメントです。MITRE評価はスコアリングやベンダーの順位付けを行うものではないということに注意する必要があります。

FireEyeエンドポイント・セキュリティ と Mandiant Managed Defense の結果と他のソリューションの結果をわかりやすく理解するために、FireEyeはMITREが全ベンダーに関して公開しているJSONのデータをそのまま用いて、各カテゴリの累計値を算出しています。数値に対する重み付けやフィルタリング、変更は一切行っていません。グラフが示しているのはさまざまな検知カテゴリの累計値であり、MITREのwebサイトで公開されている全結果で確認することができます。

これらのクライテリアにおいて、FireEyeエンドポイント・セキュリティ と Mandiant Managed Defenseはすべての主なるカテゴリでの評価で最高レベルの位置づけを獲得しています。

AV Comparatives の Approved Business Product 認証Virus Bulletinによる認証など、他の第三者機関による認証も、FireEyeエンドポイント・セキュリティの業界リーダーとしてのポジションを示すと同時に、FireEyeの第三者機関への貢献の証明となっています。NAVWAR人工知能チャレンジで1位を獲得したニュースもまた、FireEyeエンドポイント・セキュリティの有効性を証明しています。

今回の評価の詳細はMITRE ATT&CK 評価のFireEyeエンドポイント・セキュリティの結果のページでご参照いただけます。前回のMITRE ATT&CK評価の結果も公開されています。

Mandiant Security Validation (旧名称:Verodin Security Instrumentation Platform)を用いて、お客様自身の環境がAPT29をはじめとする攻撃者グループに対してどれだけ堅牢であるかを確認することも可能です。

 

本ブログは、米FireEyeが公開した April 23, 2020「Delivering the Detections: MITRE ATT&CK Evaluation Demonstrates FireEye Endpoint Security and Mandiant Managed Defense Detection Leadership」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa