Unfortunately, Mitre Att & CK overcoming issues that many companies cannot use "Mitre ATT & CK"
「MITRE ATT&CK」フレームワークの採用が広がりつつある。とはいえ、幾つかの調査でMITRE ATT&CKの課題が明らかになった。最も重要な課題の一つは、McAfeeとカリフォルニア大学バークレー校のCenter for Long Term Cybersecurityの共同プロジェクトが2020年末に明らかにした。
大半のセキュリティコミュニティーでは、MITRE ATT&CKが「Cyber Kill Chain(サイバーキルチェーン)」(訳注)に取って代わっている。ただしほとんどのセキュリティチームはそのフレームワークの可能性を最大限に引き出していない。多くの企業はこのフレームワークを効果的に利用するのに悪戦苦闘している。
Translation: Lockheed Martin advocated in 2009, applying a military term "Kirchain" (modeled on the structure of the attack) to computer security.
iStock.com/NicoElNinoMost of the issues faced by security teams are related to analysis and correlation.The above project describes this issue as "the main factor of the burning syndrome of SOC (Security Operation Center)."
セキュリティイベントは大量のデータを生み出す。自動化しなければ、タイムリーに対応できないほどの作業負荷がセキュリティチームに降り掛かる。MITRE ATT&CKを採用する企業のほとんどは、関連する自動化を行っていない。クラウドセキュリティサービスによるネットワークイベントへのタグ付けに、91%のチームがこのフレームワークを使っている。だがセキュリティポリシーの適切な変更を自動化しているチームは半数に満たない。
Similar numbers are struggling with interaction between the framework and security products.
ネットワークイベントをセキュリティポリシーの変更に対応付けることの難しさや、クラウド、ネットワーク、エンドポイントの各イベントを相互に関連付けられないことも課題として挙がった。MITRE ATT&CKに含まれる技法の全てを検知できないセキュリティ製品を使っていることも問題になる。
Many teams implement basic security strategies, such as automatic patch management and effective boundary security.However, many teams are struggling with advanced security measures, such as vulnerable scanning and intrusion detection.
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)が報告書を公開(2021年6月)した。McAfeeとカリフォルニア大学バークレー校の報告書を引用し、MITRE ATT&CKの効果的な利用に苦戦している企業やセキュリティチームにベストプラクティスを示している。
McAfeeとカリフォルニア大学バークレー校の報告書と同様、CISAの報告書でもMITRE ATT&CKが主要企業に採用されていることが明らかにされている。とはいえ、現在のセキュリティシステムがMITRE ATT&CKの全ての脅威を検知できると考えている企業は半数にも満たない。
報告書は、そうした課題を克服するためのアドバイスとベストプラクティスを提供している。例えば、データ自体にMITRE ATT&CKを対応付けるのが難しい企業に役立つ可能性があるアプローチを幾つか概説している。
Approach options
And so on.
ベストプラクティスは、MITRE ATT&CKを最終報告書に対応付けることを重視している。対応付けの基本的なガイダンスとMITRE ATT&CKの用語に関する情報もある。
報告書には、セキュリティチームの知識を高めてセキュリティシステムを改善するのに役立つMITRE関連の貴重なリソースを含む付録が添えられている。付録にはMITRE ATT&CKを支えるデザイン哲学に関するMITREのレポート、トレーニングコースの一覧、チームがこのプロトコルを使って攻撃を説明し、対応する方法を示す資料が含まれる。
攻撃を受ける可能性が高い企業はMITRE ATT&CKから恩恵を受ける可能性がある。とはいえ、前述の通りフレームワークをセキュリティの日常運用に当てはめるのに苦労している企業は多い。相互運用性の懸念、自動化の課題、効果の低いセキュリティ製品は全て、このフレームワークの適用を極めて困難にする恐れがある。新たなベストプラクティスは、企業がMITRE ATT&CKを効果的に使用し、攻撃を防御するのに役立つかもしれない。