MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) は攻撃者の行動を文書化できるようにすることで、防御対策に活かすためのツールである。脆弱性識別に使われるCVE-IDなどを管理しているMITREが2013年から開発しているフレームワークで、2018年後半頃からペネトレーションテスターやSOCアナリストなどの人々に急速に注目されている。
また企業側でもMITRE ATT&CKフレームワークをベースに自社のセキュリティ対策について対策の確認、強化策を検討する動きが徐々に広まりつつある。
MITRE ATT&CKフレームワークが注目される背景として、攻撃者の行動に対してより具体的なセキュリティ対策をとる必要が出てきている点がある。攻撃者の行動を調査段階から目的達成までモデル化した「サイバーキルチェーン(Cyber Kill Chain)」が有名であるが、このモデルを用いて具体的なセキュリティ対策につなげるには抽象化のレベルが高いという課題があった。そこで具体的なセキュリティ対策まで落としこめるフレームワークとして注目されている。
MITRE ATT&CKで使われる要素は、Adversary Group(攻撃者)、Software(ソフトウェア)、Technique(使用するテクニック)、Tactic(戦術:目指すゴール)である。
そしてそれらに要素に対して、以下のような攻撃者の Category (戦術)が含まれる。
- 初期アクセス(Initial Access)
- 実行(Execution)
- 永続化(Persistence)
- 権限昇格(Privilege Escalation)
- 防衛回避(Defense Evasion)
- 認証情報アクセス(Credential Access)
- 探索(Discovery)
- 横展開(Lateral Movement)
- 収集(Collection)
- C&C(Command and Control)
- 持ち出し(Exfiltration)
- 影響(Impact)
各カテゴリは、攻撃のタイプに対応した特定のサブカテゴリ(手法)に分割されている。また、手法の詳細、例、参考文献、および脅威の軽減と検出に関する提案が掲載されている。
一例として、認証情報アクセス(Credential Access)のTechnique(使用するテクニック)として、ブルートフォース(Brute Force)など位置づけられている。
企業はこのフレームワークを活用することで、自社のセキュリティシステムを攻撃者の視点から、どう防御できているかのマップを作製することができ、自社で攻撃の可能性のあるシナリオ、または発生すると企業活動に大きな影響がでる攻撃に対してどのような防御ができるかを確認、不足部分の強化検討に活用することができる。
