この記事は、Product Management – Threat, Detection & Response の Vice President AJ Shipley
によるブログ「 Introducing Cisco Breach Protection, Delivering Complete Detection and Response of MITRE ATT&CK TTP’s」(2023/11/8)の抄訳です。
セキュリティ オペレーション センター(SOC)は、潜在的なサイバー脅威のリアルタイムな検出および対応を担う部門です。サイバー攻撃の複雑性が増す中、SOC チームが MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)の戦術、技術、手順(TTP: Tactics, Techniques and Procedures)を包括的にカバーしていることがますます重要になりつつあります。このブログでは、セキュリティ運用において MITRE ATT&CK TTP を包括的にカバーすることの重要性と、シスコのテクノロジーがその目標達成を支援する方法について説明します。
MITRE ATT&CK TTP とセキュリティ運用の関連性
MITRE ATT&CK は世界的に使用されているフレームワークです。サイバー攻撃において観測された動作や攻撃者が使用した動作に基づき、さまざまな戦術、技術、手順をまとめています。このフレームワークは、戦術と技術という 2 つの主なカテゴリに分かれています。戦術とは攻撃者の全体的な目標、技術はその目標を達成するために使用される特定のメソッドのことを指します。手順は、技術を実行するために攻撃者が講じる特定のステップです。
包括的にカバーすることが重要な理由
サイバー攻撃を取り巻く状況は日々変化しており、毎日のように新たな TTP が開発されています。
最近注目を集めている攻撃の 1 つが環境寄生型バイナリ(LOLBin)を活用したエクスプロイトです。すでに攻撃対象者のシステムに存在する合法のツールとソフトウェアを使用して悪意のあるアクティビティを実行します。この種の攻撃は Jaguar Tooth マルウェアや Volt Typhoon、BlackTech などの不正な脅威グループによって悪用されています。これらの攻撃は検出が困難です。従来のエンドポイント セキュリティ ソリューションがフラグを立てるマルウェアやその他の悪意のあるソフトウェアは使用されないためです。その代わり、攻撃者は PowerShell、WMI、およびその他の Windows 内蔵ユーティリティなどのツールを使用して目標を達成します。
環境寄生型攻撃からの保護には、システムプロセスとネットワークアクティビティをモニタリングして、不審な動作を発見するのがお勧めです。この保護は、エンドポイントおよびネットワーク セキュリティ コントロールを組み合わせ、さらに拡張された検出および対応ソリューションを追加することで実現できます。システムアクティビティやネットワーク トラフィック パターンに潜む異常が検出され、関連付けられると、セキュリティチームはリアルタイムで潜在的な攻撃に関する通知を受け取ることができます。
攻撃者が使用するさまざまな戦術、技術、手順を包括的に理解すれば、SOC チームは潜在的な脅威によって甚大な損害を受ける前にすばやく脅威を検出し、回避できます。
シスコによる侵害防御
シスコは、日々進化する攻撃者による技術からネットワークを保護する Breach Protection をリリースしました。Cisco Breach Protection は観測された攻撃者の行動と MITRE ATT&CK の戦術、技術、手順(TTP)をリアルタイムでマッピングして、攻撃に関する包括的な理解をサポートします。
Cisco Breath Protection には Essentials、Advantage、Premier という 3 つのライセンス階層があります。各階層は特定の組織のニーズに合わせて設計されており、幅広い結果を提供して包括的なカバーを実現します。
Breath Protection Essentials は、E メール、エンドポイント(EDR)、XDR のセットを一括で提案するもので、組織が直面するほとんどの攻撃をカバーします。現在でも、攻撃の大多数は、フィッシング E メールを利用してエンドポイントの脆弱性をエクスプロイトするマルウェアを送り込んだり、エンドポイント アプリケーションを使用(環境寄生型攻撃と呼ばれる)したりして、権限のエスカレーション、永続性の維持、横方向への移動を実現するものです。Cisco Breach Protection では、これらの種類の攻撃や Wizard Spider や Sandworm といった攻撃者の検出および対応を提供します。
Breach Protection Advantage は、組織が直面するあらゆる攻撃をカバーします。これには IT/OT/IIoT などの極めて複雑な環境に対する攻撃や、BlackTech、Volt Typhoon、Jaguar Tooth などの国家の支援を受けた非常に高度な攻撃者による攻撃が含まれます。現在観測されているすべての攻撃をカバーできるのは、クラウドおよび従来のオンプレミス インフラストラクチャのネットワークテレメトリとネットワークベースの検出を組み合わせて提供しているシスコだけです。
Breach Protection Premier は、上記のすべての機能を、インシデント対応保持、侵入テストサービス、レッド/ブルー/パープルチームのアクティビティ、マネージド型の検出および対応を提供するマネージドサービスとひとまとめにして提供します。セキュリティ運用を管理するだけの人材を持たない組織や、SOC 運用を完全にアウトソースしたいと考えている組織にお勧めです。
いずれの階層のサービスも、すでにサードパーティのセキュリティ製品を使用しているお客様にもご使用いただけます。お客様が選択したのがアラカルトのシスコ製品、EA、Breach Protection Suite のいずれであっても、受けられる技術的なサービス内容は同じです。ただし、Breach Protection Suite を選択すると、上記に記載されている成果を金銭面で非常にお得に達成できます。また、複数のサードパーティベンダーをまとめたり、複数のサードパーティの発注書を処理したり、複数の異なるコンソールを管理したりする必要がなくなり、優れた総所有コストを実現できます。
シスコによる侵害防御
現代の進化し続けるサイバー攻撃環境において、MITRE ATT&CK TTP を包括的にカバーすることは SOC チームにとって必要不可欠です。それにより、いかなる脅威もすばやく検出、対応できるようになります。SOC チームはランサムウェアなどの以前の攻撃で使用された TTP を分析して、攻撃者が使用する戦術をより深く理解し、さらに有効性の高い戦略を作成して将来直面する攻撃から組織を保護できます。SOC の能力を向上させたいなら、Cisco Breach Protection を活用して MITRE ATT&CK TTP を包括的にカバーすることをご検討ください。
シスコのセキュリティスイートに関するその他のブログ投稿