CISA Deciderとは?(後編)MITRE ATT&CK活用ツールの概要
前編からお読みください→:CISA Deciderとは?(前編) MITRE ATT&CKの紹介
米国のサイバーセキュリティ当局であるCISAが2023年3月、Deciderツールを公開しました。
Deciderは、インシデント担当者やセキュリティ・アナリスト向けの、MITRE ATT&CKによるマッピングを支援するツールです。
本記事では、Deciderの概要と仕組みについて紹介します。
※ 本編は前後編の後編となります。
1 Deciderとは? MITRE ATT&CKをフル活用するツール
Deciderの概要
Deciderは、米CISAが2023年3月に公開した、組織・企業においてセキュリティを運用する担当者や、セキュリティ・アナリストのための攻撃者TTP分析支援ツールです。セキュリティ担当者がMITRE ATT&CKをより効率よく・効果的に利用できるようにすることが開発の目的となっています。
Deciderは、攻撃者の振る舞いを、MITRE ATT&CKに従って容易にカテゴライズし、標準化された型式で共有することを可能にします。
※ Deciderは、英語で「決定者、決断者」という意味を持つ単語です。
なぜDeciderが開発されたのか?
このツールを開発した最大の理由は、攻撃者の振る舞いに関するフレームワークであるMITRE ATT&CKを、より身近に、アクセスしやすくすることであるとCISAは説明しています。
これまでCISAには、多くのセキュリティ担当者から、「ATT&CKを用いて攻撃を分析する際、攻撃者の振る舞いを正確にマッピングしているかどうかわからず、またその方法に戸惑うことも多い」という声が寄せられていました。
そうしたフィードバックを受けて、CISAは、MITRE ATT&CKチームおよび国土安全保障システムエンジニアリング・開発研究所(Homeland Security Systems Engineering and Development Institute(HSSEDI) )と提携し、Deciderツールを開発しました。
Deciderは技術用語の利用を最小限に留め、フレームワークの活用プロセスを迅速かつ簡易に進めるのに役立つツールとして提供されています。
Deciderで何ができるのか?
Deciderには、MITRE ATT&CKを実際のインシデント分析に活用するための機能が備わっています。
攻撃者の活動を特定しマッピングするために、Deciderは質問形式を採用しています。質問に応じてテクニック・サブテクニックをピックアップしていくことで、レポートに必要なマッピング情報を生成することができます。
他にもフィルターや検索、エクスポートといった機能を備えています。本項では、1つずつDeciderの仕組みを紹介します。
CISAは、Deciderを通じて、以下のことを実現できるとしています。
- 分析結果をATT&CK Navigatorによって可視化する
- 脅威インテリジェンスレポートを公開することで、分析結果を共有する
- 攻撃者の技術を検出するためのセンサーと分析手段を発見する
- 攻撃者の技術を防ぐための緩和策を発見する
- 防護策の有効性を検証するための脅威シナリオをとりまとめる
2 Deciderの機能
DeciderはWebアプリケーションです。Docker上にホストすることで、自組織・自社内で利用することができます。ここでは基本的な機能を紹介します。
なお、2023年9月時点では、SaaS型式での提供は行われていないため、自組織の利用する環境に導入する必要があります。
Deciderログイン画面
質問を通じて攻撃者の振る舞いを特定
Deciderでは、既存のインシデント・レポートあるいはログ・データを元に、提示される質問に対し回答することで、攻撃者の振る舞いに該当するTTPを特定しピックアップしていきます。
| 質問:敵は何をしようとしているのでしょうか? ↓ 「偵察」を選択 ↓ 質問:攻撃者はターゲティングをサポートするための情報をどのように収集しようとしているのでしょうか? ↓ 「アクティブスキャン」を選択 ↓ 該当するTTPを特定 |
質問を通じて敵の振る舞いを選択
スクリーンショットに示されているように質問形式で攻撃者の振る舞いを絞りつつ、最終的に該当するTTPを特定することが可能です。
質問・回答を通じてサブテクニックを特定(図はDNSの例)
特定した攻撃者のTTPをエクスポート
質問を通じてピックアップした攻撃者のTTPは、テーブル形式やATT&CK Navigatorヒートマップ等の形式でエクスポートすることができます。
JSONファイル
Deciderでは攻撃者TTPリストをJSONで管理しており、保存・読み込みが可能です。
ATT&CK Navigator
ATT&CK Navigatorは、MITREが提供しているフレームワークの可視化ツールです。
この形式でエクスポートした場合、MITRE ATT&CK Navigator(外部リンク)で読み込むことによってチャートとして可視化することが可能です。
出力した図はSVG型式等で保存が可能。レポートにも活用できる
Microsoft Wordの表形式
ドキュメント形式でのエクスポートは下図のとおりです。
攻撃者TTPの一覧表
検索・フィルタリング機能
DeciderにはMITRE ATT&CKが蓄積しているTTPを直接確認・参照する機能もあります。
条件の絞り込み
また質問に回答する際には、ANDやOR等の演算子を用いてより詳細な絞り込みを行うことも可能です。
検索演算子 出典:Deciderユーザーガイド(外部リンク)
その他の機能:ミスマッピングの履歴
前編:CISA Deciderとは?(前編) MITRE ATT&CKの紹介で紹介したように、攻撃者の振る舞いを分析する際には、常にバイアスに基づく間違いや認識のずれが発生します。
CISA Deciderは、ミスマッピング、つまり攻撃者の振る舞いを誤ったTTPに分類してしまった場合の記録を蓄積する機能を保有しています。
間違った分類の事例を登録することで、以後、TTPの特定の際に、過去の事例として参照することが可能となります。
ミスマッピング事例を登録
3 自動化ツールやAIとの統合可能性
Deciderツールは、セキュリティ・インシデントを分析し、MITRE ATT&CKのTTPに攻撃をマッピングすることを支援するツールであり、ここで判断を行うのはあくまで人間です。
しかし、セキュリティ運用の自動化は、現在の大きなトレンドであり、インシデントレスポンスを自動化する自動SOCや、SOARのような製品も各ベンダーによって展開されています。
ChatGPTのような生成AIも各種セキュリティ製品に取り込まれており、業務の省人化・標準化の潮流は今後も進む傾向にあると予測されます。
Deciderが提供するマッピング機能も、AIや自動化を取り込むことでさらなる高機能化・活用が進むのではないでしょうか。
CISAのレポートの一部をChatGPTに読み込ませ、該当するMITRE ATT&CKを列挙しよと指示した例
4 まとめ:インシデントの教訓を活かす
Deciderは、セキュリティ担当者やインシデント・レスポンス担当者によるMITRE ATT&CKの活用を支援し、攻撃者の振る舞いを標準化された形で共有することを可能にします。
SANS Handbook等のガイドラインでは、「教訓の活用と情報共有」が、インシデント対応における最も重要なフェーズとされています。
個々の事例をMITRE ATT&CKフレームワークに沿って標準化し、教訓や参考情報として組織の対策に活用することが、セキュリティ体制の強化に大きなメリットを与えます。
MITRE ATT&CKフレームワークを活用し、組織のサイバーレジリエンスを強化しましょう。
CISA Deciderのダウンロードはこちら(外部リンク)
SOMPO CYBER SECURITYでは24時間365日対応のインシデントサポートを提供しています。
参考サイト
- https://www.bleepingcomputer.com/news/security/cisa-releases-free-decider-tool-to-help-with-mitre-attandck-mapping/
- https://www.helpnetsecurity.com/2023/03/03/cisa-decider/
- https://www.cisa.gov/news-events/news/helping-cyber-defenders-decide-use-mitre-attck
- https://www.cisa.gov/sites/default/files/2023-03/decider_fact_sheet_508c.pdf
- https://www.cisa.gov/sites/default/files/2023-01/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf
- https://mitre-attack.github.io/attack-navigator/
- https://www.sans.org/white-papers/33901/
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-048a
