米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

こんにちは、丸山満彦で。

米国のCISAがMITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンスを2021.06.02に発行していましたね。。。


● Cybersecurity and Infrastracture Security Agency; CISA

・2021.06.02 Best Practices for MITRE ATT&CK® Mapping

Best Practices for MITRE ATT&CK® Mapping	MITRE ATT&CK® マッピングのベスト・プラクティス
For the Cybersecurity and Infrastructure Security Agency (CISA), understanding adversary behavior is often the first step in protecting networks and data. The success network defenders have in detecting and mitigating cyberattacks depends on this understanding. The MITRE ATT&CK® framework is a globally accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private sector, in government, and in the cybersecurity product and service community. ATT&CK is freely open and available to any person or organization in the hopes of bringing communities together to develop more effective cybersecurity.	CISA（Cybersecurity and Infrastructure Security Agency）にとって、敵対者の行動を理解することは、ネットワークやデータを保護するための最初のステップであることがしばしばあります。ネットワーク保護者がサイバー攻撃を検知し、軽減するためには、この理解が成功の鍵を握っています。MITRE ATT&CK® フレームワークは、実世界での観察に基づいた敵対者の戦術と技術に関するグローバルにアクセス可能な知識ベースです。ATT&CK 知識ベースは、民間企業、政府機関、サイバーセキュリティ製品・サービスのコミュニティにおいて、特定の脅威モデルや方法論を開発するための基盤として使用されています。ATT&CKは、より効果的なサイバーセキュリティを開発するためにコミュニティをまとめることを期待して、あらゆる個人や組織に自由に公開されています。
CISA uses ATT&CK as a lens through which to identify and analyze adversary behavior. ATT&CK provides details on 100+ threat actor groups, including the techniques and software they are known to use. (Note: Not every adversary behavior is documented in ATT&CK.) ATT&CK can be used to identify defensive gaps, assess security tool capabilities, organize detections, hunt for threats, engage in red team activities, or validate mitigation controls.	CISA は ATT&CK を敵対者の行動を識別、分析するためのレンズとして使用しています。ATT&CKは、100以上の脅威行為者グループについて、彼らが使用することが知られている技術やソフトウェアなどの詳細を提供しています。ATT&CK は、防御ギャップの特定、セキュリティツールの能力評価、検知の整理、脅威の探索、レッドチーム活動、緩和策の検証などに使用できます。
This Best Practices for MITRE ATT&CK Mapping guide provides network defenders with clear guidance, examples, and step-by-step instructions to make better use of MITRE ATT&CK as they analyze and report on cybersecurity threats. This will improve defenders’ ability to proactively detect adversary behavior and supports robust, contextual bi-directional sharing of information to help strengthen the security of our systems, networks, and data. CISA developed this guide in partnership with the Homeland Security Systems Engineering and Development Institute™ (HSSEDI), which worked with the MITRE ATT&CK team.	このBest Practices for MITRE ATT&CK Mappingガイドは、ネットワーク防御者がサイバーセキュリティの脅威を分析・報告する際に、MITRE ATT&CKをより有効に活用するための明確なガイダンス、例、およびステップバイステップの手順を提供します。これにより、敵対者の行動を積極的に検知する防衛者の能力が向上し、システム、ネットワーク、データのセキュリティ強化に役立つ強固で文脈に沿った双方向の情報共有をサポートします。CISAは、MITRE ATT&CKチームと協力しているHomeland Security Systems Engineering and Development Institute™（HSSEDI）と共同で本ガイドを作成しました。

・[PDF] 

 

ATT&CK Levels	ATT&CKレベル
ATT&CK describes behaviors across the adversary lifecycle, commonly known as tactics, techniques, and procedures (TTPs). In ATT&CK, these behaviors correspond to four increasingly granular levels:	ATT&CKは、敵のライフサイクルにおける行動を記述しており、一般的には戦術、技術、手順（TTPs）として知られている。ATT&CKでは、これらの行動を4つの詳細なレベルに対応させている。
1. Tactics represent the “what” and “why” of an ATT&CK technique or sub-technique. They are the adversary’s technical goals, the reason for performing an action, and what they are trying to achieve. For example, an adversary may want to achieve credential access in order to gain access to a target network. Each tactic contains an array of techniques that network defenders have observed being used in the wild by threat actors. Note: The ATT&CK framework is not intended to be interpreted as linear—with the adversary moving through the tactics in a straight line (i.e., left to right) in order to accomplish their goal.  Additionally, an adversary does not need to use all of the ATT&CK tactics in order to achieve their operational goals.	1. 戦術とは、ATT&CKのテクニックやサブテクニックの "What "と "Why "を表すものである。戦術とは、敵の技術的な目標、行動を行う理由、達成しようとするものである。例えば、敵対者は、ターゲット・ネットワークへのアクセスを得るために、クレデンシャル・アクセスを達成したいと考えているかもしれない。各戦術には、ネットワーク防御者が、脅威の行為者が実際に使用していることを確認した一連の技術が含まれている。注意：ATT&CK フレームワークは、敵対者が目的を達成するために戦術を一直線に（つまり、左から右に）移動するような、直線的な解釈を意図したものではない。 また、敵対者は作戦目標を達成するためにATT&CKの全ての戦術を使用する必要はない。
2. Techniques represent “how” an adversary achieves a tactical goal by performing an action. For example, an adversary may dump credentials to achieve credential access. Techniques may also represent what an adversary gains by performing an action. A technique is a specific behavior to achieve a goal and is often a single step in a string of activities intended to complete the adversary’s overall mission. Note: many of the techniques within ATT&CK include legitimate system functions that can be used for malicious purposes (referred to as “living off the land”).	2. テクニックとは、敵対者がある動作を行うことで戦術目標を達成する「方法」を表す。例えば、敵対者はクレデンシャル・アクセスを達成するためにクレデンシャルをダンプすることがある。テクニックはまた、敵対者がある動作を行うことで得られるものを表すこともある。テクニックとは、目標を達成するための具体的な行動であり、多くの場合、敵対者の全体的なミッションを完了するために意図された一連の活動の中の単一のステップである。注意：ATT&CKに含まれるテクニックの多くは、悪意のある目的のために使用できる正当なシステム機能を含んでいる（「living off the land」と呼ばれる）。
3. Sub-techniques provide more granular descriptions of techniques. For example, there are behaviors under the OS Credential Dumping [T1003] technique that describe specific methods to perform the technique, such as accessing LSASS Memory [T1003.001], Security Account Manager [T1003.002], or /etc/passwd and /etc/shadow [TT1003.008]. Sub-techniques are often, but not always, operating system or platform specific. Not all techniques have sub-techniques.	3. サブテクニックは、テクニックのより詳細な説明を提供する。例えば、OSのクレデンシャル・ダンピング[T1003]という技術の下には、LSASS Memoryへのアクセス[T1003.001]、Security Account Manager[T1003.002]、/etc/passwdと/etc/shadowへのアクセス[TT1003.008]など、その技術を実行するための具体的な方法を記述した動作があります。サブテクニックは、OSやプラットフォームに依存することが多いですが、必ずしもそうではない。すべてのテクニックがサブテクニックを持つわけではない。
4. Procedures are particular instances of how a technique or sub-technique has been used. They can be useful for replication of an incident with adversary emulation and for specifics on how to detect that instance in use.	4. プロシージャとは、あるテクニックやサブテクニックがどのように使用されたかを示す特定の事例である。これらは、敵対者のエミュレーションによるインシデントの再現や、使用中のインスタンスを検出する方法の具体的な説明に役立つ。

 

● MITRE 

・2021.06.02 (press) CISA ISSUES GUIDANCE FOR USING MITRE ATT&CK® FOR CYBER THREAT INTELLIGENCE

Knowledge Base Can Benefit Threat Analysis, Reporting