« 米国 ホワイトハウス バイデノミクスは機能している: 大統領の計画はトップダウンではなくミドルアウトとボトムアップから経済を成長させる | Main | 第12回米欧宇宙対話@ブリュッセルでは、サイバーセキュリティについても議論されたようですね。。。 »

2023.07.01

MITRE 攻撃グラフの協調モデル

こんにちは、丸山満彦です。

MITREが、攻撃グラフの協調モデルにるいてのレポートを公表していますね。。。少し興味深いです。。。

 

MITRE

・2023.06.28 A Coordination Model for Attack Graphs

A Coordination Model for Attack Graphs 攻撃グラフの協調モデル
Attack graphs have been proven to be useful for modeling multi-stage attacks for vulnerability analysis, though their use in threat emulation has been hindered by multiple challenges. In this paper, we propose a new type of graph, Activation, Guard, and Effect (AGE) graph, to support emulation of multi-stage attacks. We describe the abstract syntax and execution semantics of AGE graphs and provide examples that illustrate the ability of AGE graphs to model attacks and enable attack execution automation. 攻撃グラフは、脆弱性分析のための多段階攻撃のモデリングに有用であることが証明されているが、脅威のエミュレーションにおける使用は、複数の課題によって妨げられてきた。本稿では、多段階攻撃のエミュレーションをサポートするために、新しいタイプのグラフ、AGE(Activation, Guard, and Effect)グラフを提案する。AGEグラフの抽象的な構文と実行セマンティクスを説明し、AGEグラフが攻撃をモデル化し、攻撃実行の自動化を可能にする能力を説明する例を提供する。

 

 

・[PDF]

20230701-64319

 

目次...

1 Introduction 1 序文
2 Motivating Example 2 動機となる例
3 AGE Graph Semantics 3 AGEグラフの意味論
3.1 Abstract Syntax 3.1 抽象構文
3.2 Semantics 3.2 意味論
4 Examples and AGE Graph Simulator 4 例とAGEグラフシミュレータ
5 Related Work 5 関連作品
6 Conclusions 6 結論

 

序文...

1  Introduction  1 序文 
An attack graph describes the actions an attacker can take on a target system to induce an event or state, called a goal condition, desired by the attacker. Attack graphs have been used to describe complex multi-stage attacks in multiple domains [14, 26, 28, 10], and to describe defenses [17]. The primary application area of attack graphs has been for vulnerability analysis [24, 11, 20, 17]. Applying attack graphs to automated emulation of multi-stage attacks such as those with the tactics described in MITRE ATT&CK [27] would be an attractive prospect. Threat emulation is useful for simulated penetration testing [9], and for evaluating attacker strategies [1]. However, there are a few challenges that must be addressed to enable such an automator.  攻撃グラフは、攻撃者が望むイベントや状態(ゴール条件と呼ばれる)を引き起こすために、 攻撃者がターゲットシステムに対して取り得るアクションを記述する。アタック・グラフは、複数のドメインにおける複雑な多段階攻撃を記述するため[14, 26, 28, 10]や、防御を記述するため[17]に使用されてきた。攻撃グラフの主な応用分野は脆弱性分析である[24, 11, 20, 17]。攻撃グラフを、MITRE ATT&CK [27]で説明されているような多段階攻撃の自動エミュレー ションに適用することは、魅力的な展望である。脅威のエミュレーションは、模擬侵入テスト[9]や攻撃者の戦略評価[1]に有用である。しかし、このようなオートメー ターを実現するには、いくつかの課題がある。
The first challenge is that the attack graph execution will need to respect the partial ordering and nondeterminism that arises from the dependencies and logical conditions in the attack graph. The second challenge is that during an attack the target system will likely undergo state changes due to the attacker’s actions, the defender’s actions, or the actions of users of that system. Therefore, prior to applying the attacker’s actions, also called e↵ects in this paper, the automator must always reevaluate the system state before applying an action, both to understand the success of the previous action and to ensure the preconditions of the action are met. Consequently, the attack representation must allow for state changes in the target system that are not predicted at the beginning of the attack by the attacker. The third challenge is that while attack graph representations such as [14, 26] represent attack plans, they only contain preconditions for the actions, and do not contain the attacker’s mission requirements such as time or other mission constraints to conduct attacker’s actions. The fourth challenge is that sometimes the attack e↵ect may not terminate, or the e↵ect may be fleeting and leaves no permanent trace. The fifth challenge is that the attack representation must be machine readable. This issue has been addressed for the purpose of vulnerability analysis by tools such as MulVal [20], and other ontological techniques for scalability [18].  第一の課題は、攻撃グラフの実行において、攻撃グラフの依存関係や論理条件から生じる部分的な順序性や非決定性を尊重する必要があることである。第二の課題は、攻撃中に攻撃者の行動、防御者の行動、あるいはそのシステムのユーザーの行動によって、ターゲット・システムの状態が変化する可能性が高いことである。したがって、攻撃者のアクション(本論文では「e↵」とも呼ぶ)を適用する前に、オートメー ターは常にシステム状態を再評価しなければならない。その結果、攻撃表現では、攻撃者が攻撃開始時に予測できなかったターゲット・システムの状態変化を許容しなければならない。第3の課題は、[14, 26]のような攻撃グラフ表現は攻撃計画を表現しているが、アクションの前提条件のみを含んでおり、攻撃者のアクションを実施するための時間やその他のミッション制約などの攻撃者のミッション要件を含んでいないことである。第4の課題は、攻撃↵効果が終了しない場合や、攻撃↵効果が儚く、永続的な痕跡を残さない場合があることである。第五の課題は、攻撃表現が機械可読でなければならないことである。この問題は、MulVal [20]のようなツールや、スケーラビリティのための他のオントロジー技術 [18]によって、脆弱性分析の目的で対処されてきた。
We are not aware of any general-purpose attack graph representation with precise execution semantics that can be used for automated execution and addresses the challenges above. This paper describes a coordination model, using the novel Activation, Guard, E↵ect (AGE) graph-based representation, for attack graph automation that addresses these challenges, inspired by  我々は、自動実行に使用でき、上記の課題に対応する、正確な実行セマンティクスを持つ汎用的な攻撃グラフ表現について知らない。本論文では、これらの課題に対処する攻撃グラフ自動化のための、PTIDESのような協調モデルから着想を得た、新しいAGE(Activation, Guard, E↪So_21B5) グラフベースの表現を用いた協調モデルについて述べる。
coordination models such as the PTIDES model [31]. This paper focuses primarily on how AGE graphs address the first four challenges described above.  PTIDESモデル[31]などの協調モデルに触発されている。本稿では主に、AGEグラフが上記の最初の4つの課題にどのように対処するかに焦点を当てる。
Our contributions are: (1) the definition of the AGE graph and its execution semantics, the first coordination model for attack graphs, and (2) the development of a simulator for attack graph execution based on AGE graphs, along with examples of attack graphs and their execution sequences.  我々の貢献は以下の通りである: (1)攻撃グラフのための最初の協調モデルであるAGEグラフとその実行セマンティクスの定義、(2)攻撃グラフとその実行シーケンスの例とともに、AGEグラフに基づく攻撃グラフ実行シミュレータの開発。
The rest of the paper is organized as follows. An example of a sample attack graph from literature is presented along with an alternate graph more suitable for graph execution in Section 2. Section 3 defines AGE graphs and their execution semantics. We discuss the AGE graph simulator and some examples in Section 4. Background and related work are discussed in Section 5; and we conclude in Section 6.  本稿の残りの部分は以下のように構成されている。セクション2節では、文献にある攻撃グラフの例と、グラフ実行に適した代替グラフを示す。セクション3では、AGEグラフとその実行セマンティクスを定義する。セクション4では、AGEグラフシミュレータといくつかの例について述べる。セクション5では、その背景と関連研究について述べ、セクション6で結論を述べる。

 

 

|

« 米国 ホワイトハウス バイデノミクスは機能している: 大統領の計画はトップダウンではなくミドルアウトとボトムアップから経済を成長させる | Main | 第12回米欧宇宙対話@ブリュッセルでは、サイバーセキュリティについても議論されたようですね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 ホワイトハウス バイデノミクスは機能している: 大統領の計画はトップダウンではなくミドルアウトとボトムアップから経済を成長させる | Main | 第12回米欧宇宙対話@ブリュッセルでは、サイバーセキュリティについても議論されたようですね。。。 »