« 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10) | Main | 米国 USCYBERCOM サイバー作戦のためのAIロードマップ (2023.09.13) »

2024.09.15

米国 CISA リスクと脆弱性のアセスメント 2023年度版(2024.09.13)

FY23 RVA Analysi こんにちは、丸山満彦です。

CISAがリスクと脆弱性のアセスメント 2023年度版を公表していますね...

これは、攻撃者が成功した攻撃経路における脅威をMITRE ATT&CKのフレームワークにマッピングしたものです。大体の傾向がみえてくるかもという感じですね。。。

● CISA

・ 2024.09.13 Risk and Vulnerability Assessments

Risk and Vulnerability Assessments リスクと脆弱性のアセスメント
CISA analyzes and maps, to the MITRE ATT&CK® framework, the findings from the Risk and Vulnerability Assessments (RVA) we conduct each fiscal year (FY). These analyses include: CISAは、毎会計年度(FY)に実施するリスク・脆弱性アセスメント(RVA)から得られた知見を分析し、MITRE ATT&CK®フレームワークにマッピングする。これらの分析には以下が含まれる:
Reports by fiscal year (starting with FY20) that provide an analysis of a sample attack path a cyber threat actor could take to compromise an organization with weaknesses that are representative of those CISA observed in the fiscal year's RVAs. The analysis maps the attack path to the ATT&CK framework. 年度別レポート(FY20より開始):その年度のRVAでCISAが観測した弱点を代表する弱点を持つ組織を侵害するために、サイバー脅威行為者が取り得る攻撃経路のサンプルの分析を提供する。この分析では、攻撃経路を ATT&CK フレームワークにマッピングしている。
Infographics of RVAs mapped to the ATT&CK framework for each fiscal year, starting with FY19. The infographic breaks out the most successful techniques for each tactic documented for the fiscal year and includes the success rate percentage for each tactic and technique.  19年度から各年度のRVAをATT&CKフレームワークにマッピングしたインフォグラフィック。インフォグラフィックは、その年度に文書化された各戦術について、最も成功したテクニックを分割し、各戦術およびテクニックの成功率パーセンテージを含む。
On September 13, 2024, we published the FY23 RVAs Analysis and Infographic.  2024年9月13日には、「FY23 RVAs Analysis and Infographic」を公開した。
CISA encourages network administrators and IT professionals to review the analyses and infographics and apply the recommended defensive strategies to protect against the observed tactics and techniques. CISAは、ネットワーク管理者やIT専門家が分析とインフォグラフィックを確認し、推奨される防御戦略を適用して、観察された戦術やテクニックから保護することを推奨する。
Note: due to the limited sample size, the presented data should not be considered a rigorous statistical representation of the complex and varied sector entities that exist within the United States. Organizations should consider additional attack vectors and mitigation strategies based on their unique environment.  注:サンプル数が限られているため、提示されたデータは米国内に存在する複雑で多様な事業体の厳密な統計的表現とみなされるべきではない。組織は、固有の環境に基づいて、追加の攻撃ベクトルと低減戦略を検討する必要がある。

 

2023年度版

インフォグラフィック

・[PDF] FY23 RVAs Mapped to the MITRE ATT&CK Framework Infographic

20240915-52238

 

・[PDF] FY23 RVA Analysis

20240915-52503

攻撃経路については、Initial AccessExecutionPersistencePrivilege EscalationDefense EvasionCredential AccesDiscoveryLateral MovementCollectionCommand and ControlExfiltrationに分けて、それぞれで成功につながったTechniquesを%でしめしています。。。

2022年と2023年をざっくりと比較してみたら、次のような感じ...

TACTICS ID TECHNIQUES 2022 2023
Initial Access T1078 Valid Accounts 54.3% 41.3%
T1566.002 Spearphishing Link 33.8% 26.3%
T0865 Spearphishing Attachment 3.3% 6.1%
T1110.002 Password Cracking   9.5%
         
Execution T1059.001 PowerShell 14.0% 8.5%
T1605 Command Line Interfac 12.6% 10.3%
T1204 User Execution 9.3% 10.2%
T1218.005 Mshta 8.5% 9.2%
         
Persistence T1078 Valid Accounts
56.1% 42.2%
T1564.001 Hidden Files and Directories 5.1% 14.8%
T1098 Account Manupulation 8.6% 9.9%
T1136 Create Account 5.6% 8.4%
T1574.010 File System Permissons Weakness 6.1% 4.9%
         
Privilege Escalation T1078 Valid Accounts 42.9% 44.7%
T1055 Process Injection 19.3% 17.7%
T1608 Exploitation for Privilege Escalation 6.2% 8.4%
         
Defense Evasion T1078 Valid Accounts 17.5% 13.9%
T1055 Process Injection 8.5% 6.2%
T1218.005 Mshta 7.3% 7.0%
T0853 Scripting 5.4%  
T1605 Control Panel Items   5.2%
         
Credential Acces T1557.001 LLMNR/NBT-NS Poisoning and SMB Relay 17.2% 15.0%
T1003 OS Credential Dumping 17.0% 13.6%
T1552.001 Credentials in Files 14.6% 12.6%
T1558.003 Kerberoasting 11.2% 11.5%
T1040 Network Sniffing 10.4% 12.3%
T1552.002 Credentials in Registry  6.9% 6.4%
T1187 Forced Authentication 6.9% 9.0%
         
Discovery T1087 Account Discovery 10.1% 7.8%
T1135 Network Share Discovery 10.1% 7.7%
T1423 Network Service Scanning 9.6%  
T1083 File and Directory Discovery 9.4% 7.5%
T1201 Password Policy Discover 8.2% 7.7%
         
Lateral Movement T1550.002 Pass the Hash 27.1% 26.6%
T1021.001 Remote Desktop Process 18.8% 12.1%
T1021.002 Windows Admin Shares 12.9% 11.7%
T1550.003 Pass the Ticket 9.8% 17.2%
T1544 Remote File Copy 9.5% 11.0%
         
Collection T1039 Data From Network Shared Drive  32.8% 41.8%
T1005 Data From Local System  28.3% 28.9%
T1113 Screen Capture 10.4%  
T1056 Input Capture 6.2% 6.7%
T1213 Data from information Depositories 5.4% 6.7%
         
Command and Control T0885/T1571 Commonly Used Port 26.8% 18.9%
T1001 Data Obfuscation 12.4% 12.0%
T1132 Data Encoding 9.0% 10.5%
T1090.004 Domain Fronting 9.0% 10.0%
T1544/T1105 Remote File Copy 6.7% 8.7%
         
Exfiltration T1048 Exfiltration Over Command 71.3%  
T1041 Exfiltration Over C2 Channel   41.5%
T1486/T1560 Data Encrypted 7.5% 11.4%
T1011 Exfiltration Over Other Network Mediums  7.5% 7.3%
T1048 Exfiltration over Alternative Protcol 2.5% 13.8%
T1020 Automated Exfiltration 3.8% 11.4%

 

 

過去の発表も含めて...

2023年度

・[PDF] FY23 RVAs Mapped to the MITRE ATT&CK Framework Infographic

・[PDF] FY23 RVA Analysis

 

2022年度

・[PDF] FY22 RVAs Mapped to the MITRE ATT&CK Framework Infographic

・[PDF] FY22 RVAs Analysis

 

2021年度

・[PDF] FY21 RVAs Mapped to the MITRE ATT&CK Framework Infographic

・[PDF] FY21 RVAs Analysis

 

2020年度

・[PDF] FY20 RVAs Analysis

・[PDF] FY20 RVAs Mapped to the MITRE ATT&CK Framework Infographic

 

2019年度

・[PDF] FY19 RVAs Mapped to the MITRE ATT&CK Framework Infographic

 

 

|

« 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10) | Main | 米国 USCYBERCOM サイバー作戦のためのAIロードマップ (2023.09.13) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10) | Main | 米国 USCYBERCOM サイバー作戦のためのAIロードマップ (2023.09.13) »