米国 MITRE 「ピラミッドの頂上へ」プロジェクト (2024.12.17)

こんにちは、丸山満彦です。

MITREが、Summiting the Pyraid Project についての発表をしています...

敵である攻撃者側の戦術・技術・手順（Tactics, Techniques, and Procedures；TTP）を理解することにより、攻撃者が、検出を回避しようと試みても、検出されることから逃れるのが難しくなり、攻撃に対するコストを引き上げることができるということで、攻撃者のTTPを理解することに集中すればよいという考え方（2013年にデビット・ビアンコが発表した）に基づいたプロジェクトです...

このリリースはVer2.0.0ですが、その前のVer1.0.0は2023.09.14に発表でした...

 

● MITRE

・2024.12.17 Summiting the Pyramid

プロジェクト概要...

Project Summary	プロジェクト概要
Summiting the Pyramid (STP) creates a methodology to score analytics against the pyramid of pain, helping defenders create more robust detections against adversary behavior. With this update, STP reduces false positives and expands scoring to network-based analytics.	Summiting the Pyramid（STP）は、敵の行動に対してより強固な検知を作成するために、痛みのピラミッドに対して分析をスコアリングする手法を作成する。今回のアップデートにより、STPは誤検知を減らし、スコアリングをネットワークベースの分析に拡張する。
Problem	問題点
Adversaries can easily evade cyber analytics that are dependent on specific tools or artifacts.	敵は、特定のツールやアーティファクトに依存するサイバー分析を容易に回避することができる。
Solution	解決策
Create and apply a methodology to evaluate the dependencies inside analytics and make them more robust by focusing on adversary behaviors.	アナリティクス内部の依存関係を評価し、敵の行動に焦点を当てることでアナリティクスをより堅牢にするための手法を作成し、適用する。
Impact	インパクト
Shift the advantage towards defenders with improved analytics that catch adversaries even as they evolve and detect future campaigns.	敵が進化しても捕捉し、将来のキャンペーンを検知できるようにアナリティクスを改善することで、優位性を防御側に移す。

 

プロジェクトの発表

● Medium

・2024.12.17 Summiting the Pyramid: Bring the Pain with Robust and Accurate Detection

 

2013年にデビット・ビアンコが発表したブログの文書...

● Enterprise Detection & Response

・2013.03.01 The Pyramid of Pain

 

 

プロジェクトのウェブサイト

● MITRE - Center for Threat-Informed Defense

 ・Summiting the Pyramid v2.0.0

内容...

Overview	概要
Introduction	序文
Project Goal	プロジェクトの目標
What is a Robust Detection?	ロバスト検知とは何か？
Deconstructing the Pyramid	ピラミッドを分解する
Event Observables for Hosts and Networks	ホストとネットワークのイベント観測値
How Do We Create Robust Detections?	どのようにしてロバスト検知を作成するのか？
Assumptions and Caveats	前提条件と注意点
Definitions	定義
Detection	検知
Accuracy	精度
Robust Detection	ロバスト検知
Observable	観測可能
Analytic	分析的
Analytic Robustness Categories	分析的ロバストネスのカテゴリー
Event Robustness Categories	イベントのロバストネス・カテゴリー
Network Traffic Robustness Categories	ネットワークトラフィックのロバストネスカテゴリー
Originator Endpoint	発信側エンドポイント
Responder Endpoint	対応エンドポイント
Model Mapping Pages	モデルマッピングページ
Level 5: Core to Sub-Technique or Technique	レベル5：コアからサブテクニックまたはテクニックへ
Level 4: Core to Some Implementations of (Sub-)Technique	レベル4：（サブ）テクニックの一部の実装に対するコア
Level 3: Core to Pre-Existing Tools or Inside Boundary	レベル3: 既存のツールまたはバウンダリ内部のコア
Level 2: Core to Adversary-Brought Tool or Outside Boundary	レベル2：敵が持ち込んだツール、または境界の外側に対するコア
Level 1: Ephemeral Values	レベル1：儚い価値
Column A: Application	A列：アプリケーション
Column U: User-Mode	U列：ユーザーモード
Column K: Kernel-Mode	列K：カーネルモード
Column P: Payload Visibility	列 P： ペイロードの可視性
Column P: Header Visibility	列 P: ヘッダの可視性
Observables Quick Search	オブザーバブルのクイック検索
Combining Observables	オブザーバブルを組み合わせる
Understanding Resistance to Adversary Change Over Time	時間経過に伴う敵の変化に対する耐性を理解する
Evaluating Robustness	堅牢性を評価する
Example Mappings	マッピングの例
T1003.001: LSASS Memory	T1003.001: LSASSメモリ
T1053.005 Scheduled Tasks	T1053.005 スケジュールされたタスク
Remote Procedure Call (RPC) Protocol	リモートプロシージャコール（RPC）プロトコル
Hypertext Transfer Protocol (HTTP)	ハイパーテキスト転送プロトコル（HTTP）
T1204.001: User Execution: Malicious Link (i.e., Web Distributed Authoring and Versioning [WebDAV])	T1204.001: ユーザ実行： 悪意のあるリンク（すなわち、Web Distributed Authoring and Versioning [WebDAV]）。
How to Score Resistance to Adversary Evasion Over Time	時間経過に伴う敵の回避に対する耐性をスコアリングする方法
Step 1: Scoring the Analytic’s Sensor Data	ステップ1：分析対象のセンサーデータをスコアリングする
Step 2: Break Down Each of the Observables	ステップ2：各観測項目を分解する
Step 3: Analyze the Selection or Condition of the Analytic	ステップ3: 分析対象の選択または状態を分析する
Step 4: Give the Analytic a Final Score	ステップ4: 分析結果に最終スコアをつける
Analytics Repository	分析リポジトリ
Suspicious ADFind	疑わしいADFind
Scheduled Task/Job	スケジュールされたタスク/ジョブ
Service Registry Permissions Weakness Check	サービスレジストリのパーミッションの脆弱性チェック
Potential Access Token Abuse	アクセストークンの悪用の可能性
Executable (EXE) File Download from a WebDAV Server	WebDAVサーバーからの実行可能(EXE)ファイルのダウンロード
Link (LNK) File Download Containing a WebDAV UNC Hyperlink	WebDAV UNC ハイパーリンクを含むリンク (LNK) ファイルのダウンロード
Remote Registry Management Using Reg Utility	Regユーティリティによるリモートレジストリ管理
File Creation Date Changed to Another Year	ファイルの作成日が別の年に変更される
Zeek DCE-RPC MITRE BZAR Execution	Zeek DCE-RPC MITRE BZAR の実行
Components of a Robust Detection	堅牢な検知の構成要素
Accurate Detection	正確な検知
Accurate vs. Resistance	正確さと耐性
Bringing It All Together Through Robust Detection	ロバスト検知ですべてをまとめる
How to Build a Robust Detection	ロバスト検知の構築方法
Identify All “Spanning Sets” of Observables for Malicious Behavior	悪意のある行動に関するすべての「スパニングセット」を識別する。
Select Spanning Set(s) Most Specific to the Malicious Behavior	悪意のある行動に最も特異的なスパニングセットを選択する
Add Exclusions for False Positive Reduction	誤検出を減らすために除外項目を追加する
Incorporate into Fused Analytic Frameworks	融合分析枠組みに組み込む
Detection Decomposition Diagram (D3)	検知分解図（D3）
What Is D3?	D3とは何か？
Our Inspiration: Capability Abstraction	私たちのインスピレーション 能力の抽象化
T1003.001: OS Credential Dumping LSASS Memory	T1003.001: OSクレデンシャルダンプLSASSメモリ
T1053.005: Scheduled Tasks	T1053.005: スケジュールされたタスク
T1110.001: Brute Force: Password Guessing	T1110.001: ブルートフォース： パスワード推測
Future Work	今後の課題
Acknowledgements	謝辞
Changelog	変更履歴
Summiting the Pyramid 2.0	ピラミッドの頂上2.0

 

GitHub

・Summiting the Pyramid