警報は2時17分に消える。 あなたは、あなたがしていることを落とし、コンソールを開いて掘り起こし始めます。 Oh, a significant spike in outbound traffic from a Kubernetes node. A privileged service account authenticating from an unfamiliar IP. Hmm, some DNS requests look... strange, but not that strange. You pivot through dashboards, trace the source in your SIEM, check cloud logs, query identity data, and even pull container logs. 何一つ確定的なものではありません. 確認された侵害はありません. 明確なストーリーはありません。 それは間違ったワークロードだったか? 開発者が展開スクリプトをテストしたか? 正当な自動化の仕事か、あるいはすでに内部にいる誰かの側面の動きの最初のステップだったか? 指標は、あなたが進捗中の攻撃か、あるいは騒音の海で別の偽ポジティブを捕まえたかどうかを特定できないまで混乱します。 20分後、あなたは最後の「モニタリング」と同じノートでチケットを閉じます。 それを毎日50回行うことを想像してください。バックロッグは、脅威が有効な認証を用いてネットワークを移動し、正当なアクティビティと混合し、曖昧な痕跡を残すにつれて増加します。多くのセキュリティチームは厳しい現実に直面しています:伝統的な検出システムは、署名エクスペリット、異常、およびドキュメンタリー化された指標などの既知の脅威を捕獲します。 セキュリティは、悪いことを止めることだけではなく、悪いことが実際にどのように起こるかを理解することです。 数年間の現実世界の脅威の研究に基づいて構築されたフレームワークは、敵がどのように動作し、側面に移動し、システムを一歩一歩利用するかについての生きた地図を提供します。 トップ > AT&CK この記事では、MITRE ATT&CK が脅威検出を反応型からプロアクティブに移行する方法、近代的な分析プラットフォームがこれをどのようにサポートするか、適応型検出論理を開発するための最良の実践を共有する方法を説明します。 ATT&CK Frameworkについて ほとんどのセキュリティフレームワークは、事実の後に何が間違ったかから始まります MITRE ATT&CK は、事態がどのようにまず間違っているかから始まります。 非営利団体によって開発 で、 (Adversarial Tactics, Techniques, and Common Knowledge) は、現実世界の攻撃者行動の生きた知識ベースです。 敵が侵入のさまざまな段階で使用する戦術(なぜ)と技術(どのように)をマップします。 MITRE 株式会社 ATT&CK ATT&CK マトリックス マルウェアの署名や静的指標に焦点を当てるのではなく、観察可能な行動、アクセスを得る、特権の拡大、側面の動き、またはデータのエクフィルタリングなどの攻撃者戦術を強調します。 例えば、この枠組みは、どのように 複数のスパイ操作に結びつく脅威グループで、通常のネットワークトラフィックに混ざるために正当な認証情報を頻繁に濫用する。 APT29(Cozy Bear) この行動モデルは、セキュリティとエンジニアリングチームが共通の言語を話すのに役立ちます。PowerShellコマンドを調査するSOCアナリストは、それをT1059.001(コマンドとスクリプトの解釈者:PowerShell)としてタグ化する場合がありますが、IAMログをレビューするクラウドエンジニアはT1078(有効アカウント)を参照できます。 ATT&CKの強みは、最新の脅威情報、観測、コミュニティ・インポートを組み込んで、現在の攻撃者の行動を反映することにある。 リアルワールド ATT&CK 今日、すべての主要なセキュリティプラットフォームは「MITRE ATT&CK統合」を主張しています: Splunk、Microsoft Sentinel、Palo Alto Networks、Sumo Logic、Check Point. 彼らはすべて、ATT&CKの戦術と技術に検出をマッピングするダッシュボードを提供しています。 しかし、すべてのダッシュボードは平等ではありません。 いくつかは表面レベル、カラーコードされたマトリックスだけを提供しますが、印象的ですが、あなたの環境で検出可能なものを示しません。 他の人は、データソースを1つまたは2つだけ表示し、可視性のギャップを残します。 現実世界の戦術とのカバーを比較するのに役立ちます。 それが現代の分析プラットフォームが役立 この記事では、Sumo Logic を使用します。 検出を ATT&CK テクノロジーにマッピングするのに使用できるツールの種類の例として、単に ATT&CK マトリックスを表示するのではなく、実際の検出規則とそれらがマッピングするテクノロジー間の点を接続します。 脅威探査機 ATT&Ckと適切なツールを組み合わせると、あなたは: 
 
 
 
 
 実際に検出できるATT&CKテクニックを見る ベンダーのデフォルトに頼るのではなく、検出を評価し、関連するATT&CK TTPにマッピングできます。 ギャップ分析とピアの比較を実行します. 技術レベルとテクノロジーレベルの両方で業界のピアとのカバーを比較できます. あなたの検出は認証アクセス(TA0006)で強力ですが、側面の動き(TA0008)で弱いですか? あなたはすぐにそれを見ることができます。 検出エンジニアは、特定の ATT&CK ID を T1055 for Process Injection または T1552.001 for Unsecured Credentials in Files などのプロセスインジェクション用にコラレレーション ルールをラベル化し、コンテンツ ライブラリが自動的にフレームワークにマッピングできるようにします。 視覚的なカバーを一目で見る. あなたは、どのテクニックが完全に、部分的に、またはカバーされていないかを示すホットマップを見ることができます. あなたは、戦術的概要からルール、イベント、およびデータソースに掘り下げることができます. それはダッシュボード以上のもの — それはあなたの検出成熟度の操作可能なビューです。 このアプローチは、ATT&CKを理論的なフレームワークからライブ操作マップに変換します。ログが認証誤用(T1078)をキャプチャするが、スケジュールされたタスク(T1053)などの持続メカニズムを逃すというシナリオを想像してください。攻撃者がそれを利用する前に、その盲点を暴露します。そして、ルールやコンテンツが進化するにつれてダイナミックに更新するので、一度の評価ではなく継続的な検出エンジニアリングワークフローの一部になります。同じように、DevOpsチームはシステムの健康を測定するための観測性メトリックに頼り、現代のSecOpsチームは検出の健康を測定することができます。 ATT&CK for a Better SecOps を使用する MITRE ATT&CKの真の強みは、その分類学にはない。その核心として、ATT&CKの分類学は、敵対行動のスケジュールである。それぞれの戦術は攻撃者のワークフローの段階のようなものであり、それぞれのテクニックはそのステップの具体的な実施を説明するものである。 多くの組織は日々警告を追いかけることに費やします。あらゆる検出は、より大きな物語の段階ではなく、孤立した出来事として扱われます。AT&CKはその考え方を変えます。活動を既知の敵対戦術と技術にマッピングすることで、チームは攻撃者のように考え始め、それによって次の警告を待つ代わりに次に起こることを予測します。 適切なツールと組み合わせると、この考え方は実行可能になります。あなたは仮説をテストすることができます(「攻撃者がフィッシングを通じて初期アクセスを獲得した場合、私たちは彼らの側面の動きを見ることができますか?」)、検出の論理を検証し、時間とともに改善を継続的に測定します。 ATT&CKは敵と同様に進化するので、あなたの検出論理も成長することができます 新しいテクニックがフレームワークに現れ、彼らは野外で観察され、エンジニアはコラレレーションのルール、ダッシュボード、および自動化のプレイブックをアップデートし、これらの戦術が生産環境に現れる前に頭を向けることができます。 プロアクティブなセキュリティはプロセスであって、安定した状態ではありません。ATT&CKがあなたの青図であり、正しいツールがあなたのレンズであることによって、チームは警告への反応から攻撃者の行動を予測することに移行することができます。 MITRE ATT&CK is Your Blueprint トップページ セキュリティは、より高い壁を構築するのではなく、攻撃者がどのように移動するかを理解することです 午後2時17分に警告火災が発生する次回は、「モニタリング」で終わる必要はありません MITRE ATT&CK フレームワークは、実際の敵がどのように考え、行動するかに基づいて機能します。 MITRE ATT&CK があなたのプロジェクトであり、正しいツールがあなたのレンズであることによって、同じシグナルがコンテキストではなく混沌となります。あなたはどのような行動が重要か、あなたの防御がどこにあるか、そして攻撃者が適応する前にそれらを強化する方法を知ります。一緒に、彼らは反応型ノイズ管理からセキュリティを継続的な学習と積極的な防御のサイクルに変換します。 本当に素晴らしい一日を!

This story contains new, firsthand information uncovered by the writer.

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

2022 - HackerNoon Contributor of the Year - Cloud Computing

2022 - HackerNoon Contributor of the Year - Design

2022 - HackerNoon Contributor of the Year - Heroku

2022 - HackerNoon Contributor of the Year - Javascript

2022 - HackerNoon Contributor of the Year - Salesforce

2022 - Hackernoons Tech Storyteller of the Year

I ♥ writing code. Find me on GitLab.

Nominated for 2022 - HackerNoon Contributor of the Year - Javascript

Nominated for 2022 - Hackernoons Tech Storyteller of the Year

Nominated for 2022 - HackerNoon Contributor of the Year - Cloud Computing

Nominated for 2022 - HackerNoon Contributor of the Year - Heroku

Nominated for 2022 - HackerNoon Contributor of the Year - Design

Nominated for 2022 - HackerNoon Contributor of the Year - Salesforce

このオーディオは、ストーリーの元の言語で制作されています。

MITRE ATT&CK Frameworkが実際に機能する理由

About Author

コメント

ラベル

この記事は

Related Stories

Telegram: クリプト島と本土を結ぶ橋

AI/ML データレイクのリファレンスアーキテクチャを構築するためのアーキテクトガイド

フォーラムからフィードへ: ソーシャルメディアアルゴリズムがデジタルインタラクションを形作る仕組み

フロキのヴァルハラがインドのスリランカツアーのアソシエイトスポンサーに加わる

Telegram: クリプト島と本土を結ぶ橋

AI/ML データレイクのリファレンスアーキテクチャを構築するためのアーキテクトガイド

フォーラムからフィードへ: ソーシャルメディアアルゴリズムがデジタルインタラクションを形作る仕組み

フロキのヴァルハラがインドのスリランカツアーのアソシエイトスポンサーに加わる

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps