セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

MITRE D3FEND Matrix について簡単にまとめてみた!

最近、いくつか新しいフレームワークが登場しており、その概要をまとめました。

D3FEND Matrix

MITRE社より、新しいフレームワーク D3FEND Matrix が登場しました。 

d3fend.mitre.org

MITRE社のフレームワークといえば、MITRE ATT&CK MatrixActive Defense Matrix(MTIRE SHIELD)が有名ですが、D3FEND Matrixは、NSAが研究資金を提供し、MITREが開発したフレームワークです。

www.nsa.gov

このフレームワークでは、一般的な攻撃手法への対抗モデルを提供し、防御手法が攻撃者の攻撃能力にどのように影響するか、記述されています。

f:id:security_consultant:20210624210624p:plain

 ここでは、少し構成を見ていきましょう。

D3FENDフレームワークは、大きく5種類のTacticsで構成され、その下にサブ項目(Sub-Tactics)、そして各Defense Techniquesが紹介されています。この構成は、MITRE ATT&CKともほぼ同様です。

Tactics & Sub-Tactics

それでは、まずDefense Tacticsの外観についてみていきましょう。

Tactics : Harden(ハードニング・堅牢化)

ハードニングとは、コンピュータネットワークを悪用する際、その実現コストを増加させることを意味します。一般的には、システムが稼働する前の予防的活動として位置づけられます。

Application Hardening

アプリケーションの堅牢化

アプリケーションの堅牢化は、実行ファイルに新しい攻撃コードを挿入したり、望ましくない既存コードを実行したりする、一連の攻撃に対する耐性を高める措置。

Application Hardening

クレデンシャルの堅牢化

クレデンシャルの堅牢化は、システム・ネットワーク・ドメインのクレデンシャルを保護するために、システムやネットワークのプロパティを変更する措置。

Message Hardening

メッセージの堅牢化

 電子メール・メッセージングの堅牢化とは、ユーザーからユーザーへのメッセージの機密性と完全性を確保する措置。
Platform Hardening BIOS・TPM・カーネルソフトウェアなどプラットフォームを悪用されづらくする措置。
Tactics : Detect(検知)

検知とは、攻撃グループがコンピュータネットワーク上へ不正アクセスすることを特定する活動を意味します。

File Analysis ファイルの状態に関する分析
Identifier Analysis IPアドレス、URL、ドメインなどの分析
Message Analysis チャット・メールの分析
Network Traffic Analysis ネットワーク通信分析 
Platform Monitoring  OS、ハードウェアなどの監視
Process Analysis 実行中プロセスの監視
User Behavior Analysis ユーザの振る舞い・パターンの分析
Tactics : Isolate(隔離)

隔離とは、システムに論理的・物理的なバリアを設け、攻撃グループがさらなるアクセスを行う機会を減らす対策です。 

Execution Isolation

実行分離

アプリケーションプロセスが、メモリ、デバイス、ファイルなどの不要なシステムリソースへのアクセスを防ぐ技術

Network Isolation

ネットワーク分離

ネットワークホストが必要のないシステムのネットワークリソースにアクセスすることを防ぐ技術
Tactics : Deceive(欺瞞)

欺瞞とは、システムに論理的・物理的なバリアを設け、攻撃グループがさらなるアクセスを行う機会を減らす対策です。 

Decoy Environment

デコイ環境

攻撃者を欺くためのホストやネットワークで構成された環境

例)ハニーポット

Decoy Object

デコイオブジェクト

攻撃者を欺く目的で作成・展開されるオブジェクト

例)デコイのユーザ認証情報

 Tactics : Evict(排除)

排除とは、コンピュータネットワークから敵を排除する対策です。

Credential Eviction

認証情報の変更

コンピュータネットワークから攻撃グループに奪取されたクレデンシャルを削除・無効化すること

 

Process Eviction

プロセスの停止

起動しているプロセスの停止・排除

 

このように、防御側が考慮すべき戦略が体系的に整理され、使いやすい形で整理されています。

Defense Techniques

各Defense Techniquesの構成については、まだ記述がぶれているのが現状ですが、主に以下が書かれています。

  • 定義(Definition)
  • 活用方法(How it works)
  • 考慮事項(Consideration)
  • 実装(Implementation)
  • デジタル・アーティファクト・リレーションシップ(Digital Artifcat Relationship)
  • 関係するATT&CK テクニック(Related ATT&CK Techniques)
  • 参考文献(Reference)

Digital Artifact Ontology & Knowledge Graph

このプロジェクトが面白いポイントとして、DAO(Digital Artifact Ontology)が挙げられます。

デジタルアーティファクト(DO)とは、攻撃側・防御側が興味を持ったオブジェクト*1のことで、ユーザ、プロセス、ファイル、ソフトウェア、ネットワークトラフィックなどが該当します。そして、その関係性を示したのが、DAO(Digital Artifact Ontology)です。

このモデルの取り組みは、各Digital Artifactに対して、攻撃モデル(MITRE ATT&CK)と防御モデル(D3FEND Matrix)のTechniquesの関係性を示そうとしている点です。これについては、まだ発展途上のモデルですが、今後も注目すべきモデルの特徴となるでしょう。

f:id:security_consultant:20210624220004p:plain

MITRE SHIELD

今回紹介したD3FEND Matrixと類似したフレームワークとして、Active Defense Matrix(MTIRE SHIELD)が挙げられます。

shield.mitre.org

D3FEND Matrixはより一般的な防御手法に焦点を当てている一方、Active Defense Matrixはより能動的な防御を意味します。

 過去より度々参照している『The Sliding Scale of Cyber Security』によれば、Active Defenseとは「アナリストがネットワーク内部の脅威を監視し、それに対応し、そこから学び、その知識を応用するプロセス」と定義されています。つまり、内部の脅威を監視・対応するためのプロセスが整理されていることになります。両方のフレームワークを見た限り、現時点での完成度はActive Defense Matrixの方が高いと思いますが、NSAが資金をだして開発したD3FEND Matrixも注目しておくべきでしょう。

Active Deense Matrix(MITRE Shield)については、以下のブログがよく整理されています。

blog.macnica.net

RE&CT

D3FEND Matrixを紹介したついでに、RE&CTフレームワークも紹介しておきましょう。

これは、MITRE ATT&CKにインスパイアされて作成されたフレームワークで、インシデントレスポンスについてまとめたテクニックです。SANS Incident Response 6 Step(事前準備 → 特定 → 封じ込め → 根絶 → 復旧 → 教訓)に沿って説明されています。まだ開発途中のフレームワークですが、インシデントレスポンスの体系を整理する上では有益なフレームワークです。

atc-project.github.io

さらに、ATT&CK® Navigatorと同様に、RE&CT Navigatorも用意されています。

f:id:security_consultant:20210624222946p:plain

 

まとめ

セキュリティの攻撃手法・防御手法を語るうえで、MITRE ATT&CKは欠かせませんが、それに付随するフレームワークも登場しています。こうした情報を活用することで、内部の説明や整理がよりやりやすくなる可能性もある為、必要に応じてご活用ください。

 

Internet Week 2020で講演してきました!!

Internet Week 2020で『C12:脅威インテリジェンスの実践的活用法』というタイトルで講演をしてきましたので、講演資料を公開します。

過去実施した金融ISACの講演をベースとしながら、最近様々研究を進めているBAS(Breach & Attack Simulation)についても解説を行いました。

www2.slideshare.net

翻訳本『初めてのマルウェア解析』が12月15日に発売されます!

翻訳本『初めてのマルウェア解析~Windowsマルウェアを解析するための概念、ツール、テクニックを探る ~』(オライリージャパン)の発売日が12月15日に決定しました!!

 本書は、 Cisco Systems社のエンジニア Monnappa K A氏の著書『Learning Malware Analysis』の翻訳本です。私が翻訳を担当し、北原さん、中津留さんに技術監修をご担当いただきました。

マルウェア解析の技術書としては、非常に平易かつ体系的に書かれており、これからマルウェア解析を学ぶ方にも、マルウェア解析の知識を再確認したい方にもオススメの一冊です。 翻訳者としてのオススメポイントの点を紹介していきます。

  • 著者がすごい!!
  • マルウェア解析を体系的に学習できる!
    • マルウェア解析に必要な基礎技術の理解に非常に重点を置いており、表層解析、動的解析、静的解析(IDA Pro・x64dbgの使い方)、メモリ解析など必要な技術を網羅的かつ丁寧に解説しています。特に、マルウェア解析を基礎から丁寧に解説している日本語書籍は少ないため、本書を読むことでマルウェア解析に必要な基礎技術を習得することができると思います。
    • 特に初めてマルウェア解析に挑戦される方々にとっては、細かいテクニックよりもまずは体系的なアプローチを学ぶことが重要だと思います。その点でも、本書は基礎を重視して書かれています。
    • 実際、原書はAmazonでも高い評価を受けています。
  • 最新の動向が丁寧に解説されている!
    • マルウェアの最新動向と分析手法について丁寧に解説されています。これにより、新しい動向についてもキャッチアップできると思います。

良い書籍なので、ぜひ書店やAmazonで手に取っていただけると嬉しいです。

『脅威インテリジェンスの教科書』を公開しました!

2015年頃に脅威インテリジェンスという概念に出会ってから、色々調べて、講演・ブログで調査結果や自分の考えを公開してきましたが、一度その内容を体系的な資料として整理したいと考え、『脅威インテリジェンスの教科書』という形で執筆・整理したので、公開します。

www.slideshare.net

 

先日公開した金融ISACの講演では、時間制約上、概要しかお話しできませんでした。それぞれの内容について、より詳細が知りたいという方は上記資料をご覧ください。

www.scientia-security.org

なにかのご参考になれば幸いです。

金融ISACの講演を公開しました!

先日オンラインで開催された『金融ISAC アニュアルカンファレンス 2020』において、『2019年度金融ISACアワード(個人賞)』を頂戴しました。ありがとうございます!!

 受賞に伴い、アワード受賞記念講演として、『Intelligence Driven Securityの<ことはじめ>』と題して、脅威インテリジェンスの活用についてお話させていただきました。金融ISACはクローズドなカンファレンスのため、講演は会員企業に限定されますが、資料の共有について、金融ISACと会社の許可が下りましたので公開します。

www.slideshare.net

今回の講演では、これから脅威インテリジェンスの活用を開始する金融機関を想定し、脅威インテリジェンスの分類や、活用手法などについてお話しさせていただきました。既に脅威インテリジェンスの活用に取り組まれている企業にとっては、基本的な内容かもしれませんが、ご参考になれば幸いです。