メインコンテンツへスキップ

H-ISAC コラボレーションと MITRE ATT&CK モデル


ヘルスケアやその他の分野での積極的なサイバー防御のための分析の活用

 

さまざまな ISAC がサイバー脅威の増加に対する防御を強化し続ける中、MITRE はサイバー脅威インテリジェンスの追跡に革命をもたらしました。MITRE ATT&CK モデルは、今日のハイテク サイバー犯罪者が使用する敵対的戦術に関する世界的に認められた知識ベースとなっています。

このフレームワークはサイバー脅威インテリジェンス収集の優れた出発点ですが、サイバー犯罪者は常に新しい戦術を開発しているため、決して完全ではありません。このフレームワークの将来と、さまざまな情報共有分析センター (ISAC) にとっての価値は、継続的な改善に向けた協力的なアプローチに完全に依存しています。ファイザーのセキュリティ ソリューション担当シニア ディレクター、ウィリアム バーンズ氏は最近、「私たちは皆、この状況に一緒にいます」と述べました。

 

ATT&CK モデルはどのように機能しますか?

ATT&CK フレームワークは、敵対的戦術、テクニック、共通知識に関する情報を提供します。これが頭字語の由来です。このマトリックスは、より安全な世界のために問題を解決することに誇りを持つ非営利団体 MITRE Corporation の発案によるものです。連邦政府の資金提供を受けた同社のデータ センターは世界中からアクセス可能で、サイバー セキュリティを含むさまざまなデータ主導の研究活動を行っています。

2013 年に開始された ATT&CK ナレッジ ベースには、現代のサイバー攻撃者が使用する一般的な戦術とテクニックが記録されています。このモデルの作成の原動力となったのは、個々の戦術を特定の時点で理解するのではなく、攻撃者の行動を理解する必要性でした。サイバー犯罪者の活動には方法があり、彼らを阻止する鍵は、彼らの次の動きを正確に予測することです。

ATT&CK モデルの構成要素は、戦術とテクニックに分類できます。戦術は、敵が特定の行動を選択する「理由」を表します。テクニックは、敵が戦術的目標を達成しようとする「方法」を表します。この 2 つを組み合わせることで、サイバー犯罪者が取る可能性のある行動、つまり次のステップを明らかにすることができます。

ATT&CK マトリックスは、これらの戦術とテクニックを視覚的に表現したものです。戦術の例には、持続、横方向の移動、検出などがあります。これらの戦術とその他の多くの戦術について、マトリックスはそれぞれに使用できる可能性のあるテクニックを特定します。たとえば、横方向の移動には、ログオン スクリプトやリモート ファイル コピーなど、17 種類のテクニックが特定されています。

 

ATT&CKモデルが組織にもたらすメリット

ATT&CK モデルからの情報を活用することで、組織はサイバー防御を積極的に構築し始めることができます。境界防御に対して特定の戦術が使用されていることを検出した場合、マトリックスを使用して、敵の潜在的な手法や次のステップに対する防御を準備できます。

ATT&CK モデルの最大のメリットは、プロアクティブであることです。デジタル時代のすべての組織は、何らかの形のサイバーセキュリティ ソフトウェアとソリューションを使用しています。それらはさまざまなレベルの防御態勢を提供し、少なくとも基本的なレベルの保護を提供します。しかし、侵入が成功する可能性は差し迫っています。

組織がデジタル資産をうまく保護するには、敵の一歩先を行くために常に警戒を怠らないようにする必要があります。ウィリアム・バーンズ氏によると、主な課題は悪意のある活動が多岐にわたることです。さらに、金融サービス業界とヘルスケア業界はどちらも最大の組織であり、そのため敵にとって標的になりやすい環境となっているという事実も挙げています。「金融サービスは最大の ISAC ですが、ヘルスケアはステークホルダーの点ではるかに大きな大規模コミュニティを表しています。」

 

コラボレーションが鍵

最近の H-ISAC 春季サミットでは、中心となるテーマがはっきりと示されました。サイバー攻撃者の脅威と戦うために協力することが、医療業界だけでなく、すべての業界にとって最善の道であるということです。

ここで、MITRE ATT&CK モデルと H-ISAC (Health Information Sharing and Analysis Center) が最も大きな進歩を遂げることができます。モデル自体は、関連する技術を使用して戦術を識別するためのフレームワークを提供します。ただし、その価値は、現在保有している情報によって決まります。H-ISAC のメンバー組織が経験を共有することで、MITRE ナレッジ ベースを最新の脅威で継続的に更新できます。

バーンズ氏によると、組織は現在、クラウドソーシングが可能な一貫したプラットフォームを持っています。つまり、すべての組織が各組織の経験から恩恵を受けることができるということです。その結果、組織は敵に先んじる積極的なセキュリティ対策を構築し続けることができます。

 

開示の影響は何か

もちろん、このように情報をオープンに共有することで、懸念も生じます。市場における信用を傷つけるため、侵害を受けた可能性があるという事実を共有することに消極的な組織もあります。また、他の組織がこの情報を競合他社に対して利用しようと誘惑されるのではないかと懸念する組織もあります。

バーンズ氏によると、H-ISAC はメンバー企業との秘密保持契約を通じてこの問題に正面から取り組んでいます。これらの NDA は、不適切な情報が一般に漏洩する懸念を軽減するのに役立ちます。

バーンズ氏は、情報の共有は必ずしも実際の侵害事件に関するものではないとも指摘した。H-ISAC が MITRE と連携することで、共有される情報は疑わしい活動や悪意のある活動の特定に関するものになる。目的は、侵害を受けた人を非難することではなく、新しい戦術や手法を特定し、それをコミュニティのメンバーと共有して全員の利益にすることだ。

 

ベンダーの関与のメリットとデメリット

協力コミュニティが拡大するにつれ、サイバーセキュリティ ベンダーも参加するようになっています。これらのベンダーを参加させることの利点は、彼らが敵の戦術や技術に精通しており、H-ISAC のメンバー組織に最前線の視点を提供できることです。

バーンズ氏によると、各ベンダーは幅広い戦術や技術に対応できる可能性が高いものの、特定の分野に特化している傾向もあるとのことです。幅広いベンダーを参加させることで、H-ISAC メンバーと MITRE ATT&CK モデルは、それぞれの視点からメリットを得ることができます。

 

未来は明るい

現代のデジタル時代に存在するあらゆる課題にもかかわらず、バーンズ氏は楽観的です。H-ISAC 春季サミットから得た最大の収穫の 1 つは、この H-ISAC サイバーセキュリティ分析ワーキング グループが素晴らしい成果を達成できるという新たな信念です。

MITRE ATT&CK モデルの継続的な成長と発展は、刺激的な機会です。医療分野全体にわたって組織にプラスの影響を与える可能性は、かつてないほど高まっています。さらに、Barnes 氏は、H-ISAC コミュニティが多様性と包括性を優先していることにも言及しました。

サイバーセキュリティ分析およびその他のワーキンググループの詳細については、 https://h-isac.org/committees-working-groups/.

  • 関連リソースとニュース
グローバルコミュニティでサイバー脅威と戦う
ビッグデータ セキュリティ管理に関するホワイトペーパー