- ATT&CK 評価の概要と企業にとっての意味
- 攻撃を実行するためにTurlaが採用した戦術、技術、手順(TTPs)
- Deep InstinctのプラットフォームがTurlaの攻撃を防ぎ、組織を保護する方法
エンタープライズ向けのMITRE Engenuity の最新評価の内容を細かく解説
開催日時:10月4日午後2時(東部標準時間)/午前11時(東部標準時間)
概要:「MITRE ATT&CK Evaluations on Enterprise」に参加した本社研究開発チームのメンバーからMITRE ATT&CK Evaluationsの真髄と、テスト実施方法の詳細を含む結果についての解釈方法についてご説明します。
背景:MITRE Engenuity ATT&CK 評価とは
MITRE ATT&CK フレームワークは、組織が徹底的な防御戦略を計画し、理解するための優れたツールです。 戦術、技術、手順(TTPs)の適用範囲をマッピングし、どこにギャップがあるかを理解することは、サイバー脅威から組織を保護する上で重要です。
MITRE Engenuity の ATT&CK 評価結果がついに発表
MITRE Engenuity は本9月21日未明、最新の エンタープライズ向け ATT&CK 評価の結果 を発表しました。この評価では、ロシアを拠点とし、45 カ国以上の被害者を出している巧妙な脅威グループ Turla による、複雑かつ多段階の、インパクトに重点を置いた攻撃に焦点を当てました。このグループは、政府機関、外交団、軍事団体、研究機関、報道機関を標的としていることが知られています。適切なツールと能力がなければ、Turlaに対する防御は野生の熊と格闘するようなものです。というのも、Turlaはオープンソースや社内で開発されたツールを駆使し、独自のコマンド・アンド・コントロール・ネットワークを駆使するなど、斬新で洗練されたテクニックを駆使して作戦活動を確実なものとしているからです。
これまでMITRE EngenuityのATT&CK評価では、感染後の検知と対応の評価に重点を置いていました。このアプローチは、攻撃がエンドポイントで実行された後に侵害を阻止するために異常な動作を探す、過去10年間の「侵害を前提とした」リアクティブな考え方と密接に結びついていました。2020年以降、MITRE Engenuityは、侵害の詳細とロールバックを提供するだけでなく、攻撃を防止するソリューションの能力を評価することを目的とした防御パートをテストに追加しました。
これは、脅威を寄せ付けないDeep Instinctの予測的防御と、侵害が発生した後に検知と対応のみを可能にするEDRとの根本的な違いです。 EDRを使用していてもDeep Instinctが必要な理由については、こちらをご覧ください。
2023年第2四半期から第3四半期にかけて実施されたこの最新のテストでは、防御分野のテスト結果において、Deep Instinctの多層的でプロアクティブな予測型防御の強度と堅牢性が検証され、当社の顧客が日々実感している価値が浮き彫りになりました。また、Deep Instinctは、エミュレートされたさまざまな実行、永続性、および影響技術にわたって模範的な検出カバレッジを達成しました。これらは、まさにプロアクティブな防御ソリューションとして期待される結果です。
Deep InstinctのMITRE Engenuity参加から得られた4つの重要なポイント:
- Deep Instinctは、テストされた18の攻撃ステップすべてに対して優れた防御、検知、可視性を提供しました
- Deep Instinctの防御エンジンと検出エンジンは、実行、永続性、特権の昇格、横方向への移動などを含む、テストに含まれるすべての手法に対して優れた検出範囲と可視性を達成しました
- Deep Instinctの検知エンジンは、2022年のMITREの評価と比較して90%の検知率(70%から上昇)と飛躍的に向上しました
- D-brain静的解析(Deep Instinctの特許取得済みディープラーニング技術エンジン)によって阻止されたテストでは、ファイルをディスクに書き込むことに成功しておらず、AIに基づく当社の優れた感染を阻止する能力が強調されています
予防の重要性
予防は、検出と対応による下流への影響への依存を減らしながら、カバー範囲に存在するギャップを埋めることによって、全体的なセキュリティの体制に非常に良い影響を与えます。予防を強化することで、セキュリティ・コストを削減し、効率を向上させ、全体的なリスクを低減することができるからです。そうすれば、セキュリティ・チームは、重要なアラートに集中する時間を増やし、誤検知アラートを追う時間を減らすことができます。MITREは、この現実を認識して防御テストシナリオを追加しました。
IDCリサーチ部門セキュリティ&トラスト担当バイスプレジデント、Michael Suby氏は、「エンドポイントプロテクションは、組織が検知と対応の機能とのより良いバランスを求め、エンドポイントプロテクションの有効性に革新的な飛躍をもたらすベンダー製品に引き寄せられることで、生まれ変わるだろう」と述べています。
MITRE Engenuityのテストは重要ですが、顧客からの評価がすべてを物語ることもあります。
「私は、Deep Instinctを購入する前に、いくつかのトップベンダーのエンジンをテストし、それらすべてをDeep Instinctと比較しました(競合他社はすべて、私のテストの検出フェーズで大敗しました)。Deep Instinctは、Deep Instinctの検出エンジンのリリース日よりもはるかに短い期間で野放しになっていたゼロデイに近い脅威の多くを処理しました。Deep Instinctにとっては、ゼロデイかどうかは関係なかったのです。Deep Instinctはそれらをすべて発見し、実行前の段階で阻止しました。実行前防御は、私の戦略的な目標であり、そのコンセプトの原動力には誤検知ゼロのメンタリティも含まれているため、私の欲しいものリストのトップに躍り出しました。私がテストした他の製品は、ゼロデイ脅威がサンドボックス環境で大混乱を引き起こしている間に、何らかの被害が発生したり、ゼロデイ脅威をまったく検出しなかったりしました」*
まとめ
Deep Instinct は、未知の脅威を未然に防ぐことに優れています。当社の革新的なアプローチにより、企業はランサムウェア、ゼロデイ、その他の既知および未知のマルウェアの99%以上をプロアクティブに防止できます。また、Deep Instinctは誤検知を0.1%未満に抑え、セキュリティチームの負担を軽減し、最先端の脅威を検出する能力を向上させます。また、プロアクティブな予防により、ダウンストリームコストを削減し、SOCの効率を向上させ、全体的なリスクを低減することができます。
私たちは、MITRE Engenuity のテストに参加することに大きな価値を見いだしました。当社のお客様は、Deep Instinctによる真の予防第一のアプローチから利益を得ており、誤検知を減らし、調査と修復を改善することで、セキュリティ専門家のリソース要件を引き下げています。次の未知の脅威が発生した場合、攻撃者を排除し、EDRによる対応を自動化するための最善の予防ソリューションが必要です。このアプローチは、両方の長所を兼ね備えています。
ぜひ予防第一のアプローチが組織のセキュリティ態勢にもたらすプラスの影響をお試しください。こちらからデモをリクエストいただけます。
詳しくは、EDR では不十分な 8つの理由 およびDeep Instinctの最新の Voice of SecOps Report(英語)をご覧ください。
*Gartner Peer Insightsのレビューは、各エンドユーザーの経験に基づく主観的な意見であり、ガートナーまたはその関連会社の見解を示すものではありません。
詳細はこちら(英語のみ)
10月4日(水)午後2時(東部標準時間)/午前11時(東部標準時間)に開催されるウェビナー「MITRE Engenuity's Lates Evaluations for Enterprise」にご登録 いただき、MITREの研究開発チームのメンバーがMITRE ATT&CK Evaluationsの真髄を解説し、テスト実施方法の詳細を含め、結果を解釈する最善の方法を説明します。
MITRE Engenuity ATT&CK® Evaluationsについて
ATT&CK® Evaluationsは、MITREの客観的な洞察と対立のない視点をバックボーンとして構築されています。サイバーセキュリティ・プロバイダーは、自社の製品を改善し、製品の能力と性能に関する洞察を防衛側に提供するために、Evaluationsプログラムを利用しています。評価によって、防御者は、ネットワークを保護する製品の活用方法について、より多くの情報に基づいた意思決定を行うことができます。このプログラムは、プロバイダーとMITREの専門家が協力してATT&CKのコンテキスト内でソリューションを評価する、脅威情報に基づいたパープル・チーミング・アプローチを用いた厳格で透明性の高い手法に従っています。MITRE Engenuityの公益へのコミットメントに基づき、評価結果と脅威エミュレーション計画は自由にアクセスできます。
MITRE Engenuityについて
MITREの子会社であるMITRE Engenuityは、公益のための技術基盤です。MITREのミッション主導型チームは、より安全な世界のための問題解決に専心しています。官民パートナーシップや連邦政府が資金提供する研究開発センターを通じて、政府全体や産業界と協力し、わが国の安全、安定、福祉に対する課題に取り組んでいます。
MITRE Engenuityは、MITREの深い技術的ノウハウとシステム思考を民間部門に提供し、政府だけでは解決できない複雑な課題を解決します。MITRE Engenuity は、より広範な米国連邦政府、学界、民間セクターの研究開発力を触媒として、重要インフラの保護、レジリエントな半導体エコシステムの構築、パンデミック対策への投資、5G におけるユースケース・イノベーションの加速、脅威情報に基づくサイバー防衛の民主化など、国家的・世界的課題に取り組んでいます。