「最も心配すべき攻撃」がデータで見える? フォーティネットとCTIDが挑む「予測型防御」

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「MITREインパクトレポート2024:Threat-Informed Defense(脅威インテリジェンスに基づく防御)の強化」を再編集したものです。

 今日の不安定なサイバー脅威情勢において、明確さは不可欠であると同時に、その実現は困難でもあります。サイバー攻撃の防御側は、容易に順応して潜伏する攻撃者と対峙しています。そして、私たちの環境が安全であるか、あるいは脆弱性を誘発するかは、多くの場合、それらの攻撃者をどれだけ理解できているかにかかっています。

 いかなる組織も単独で攻撃者コミュニティを壊滅することはできないため、サイバー犯罪を阻止するには官民両セクターの協力が重要な要素となります。MITREは5年前、「Threat-Informed Defense(脅威インテリジェンスに基づく防御)の最新技術と標準的手法を世界に広げる」ため、Center for Threat-Informed Defense(CTID)を設立しました。フォーティネットはCTIDの設立直後から同組織と提携し、ほどなくして、最も積極的に貢献する企業の一つとして活動するようになりました。2022年までに、当社は正式なCTIDリサーチパートナーとして認定されました。

 CTIDモデルは、エキスパートを結集してデータ、研究、知識を共有することを目的としています。フォーティネットをはじめとするベンダーは、フレームワーク、ツール、調査結果などの総合的な研究成果を直接取り入れ、お客様を保護するためのより堅牢な製品やプラクティスを構築しています。

 先日、創設5周年を迎えたCTIDは、2024年度版「インパクトレポート」を発行しました。本レポートでは、同組織による40のオープンソース研究プロジェクトの詳細と、それらがサイバーセキュリティコミュニティにどのように貢献しているかが報告されています。以下では、その中から3つのプロジェクトを取り上げ、実環境の可視化、予測的洞察、およびレジリエントな戦略によって、それらのプロジェクトが防御者の備えをどのように強化しているかを解説します。

Sightings Ecosystem:現実世界の脅威を明確化する

 CISOの間では「最も心配すべき攻撃手法はどれか?」という質問がよく聞かれます。

 Sightings Ecosystemプロジェクトは、この質問に答えるために創設されました。防御者はこれまで、「現実世界」で実際に拡散している攻撃を可視化できていなかったため、憶測で優先事項を決定していました。Sightings Ecosystemはそうした状態を根本的に変えるために、現実世界のデータ、すなわち実際に観測された攻撃者の戦術や手法を防御者の意思決定に反映させます。

 2024年3月に発足した同プロジェクトは世界的な観測ネットワークを構築しており、MITRE ATT&CKの手法を検知した組織は、その「観測データ」を未加工のままこのネットワークで自発的に提供します。これらの観測データが匿名化され、コミュニティデータセットに集約されることで、どの攻撃手法が最も普及しているかが明らかになります。こうした取り組みにより、組織や地理的な境界を超えて、現場での知識を実証的な脅威マップに活用することができます。

CTIDのスポンサーであるフォーティネットは、FortiGuard Labsチームの広範な脅威インテリジェンスをこのプロジェクトに提供しました。これらの情報には、198ヵ国で記録された160万件の観測データが含まれ、353種類のMITRE ATT&CK手法が網羅されています。このように膨大で世界的規模のデータ収集によって、同プロジェクトはコミュニティから提出されたデータを分析するための強固な基盤を確立できました。フォーティネットは、Sightings Ecosystemのデータセットを物質的に強化することで、このエコシステムの分析力を向上させました。これにより、CISOはどの部分の防御を最初に強化すべきかを明確に把握できます。

Technique Inference Engine:次の攻撃を予測する

 Sightings Ecosystemがすでに実行されている攻撃に着目するのに対し、Technique Inference Engine(TIE)は攻撃者が次に何を行うかを予測します。2024年後半に発表されたTIEはMLを活用したツールで、過去の観測データに基づいて未知の攻撃手法を推測することを目的としています。簡単に言うと、攻撃者が使用した手法xについて、インシデントレスポンス担当者や脅威ハンターがすでに知っている場合、TIEはその次に出現する可能性のある手法を(それがまだ検知されていなくても)提示します。防御者にとって、この機能はゲームチェンジャーになり得ます。セキュリティチームは戦略的な見通しを立て、統計上、攻撃者が同じキャンペーンで使用する可能性が高い手法を事前に監視し、減災することが可能になるからです。攻撃者の次の行動を予測することで、防御者はセキュリティギャップを素早く解消し、サイバー犯罪者の先手を打つことができます。

 攻撃者の行動を予測できるようにAIを訓練するには、膨大かつ多様なトレーニングデータセットが必要です。この点においても、フォーティネットのグローバルな脅威インテリジェンスデータセットが極めて有益であることが証明されました。当社は他の主要組織と協力し、MLモデルに学習させる大量のCTI(厳選されたサイバー脅威インテリジェンス)レポートと攻撃者に関するデータを提供しました。TIEチームは、これまでのCTIDプロジェクトのデータ(Sightings Ecosystem、MITRE Attack Flow、公共のCTIリポジトリ、パートナーから提供されたインテリジェンスなど)を総合し、現実世界での攻撃について6,200本以上のレポートを作成しました。これらのレポートは、ATT&CK手法全体の96%に対応しています。FortiGuard Labsチームは、実際のインシデントと調査結果に基づいた極めて正確な侵入レポートを作成し、この活動を支援しました。

 こうした優れたデータセットにより、TIEの提言は理論ではなく現実に則したものになりました。MLモデルは、世界中で実際に観測された攻撃者の活動から「学習」しました。TIEのようなプロジェクトは、防御に対する考え方に変化をもたらします。セキュリティチームはアラートへの受動的な対応を見直し、攻撃者の侵入経路を事前に予測する態勢を整えるようになります。

Summiting the Pyramid:回避への対策を強化する

 攻撃の規模を拡大し技術を向上させるために、脅威アクターはこれまで以上に多くのツールを自由に使うことができます。したがって、防御者はあらゆる段階で攻撃を実行しにくくする必要があります。Pyramid of Painの概念は、「IPアドレスやハッシュといった下位の指標を切り替えるよりも、自身の戦術や手法を変更する方が、攻撃者にとって痛手が大きい」という発想に基づいています。CTIDのSummiting the Pyramid(STP)プロジェクトには、この考え方が直接反映されています。

 2023年に発足し、2024年に改定されたSTPは、Pyramid of Painに対する検知分析を採点し改善するために開発されたものです。要するに、STPは防御者にとって、検知機能の堅牢性を評価する手段となります。チームの主な監視対象は、変更が容易な情報(ピラミッドの最下層)ですか? それとも変更が困難な行動や最上層のTTPですか? STPプロジェクトは検知担当のエンジニアを支援し、攻撃者の回避術に対抗できる分析手法を確立できるようにします。つまり、たとえツールやマルウェアを進化させたとしても、攻撃者は「アラームを作動させてしまいます。」なぜなら、検知ロジックは基本的な動作に注目しているからです。

 フォーティネットはサイバーセキュリティ業界の著名な組織と協力し、このフレームワークが企業の防御担当者のニーズを十分に満たすことができるよう、STPの活動に専門知識を提供しました。各企業は、検知における課題や回避術の傾向に対する総体的な意見を提示しました。FortiGuard Labsチームは、匿名化された検知分析や攻撃者のケーススタディを共有し、STPの手法をテストしました。

 フォーティネット独自の検知コンテンツをピラミッドスコアで評価することで、チームはその手法が現実世界のデータに適合しているかどうかを検証できました。これにより、採点基準と推奨事項がさらに細かく調整されました。最終的に、Summiting the Pyramidは、分析を回避されにくくするための手法とヒントをまとめたフレームワークを発表しました。

脅威インテリジェンス時代におけるパートナーシップの真価

 上記のCTIDの活動は、組織が団結してイノベーションを進めた場合、官民連携がどのような効果を発揮するかを示す好例です。例えば、STPのように堅牢な分析モデルを単独で作成することはできません。どの組織も、必要なデータとリソースをすべて保有しているわけではないからです。知識を共有すれば、あらゆる防御が強化されます。

 防御者である私たちは、セキュリティツールを導入して運用すると共に、エコシステムに貢献し、脅威インテリジェンスに基づく防御への取り組みを組織内で推進する必要があります。すべてのダッシュボードにSightings Ecosystemのデータを表示し、すべてのプレイブックをTIEの予測によって補強し、すべての検知ルールをSTPで評価することで、より安全な社会に1歩近づくことができます。

■関連サイト

Fortinet トップへ