記 事

エフセキュア、MITRE社のATT&CK®評価で再び高い能力を実証

Christine Bejerasco, Vice President, Tactical Defense Unit, F-Secure

2018年、MITRE 社は APT3 の攻撃シナリオに基づき、ATT&CK®フレームワークを活用した EDR 製品の評価を導入しました。 昨年10月、製品評価のラウンド2が実施され、高度な攻撃への検知機能において、エフセキュアの高い能力が実証されました。MITRE社のこれらの製品評価への取組みは、標的型攻撃に対するEDR製品の有効性に関する透明性を提供するものであり、同社の偏りのないテスト方法を高く評価するとともに、製品評価に参加できたことを光栄に思っています。

エフセキュアのチームは、MITRE ATT&CK®評価のラウンド2での優れた結果を発表できることを嬉しく思います。

ラウンド2評価の主な焦点は、APT29(別名Dukes -英語ホワイトペーパー)の攻撃シナリオに対する検知能力の評価です。APT29は、2015年にエフセキュアによって発見されるまで、7年間に渡り攻撃を成功させてスパイ活動を続けた脅威アクターです。当社の「Dukes」研究の成果は、MITRE社のAPT29に関するナレッジベースへの最初の貢献になりました。 この評価ラウンドでは、エフセキュアのEDR製品である、F-Secure Elements EDRと、検知/対応のマネージドサービスの F-Secure Counterceptが対象となりました

MITRE ATT&CK®評価のラウンド2では、以下の点でエフセキュアの高い能力が実証されました。
  • 誤検知を最小限に抑え、実用的な情報を迅速に提供
  • 攻撃の兆候をすべて捉える広範なカバレッジと優れた可視性の提供
  • マネージドサービスの活用で、攻撃のより早い検知能力の向上

前回のラウンド1 同様に、ラウンド2では、各評価製品から提供された収集データ、分析、表示に基づいて、検知カテゴリをテストケースに割り当てることに重点が置かれています。それぞれの結果は、主要な検知カテゴリの1つに割り当てられ、さらにオプションで1つ以上の修飾子に割り当てられます。

Each result is assigned to one of the main detection categories and optionally one or more modifiers.
極めて有効なエフセキュアのテクノロジー

評価結果では、エフセキュアの検知/対応技術が、134種類のテスト手順として使用された58種類のATT&CK®テクニック(手口)に対して、極めて有効であることが示されました。

下のグラフは、評価に参加した他のベンダ20社の中のトップベンダと比較して、エフセキュア製品が優れたカバレッジでAPT29の攻撃シナリオを検知していることを示しています。また、各EDR製品によってされたさまざまな検知タイプの分布と、追加されたマネージドサービスが、検知カバレッジ全体に寄与している割合も可視化されています。

Top vendors by detection coverage across the main detection categories

Figure 1 トップベンダごとの主要な検知カテゴリに対する検知カバレッジ

134種類のテスト結果を合計した検知カバレッジにおいて、エフセキュアは118個のアラートを提供し高得点を獲得しました。10種類の特異性のないふる舞いを捉えた一般検知情報によるテスト、28種類の特定のテクニカル型の詳細情報によるテスト、さらに52個のマネージドサービスの脅威ハンターによる分析を通じたテストに対して瞬時にアラートを発しました。追加の可視性は、28種類のテストをカバーするテレメトリーを通じて提供されました。

尚、このグラフには、評価中に行われた製品構成の変更が考慮されていないため、各ベンダーがエンドユーザに推奨している構成設定が反映されていない場合があります。また、カバレッジ全体へのMSSP(マネージドセキュリティサービスプロバイダ)型カテゴリの貢献を除外すると、一部のベンダーのカバレッジの数値が変わります。

但し、最も優れた検知/対応ソリューションを決定する際に考慮すべき要因は、検知カバレッジだけではありません。一般型(General)、戦術型(Tactical)、テクニカル型(Technique)の検知が多数含まれている場合、見逃される攻撃が少なくなるため、高いスコアが得られやすくなります。 一方、より検知精度の高いデータにアクセスすることができれば、誤検知の可能性の高いデータを振るいに掛けることだけではなく、実際の攻撃である可能性の高いイベントの調査に時間を費やすことができます。

エフセキュアの検知/対応テクノロジーは、異なる重大度レベルの異常イベントに対して特定の検知を行うと共に、インベスティゲータ向けにアラートノイズの抑制を調整します。そして、アラートは、インシデントとしてBroad Context Detection™に集約されます。これらのインシデントはリスクスコアリングシステムに基づいて優先順位が付けられ、より重要なインシデントから最初に対応できるようになります。

標的型攻撃は、常に検知を回避するように設計されているため、キルチェーンの適切な領域で攻撃を検知し、阻止することが不可欠であり、キルチェーンのどの時点でのデータが表示されていないのかを理解することが重要です。攻撃者は、侵入の過程でコードを実行する可能性が高く、複数回実行されることが想定されます。これが、エフセキュアが豊富なテレメトリーセットとコード実行に対する検知能力を確保することに多大な労力を費やしている理由です。また、攻撃者は永続的なルーチンを実行して、狙ったシステム内に長期間にわたり潜伏することがあります。特にコード実行に対して優れたカバレッジと持続力があれば、重要な攻撃者の手口に対する可視性を向上させることができます。また、さまざまな攻撃者間で共通する適正なキルチェーンに焦点を当てることで、標的型攻撃を発見する可能性が高くなります。

最新のMITRE ATT&CK®評価では、検知と対応のマネージドサービスを利用することによる具体的なメリットを紹介しています

マネージドサービスを活用して、検知機能を強化することができれば、攻撃リスクの高い企業であっても価値の高い味方になる可能性があります。MITRE ATT&CK® 評価は、ユースケース/テスト手順単位でのEDR製品の検知能力の評価を目的にしています。一方で、MSSP(マネージドセキュリティサービスプロバイダ)型検知カテゴリを含めることで、脅威の本質を調査・理解するチームの重要性が強調されます。

下のグラフは、134種類の全検知カバレッジの中で、当社のマネージドサービスが52種類のテストに対しての貢献を示しています。当社の「人間と技術」の連携から導き出された能力によって、この結果がもたらされものと確信しています。マネージドサービスが、どのように攻撃を検知し、調査し、最終的に封じ込めるかに焦点を当てたこの例を使用して、その価値をご説明します。

F-Secure’s detection coverage across the main detection categories

Figure 2 エフセキュアの主要な検知カテゴリに対する検知カバレッジ

この評価は、Eメールを受け取ったユーザーが関与しており、添付されていたファイルやリンクをクリックしたことで実行された不審なコードが検知されフラグが付けられました。

正当に見えるファイルやリンクからの予期しないコードの実行自体は、必ずしも悪意のある活動の開始を保証するものではありません。

このケースでは、ユーザが添付されていた .doc(ワード)ファイルを開いたためコードが実行され、この実行によって発生したインタラクティブなセッションがきっかけとなって、当社のエージェントが検知し報告されました。 これが犯罪行為に関連しているのかを判断するためには、専門家による調査が必要です。このケースでは、インベスティゲータが、何かがおかしいことに気づくでしょう。このケースでは難読化させるため、RLO(Right-to-Left Override)手法が使用されていました。この手法が使われる正当な理由はほとんどなかったため、さらに詳しく調査する必要がありました。しかし、これは人間が簡単に排除できる例であり、しっかりとしたルールに従うことで特定できる手口であるため、ルールを規定するだけで、すぐに成果を挙げることができます。

テレメトリーは調査の鍵となりますが、何が起こったかを解明するためには、実際のアーティファクト(マルウエアを始めとするサイバー攻撃で使われるツールや技術)を調べる必要がある場合があります。

一般的には、アーティファクトの収集はインシデント対応の取り組みの一部でしたが、当社の検知/対応チームでは、ほとんどの調査でこれを実行しています。アーティファクトの収集は、当社のエンドポイントエージェントにより簡単に実行することができます。このケースでは、追加のファイル(monkey.png)をダウンロードするcmd(マンドプロンプト)とPowerShellセッションが生成されました。この追加ファイルが別のPowerShellスクリプトを実行しました。monkey.pngファイルを分析することで、ファイルに含まれているスクリプトの機能を理解することができます。この場合、UAC(ユーザーアカウント制御機能)バイパスを作成し、攻撃を促進する高度な整合性プロセスを起動します。

上記のシナリオは水面下で発生したものであり、この評価において明示的に実証されたものではありません。しかしながら、最終的には、当社のCounterceptなどのMDRサービスが特定しているインシデントへの対応は、防御している顧客にとっては大変な負担になります。しかし、実効性の高いMDRは、実際にインシデントが発生していることを確認し、その影響を緩和するために最適な対応手順を開始することができます。

この製品評価は検知カバレッジを検証するだけなので、これらのインシデントを封じ込めて対応する当社の能力を示すことはできませんでした。実際には、これらの攻撃は最初にユーザがコードを実行した直後に阻止されました。これは、アラートによりアーティファクトの調査と分析が行われて、悪意があることが明らかになったためです。当社の脅威ハンターのような経験豊富なインベスティゲータは、疑いを持ち、調査し、必要に応じて対応するのに十分なデータ、コンテキスト、経験を持っています。これがまさに優れたMDRの機能です。知る必要がある時にアラートを提供し、残りのギャップを埋めて理解を深め、適切な対応を実施して、企業が脅威を監視し封じ込めることを支援します。

より広範なコンテクストの組み込み

堅牢なEDRソリューションは、セキュリティチームに必要な可視性を提供するだけでなく、関連性のある検知のみをフラグ付けします。また、高度なサイバー攻撃に対して、広範なコンテキストを提供しノイズを削減し、専門家のワークロードの軽減します。

エフセキュアのアプローチを他のベンダと直接比較することはできません。それは、当社のクラウドネイティブなEDRテクノロジーには、複数の検知結果をインシデントとしてグループ化し、アラートによるチームの疲弊を最小限にするための広範なコンテキストを提供する行動分析機能が搭載されているためです。これは、膨大な件数のイベントデータによって引き起こされる誤検知を除外することにも役立ち、検知と対応アクションのトリアージ(優先順位を判断)の迅速化を実現します。エフセキュアは、すべての検知をMITER ATT&CK®のナレッジベースで使用される関連技術とリンクすることで、ユーザによる調査を支援する共通の分類法を提供しています。

下の図は、それ自体は無害かもしれない未知のプロセスの起動を、広範なコンテキストを使用して検知した例です。広範なコンテキストと関連するエージェントからのイベントデータの組み合わせにより、リスクスコアを上げて、インシデントの見逃しを確実に防止しています。

スピアフィッシングやソーシャルエンジニアリングの結果として、攻撃者が標的となったシステムに侵入し、未知の実行可能ファイルを起動している様子を目にすることができます。 攻撃者は攻撃の証拠を破壊し、次のターゲットに向かって侵入拡大を続けます。

Figure showing an attacker getting into a target system as a result of spear phishing and social engineering a user to launch an unknown executable.

上記の攻撃には、システムから資格情報を窃取する攻撃が含まれています。これは、下に図示しているように、特定のプロセスをクリックしてプロセスビューを開くと表示することができます。この画面は、複数の検知がどのようにBroad Context Detection™に集約され、MITRE評価上で1つ以上の戦術と手法を含む集約されたインシデントとして表示されることを示しています:

Figure demonstrates how multiple detections are aggregated into a single Broad Context Detection™

エフセキュアの製品は、プロセスチェーン、ホスト、またはユーザごとにアラートが集約され、疑わしいイベントとして収集されているため、各アラートを個別に確認する必要はありません。このために開発されたBroad Context Detection™は、新しいイベントと過去のイベントを組み合わせ、リスクレベルとホストの重要性に従って、自動的にインシデントを生成するため、ユーザは攻撃をより包括的に把握することができます。このアプローチにより、個々のイベントに目を通してシーケンスを把握するために費やしていた時間を大幅に短縮することができます。さまざまな脅威のTTP(戦術、技術および手順)に対して生成された検知結果は、当社のエンドポイント保護(EPP)製品を支える脅威情報から得られた行動データやレピュテーションデータによって支えられています。これらの製品が異常なイベントを検知する能力は、脅威の知識と攻撃の方法論の知識によって向上します。このことは、攻撃の種類が、脅威アクターによって自動的に実行された攻撃か、攻撃者による本格的な手動攻撃かを問いません。

製品の導入評価に際して

MITRE ATT&CK® の評価は、高度な脅威検知領域において必要とされる透明性を提供するものであると信じています。しかし、MITREは、他のテストと同様に、隔離された環境で実施される1つの評価形態に過ぎないことも認識しておく必要があります。また、MITREのテストは、他のテストと同様に、隔離された環境で実施される1つの評価に過ぎず、検知・応答製品の第2の部分である応答能力のテストではありません。EDR、MDR、またはMSSPプロバイダーの比較を検討している組織は、MITRE ATT&CK®フレームワークで示されているような攻撃者の戦術、技術、手順(TTP)を検出できるベンダーを選択する基準の1つとして、MITREの評価を考慮する必要があります。

世界最高水準の検知・応答技術と熟練した脅威ハンターによる標的型攻撃からの組織の防御については、以下のソリューションをご参照ください。