MITRE 2024: 新しい点と気にすべき事とは?

Mitre_hero
Reading time: 7 min

MITRE の 2024 Enterprise ラウンドの評価テストでは、EDR 製品評価の新時代の幕開けを象徴するものです。その結果、小規模な IT チームでも、有益で具体的な洞察を得ることができ、より適切な意思決定を行うことがが可能になります。

 MITREは、民間と公共部門の双方の研究開発を支援するための米国に所在する非営利団体です。この団体は、組織がエンドポイントおよびクラウドの検知・対応ソリューションを評価するために使用する、多数のフレームワークを管理しています。中でも最も重要なものは、攻撃と攻撃を検知する方法を表現する便利なフレームワークとして知られる MITRE ATT&CK Matrix です。

「また、攻撃シミュレーションとこれらの攻撃に対する防御策の両方について『ヒートマップ』を作成できるツールも提供しています。これは、実際の攻撃やペネトレーションテストなどにも適用できるものです。この点において、組織間の情報に基づいたサイバー防御と共有も可能です」と、ウィズセキュアの脅威検出担当シニアマネージャーの Jorge Lamarca (ホルヘ・ラマルカ)は考えています。

MITRE ATT&CK 評価: Enterprise は、同様の制御された条件下でシミュレートされた特定の攻撃シナリオの下、さまざまなセキュリティ製品の検出パフォーマンスを評価するために作成されました。これらのベンチマークは、組織がサイバー セキュリティへの投資について十分な情報に基づいた意思決定を行うことに役立ちます。

中堅企業向け市場への影響

中規模の組織には、独自のテストを実行するための大規模な専任のサイバー セキュリティ チームが不足していることがよくあります。つまり、MITRE の厳格な評価は、EDR ツールのパフォーマンスに関する貴重な洞察を提供しておソリューション導入の際の貴重な情報となります。

組織は、特に誤検知率が低く、効果的な脅威検出を実現するという点で、高い MITRE 評価の EDR 製品を比較することができます。これは、中堅企業にとって興味深いことです。 MITRE の評価は macOS と Linux に関してはまだ発展の余地がありますが、中堅企業の大多数を占める Windows ベースの組織にとっては価値があります。

なぜ今回のラウンドは(ついに!)今までと違うのでしょうか?

MITRE ATT&CK 評価の2024年版:Enterprise では、Enterprise では、これまでの年とは異なる待望の変更がいくつか導入されました。これは、ノイズのないラボ環境ではなく、現実世界の環境に対する攻撃に似てきていることを意味します。

  1. 企業環境におけるオペレーティングシステムの多様化が進んでいることを受け、macOSが追加されました。この追加により、MITREの評価の適用可能性が拡大し、複数のプラットフォームで運用する組織にも適用できるようになりました。
  2. 誤検出に対する新たなアプローチ。攻撃シナリオに含まれる個々の手法の大部分は誤検知を目的としており、効果的な検出ではこれらの無害なイベントを無視する必要があります。この調整を行うことにより、評価が実際の状況に近づきます。効率的で応答性の高いセキュリティ システムを維持するためには、不要なアラートをフィルタリングすることが不可欠です。
  3. テレメトリの排除。過去の評価では、システムがアラートをトリガーとせずに関連データを取得した場合、テレメトリのカテゴリーが割り当てられていました。テレメトリ検出カテゴリーを削除することで、MITRE は即時対応可能な検出に焦点を移しました。
    この変更により、EDRツールの検出効率の証拠として、手動による脅威の特定を目的とした何万ものイベントが生成されることがようやくなくなりました。
  4. また、MITRE はテスト実施中の証拠収集プロセスも合理化しました。以前は、参加者は評価の各ステップを網羅する広範なレビューセッションを受ける必要がありました。今回のラウンドでは、MITRE のスタッフがシナリオの概要をより迅速に説明することができ、フィードバックに必要な時間を大幅に削減し、参加者が自社のパフォーマンスをより効率的に評価できるようになりました。
  5. 保護テストの統合。これまでは、組織は検知テストまたは保護テストのどちらか一方にのみ参加するオプションがありましたが、今後は不参加を選択しない限り、自動的に両方のテストに参加することになります。検知テストは、さまざまな攻撃段階を含む高度持続的脅威(APT)シナリオをシミュレートするもので、一方、保護テストは攻撃に焦点を当て、脅威がブロックされた時点で終了します。保護テストは、より確立された独立した保護テストである AV-TEST や AV-Comparatives に取って代わるものではないと見られています。

 

「ストレステスト」としての MITRE

一部の業界専門家は、MITRE の評価は非現実的であると批判しています。テストでシミュレートされる攻撃の密度が高いため、ほとんどの組織が日常的に遭遇するものよりも激しい攻撃になっています。

しかし、これらの評価は、日常的な状況の正確な再現というよりも、ストレステストとして設計されています。

「MITRE の評価は、効果的な対応に必要な検知の種類を正確に反映しているわけではありません。むしろ、対応者が必要とするものをはるかに超えた、包括的かつ詳細な洞察に重点を置いています。この点において、MITRE は全体的に効果的で野心的なストレステストであると考えています。結局のところ、MITRE は対応が迅速で、テスト自体も機能しており、プロセスも比較的公平です」とLamarca は指摘します。

こうした高い基準は、ベンダーがノイズの少ない詳細なアラートを作成するよう促すという点で価値があります。これにより、防御側は不要な情報に圧倒されることなく、攻撃のタイムラインとコンテクストを迅速に理解することができます。

「小規模チームのセキュリティ専門家として、私は EDR テクノロジーと MDR サービスプロバイダーとの効果的なパートナーシップの確立のバランスを考慮します。私のリクエストや提案が効果的に処理されることを期待します。したがって、私の選択は、MITRE のスコアとサイバーセキュリティパートナーの対応力を考慮したものであり、ポートフォリオの全体像を確実に把握できるようにするためです」と Lamarca は結論づけています。

MITRE ATT&CK 評価: Enterprise (英語)

Enterprise 2024 には、防御能力のより微妙で的を絞った評価を行うために、複数の小規模なエミュレーションが組み込まれます。

詳細はこちら