ウィズセキュア、MITRE社のATT&CK®評価で再び高い能力を実証

2018年、MITRE社はAPT3の攻撃シナリオに基づき、ATT&CK®フレームワークを活用したEDR製品の評価を導入しました。昨年10月、MITRE社が実施した同評価のラウンド2が実施され、高度な攻撃への検知機能において、ウィズセキュアの高い能力が実証されました。これらの評価に対するMITRE社の取組みは、標的型攻撃に対するEDR製品の有効性に関する透明性を提供するものであり、同社の偏りのないテスト方法を高く評価するとともに、製品評価に参加できたことを光栄に思っています。

ウィズセキュアチームは、MITRE ATT&CK®評価第2ラウンドの優れた結果をお知らせできることを嬉しく思っています。

ラウンド2評価の主な焦点は、APT29(別名Dukes -英語ホワイトペーパー)の攻撃シナリオに対する検知能力の評価です。APT29は、2015年にウィズセキュアによって発見されるまで、7 年間に渡り攻撃を成功させてスパイ活動を続けた脅威アクターです。当社の「Dukes」研究の成果は、MITRE社のAPT29に関するナレッジベースへの最初の貢献になりました。 この評価ラウンドでは、ウィズセキュアの EDR 製品である、WithSecure™ Elements EDRと、検知/対応のマネージドサービス(MDR)の  WithSecure™ Counterceptが対象となりました。

ラウンド2で、実証されたウィズセキュアの能力

  • ラウンド2で、実証されたエフセキュアの能力
  • ラウンド2で、実証されたエフセキュアの能力
  • ラウンド2で、実証されたエフセキュアの能力

前回のラウンド1同様に、ラウンド2では、各評価製品から提供された収集データ、分析、表示に基づいて、検知カテゴリをテストケースに割り当てることに重点が置かれています。それぞれの結果は、主要な検知カテゴリの1つに割り当てられ、さらにオプションで1つ以上の修飾子に割り当てられます。

極めて有効なウィズセキュアのテクノロジー

評価結果では、ウィズセキュアの検知/対応技術が、134種類のテスト手順として使用された58種類のATT&CK®テクニック(手口)に対して、極めて有効であることが示されました。

下のグラフは、評価に参加した他のベンダ20社の中のトップベンダと比較して、ウィズセキュア製品が優れたカバレッジでAPT29の攻撃シナリオを検知していることを示しています。また、各EDR製品によってされたさまざまな検知タイプの分布と、追加されたマネージドサービスが、検知カバレッジ全体に寄与している割合も可視化されています。

図1 トップベンダごとの主要な検知カテゴリに対する検知カバレッジ

134種類のテスト結果を合計した検知カバレッジにおいて、ウィズセキュアは118個のアラートを提供し、高得点を獲得しました。10種類の特異性のないふる舞いを捉えた一般検知情報によるテスト、28種類の特定のテクニカル型の詳細情報によるテスト、さらに52個のマネージドサービスの脅威ハンターによる分析を通じたテストに対して瞬時にアラートを発しました。追加の可視性は、28種類のテストをカバーするテレメトリーを通じて提供されました。

尚、このグラフには、評価中に行われた製品構成の変更が考慮されていないため、各ベンダがエンドユーザに推奨している構成設定が反映されていない場合があります。また、カバレッジ全体へのMSSP(マネージドセキュリティサービスプロバイダ)型カテゴリの貢献を除外すると、一部のベンダに関してはカバレッジの数値が変わります。

但し、最も優れた検知/対応ソリューションを決定の際に考慮すべき要因は、検知カバレッジだけではありません。一般型(General)、戦術型(Tactical)、テクニカル型(Technique)の検知が多数含まれている場合、見逃される攻撃が少なくなるため、高いスコアが得られやすくなります。 一方、より検知精度の高いデータにアクセスすることができれば、誤検知の可能性の高いデータを振るいに掛けることにではなく、実際の攻撃である可能性の高いイベントの調査に時間を費やすことができます。

ウィズセキュアの検知/対応テクノロジーは、異なる重大度レベルの異常イベントに対して特定の検知を行うと共に、インベスティゲータ向けにアラートノイズの抑制を調整します。そして、アラートは、インシデントとしてBroad Context Detection™に集約されます。これらのインシデントはリスクスコアリングシステムに基づいて優先順位が付けられることで、より重要なインシデントから最初に対応できるようにします。

標的型攻撃は、常に検知を回避するように設計されているため、キルチェーンの適切な領域で攻撃を検知し、阻止することが不可欠であり、キルチェーンのどの時点でのデータが表示されていないのかを理解することが重要です。攻撃者は、侵入の過程でコードを実行する可能性が高く、複数回実行されることが想定されます。これが、ウィズセキュアが豊富なテレメトリーセットとコード実行に対する検知能力を確保することに多大な労力を費やしている理由です。また、攻撃者は永続的なルーチンを実行して、狙ったシステム内に長期間にわたり潜伏することがあります。特にコード実行に対して優れたカバレッジと持続力があれば、重要な攻撃者の手口に対する可視性を向上させることができます。また、さまざまな攻撃者間で共通する適正なキルチェーンに焦点を当てることで、標的型攻撃を発見する可能性が高くなります。

マネージドサービス活用のメリット

マネージドサービスを活用して、検知機能を強化することができれば、攻撃リスクの高い企業であっても価値の高い味方になる可能性があります。MITRE ATT&CK® 評価は、ユースケース/テスト手順単位でのEDR製品の検知能力の評価を目的にしています。一方で、MSSP(マネージドセキュリティサービスプロバイダ)型検知カテゴリを含めることで、脅威の本質を調査・理解するチームの重要性が強調されます。

下のグラフは、134種類の全検知カバレッジの中で、当社のマネージドサービスが52種類のテストに対しての貢献を示しています。当社の「人間と技術」の連携から導き出された能力によって、この結果がもたらされものと確信しています。マネージドサービスが、どのように攻撃を検知し、調査し、最終的に封じ込めるかに焦点を当てたこの例を使用して、その価値をご説明します。

図2 ウィズセキュアの主要な検知カテゴリに対する検知カバレッジ

WithSecure™ Countercept の検知対応チーム (DRT)は、すぐに疑わしいと思われないようなことを調査し、将来のために検知ルールを開発する高いスキルを擁しています。テレメトリーを大量に収集・保存しているため、スキルだけでなく、そのための手段も備えています。どのベンダーにもこの機能があるわけではありません。

この評価は、Eメールを受け取ったユーザが関与しており、添付されていたファイルやリンクをクリックしたことで実行された不審なコードが検知されフラグが付けられました。

正当に見えるファイルやリンクからの予期しないコードの実行自体は、必ずしも悪意のある活動の開始を保証するものではありません。

このケースでは、ユーザが添付されていた .doc(ワード)ファイルを開いたためコードが実行され、この実行によって発生したインタラクティブなセッションがきっかけとなって、当社のエージェントが検知し報告されました。 これが犯罪行為に関連しているのかを判断するためには、専門家による調査が必要です。このケースでは、インベスティゲータが、何かがおかしいことに気づくでしょう。このケースでは難読化させるため、RLO(Right-to-Left Override)手法が使用されていました。この手法が使われる正当な理由はほとんどなかったため、さらに詳しく調査する必要がありました。しかし、これは人間が簡単に排除できる例であり、しっかりとしたルールに従うことで特定できる手口であるため、ルールを規定するだけで、すぐに成果を挙げることができます。

テレメトリーは調査の鍵となりますが、何が起こったかを解明するためには、実際のアーティファクト(マルウエアを始めとするサイバー攻撃で使われるツールや技術)を調べる必要がある場合があります。

一般的には、アーティファクトの収集はインシデント対応の取り組みの一部でしたが、当社の検知/対応チームでは、ほとんどの調査でこれを実行しています。アーティファクトの収集は、当社のエンドポイントエージェントにより簡単に実行することができます。このケースでは、追加のファイル(monkey.png)をダウンロードするcmd(マンドプロンプト)とPowerShellセッションが生成されました。この追加ファイルが別のPowerShellスクリプトを実行しました。monkey.pngファイルを分析することで、ファイルに含まれているスクリプトの機能を理解することができます。この場合、UAC(ユーザーアカウント制御機能)バイパスを作成し、攻撃を促進する高度な整合性プロセスを起動します。

上記のシナリオは水面下で発生したものであり、この評価において明示的に実証されたものではありません。しかしながら、最終的には、当社のCounterceptなどのMDRサービスが特定しているインシデントへの対応は、防御している顧客にとっては大変な負担になります。しかし、実効性の高いMDRは、実際にインシデントが発生していることを確認し、その影響を緩和するために最適な対応手順を開始することができます。

この製品評価は検知カバレッジを検証するだけなので、これらのインシデントを封じ込めて対応する当社の能力を示すことはできませんでした。実際には、これらの攻撃は最初にユーザがコードを実行した直後に阻止されました。これは、アラートによりアーティファクトの調査と分析が行われて、悪意があることが明らかになったためです。当社の脅威ハンターのような経験豊富なインベスティゲータは、疑いを持ち、調査し、必要に応じて対応するのに十分なデータ、コンテキスト、経験を持っています。これがまさに優れたMDRの機能です。知る必要がある時にアラートを提供し、残りのギャップを埋めて理解を深め、適切な対応を実施して、企業が脅威を監視し封じ込めることを支援します。

広範なコンテキストの組み込み

堅牢なEDRソリューションは、セキュリティチームに必要な可視性を提供するだけでなく、関連性のある検知のみをフラグ付けします。また、高度なサイバー攻撃に対して、広範なコンテキストを提供しノイズを削減し、専門家のワークロードの軽減します。

ウィズセキュアのアプローチを他のベンダと直接比較することはできません。それは、当社のクラウドネイティブな EDR テクノロジーには、複数の検知結果をインシデントとしてグループ化し、アラートによるチームの疲弊を最小限にするための広範なコンテキストを提供する行動分析機能が搭載されているためです。これは、膨大な件数のイベントデータによって引き起こされる誤検知を除外することにも役立ち、検知と対応アクションのトリアージ(優先順位を判断)の迅速化を実現します。ウィズセキュアは、すべての検知をMITER ATT&CK®のナレッジベースで使用される関連技術とリンクすることで、ユーザによる調査を支援する共通の分類法を提供しています。

下の図は、それ自体は無害かもしれない未知のプロセスの起動を、広範なコンテキストを使用して検知した例です。広範なコンテキストと関連するエージェントからのイベントデータの組み合わせにより、リスクスコアを上げて、インシデントの見逃しを確実に防止しています。

スピアフィッシングやソーシャルエンジニアリングの結果として、攻撃者が標的となったシステムに侵入し、未知の実行可能ファイルを起動している様子を目にすることができます。 攻撃者は攻撃の証拠を破壊し、次のターゲットに向かって侵入拡大を続けます。

上記の攻撃には、システムから資格情報を窃取する攻撃が含まれています。これは、下に図示しているように、特定のプロセスをクリックしてプロセスビューを開くと表示することができます。この画面は、複数の検知がどのようにBroad Context Detection™に集約され、MITRE評価上で1つ以上の戦術と手法を含む集約されたインシデントとして表示されることを示しています。

ウィズセキュアの製品は、プロセスチェーン、ホスト、またはユーザごとにアラートが集約され、疑わしいイベントとして収集されているため、各アラートを個別に確認する必要はありません。このために開発されたBroad Context Detection™は、新しいイベントと過去のイベントを組み合わせ、リスクレベルとホストの重要性に従って、自動的にインシデントを生成するため、ユーザは攻撃をより包括的に把握することができます。このアプローチにより、個々のイベントに目を通してシーケンスを把握するために費やしていた時間を大幅に短縮することができます。さまざまな脅威のTTP(戦術、技術および手順)に対して生成された検知結果は、当社のエンドポイント保護(EPP)製品を支える脅威情報から得られた行動データやレピュテーションデータによって支えられています。これらの製品が異常なイベントを検知する能力は、脅威の知識と攻撃の方法論の知識によって向上します。このことは、攻撃の種類が、脅威アクターによって自動的に実行された攻撃か、攻撃者による本格的な手動攻撃かを問いません。

適切なツールやサービスを評価する際には、MITRE ATT&CK® 以外にも目を向けてください

MITRE社のATT&CK®評価は、高度な脅威検知の分野で必須とされる透明性が提供されています。しかし、他の評価テストと同様に、隔離された環境下で実行される評価であることは認識すべきです。また、ATT&CK®評価では、検知と対応製品の2番目の構成要素である対応については評価が実施されていません。

EDR、MDR、MSSPプロバイダーを比較検討する企業では、MITRE ATT&CK®フレームワークが示唆している攻撃者のTTPを検知できるベンダを選択するための基準の1つとして、MITRE評価を捉える必要があります。

Author

Christine Bejerasco, Vice President, Tactical Defense Unit, WithSecure