2022 MITRE Engenuity ATT&CK® 評価テストハイライト - Deep Instinct の予防ファーストというユニークなサイバーセキュリティアプローチ
MITRE ATT&CK Frameworkは、組織が多重防衛戦略を計画し、理解するための優れたツールです。戦術、技術、手順(TTPs)の範囲をマッピングして、どこにギャップがあるかを理解することは、サイバー脅威から組織を保護するために重要です。
MITRE EngenuityのATT&CK評価テスト結果を発表
今週、MITRE Engenuityは、企業向けATT&CK評価テストの最新ラウンドの結果を発表しました。この評価では、高度な脅威グループであるWizard SpiderとSandworm Teamが行った、複雑で多段階のインパクト重視の2つの攻撃に焦点が当てられています。この評価では、キルチェーンを通じて、またATT&CKの戦術と技術全体にわたって、これらの脅威者のTTPをエミュレートしています。Wizard Spiderは、金融マルウェアやランサムウェアのキャンペーンを行う金銭的動機のあるグループであり、Sandworm チームは破壊的な暗号化攻撃やワイパー攻撃に重点を置いています。
2021年第4四半期に実施されたこの最新ラウンドのテストでは、その防御領域における結果から、Deep Instinctの多層的な予防ファーストのアプローチの強さと堅牢性が検証され、当社のお客様が日々実感している価値が浮き彫りになりました。また、Deep Instinctは、エミュレートされたさまざまな実行、持続、影響の技術において、模範的な検知範囲を達成しました。これはまさに、予防ファーストのソリューションとして期待される結果です。
これまで、MITRE Engenuity ATT&CK 評価は、感染後の検知とレスポンスの評価に重点を置いていました。これは、エンドポイントで攻撃が実行された後に侵入を阻止するために異常な動作を探すという、過去10年間の反応的で「侵入を想定した」考え方と密接に結びついています。昨年から、MITRE Engenuityは、敵対者の活動を検知し洞察するだけでなく、攻撃を防止するソリューションの能力を評価することを目的とした保護パートをテストに追加しています。
Deep InstinctのMITRE Engenuity参加から得られた3つの重要なポイント
以下がMITRE Engenuity ATT&CK評価テストへの参加から得られた主な成果です。
1.Deep Instinctは、テストした15の攻撃ステップすべてにおいて、敵の活動を可視化し、検知することができました
2.当社の予防および疑わしい活動の検知エンジンは、実行、持続、コマンド&コントロール、およびインパクト戦術に関連する技術について優れた検知範囲を達成し、テストに含まれる他のすべての戦術に対する可視性とインサイトも追加しました
3. Deep Instinctの検知の93%以上は分析レベル(単純な遠隔測定を超えて)であり、92%は最も高い検知レベルと技術でした。これは、ユーザーに提示されるイベントとデータのコンテキスト、相関性、実行可能性が高いことを証明するもので、時間と手動によるハンティングと分析リソースを削減します
*4つの検知レベルの違いについては、MITREの方法論を参照してください。
MITREのWindows防御テストでは、一連のサブステップで構成される8つの攻撃シナリオ(Windowsでは合計90)が、テストの検知部分でエミュレートされました。テストされた各シナリオは、より長いキルチェーン攻撃の一部ではありますが、本質的に悪意のある個々の攻撃であることを表しています。個々のシナリオは、防ぐことが可能であり、また防ぐべきであると予想されます。前述のとおり、Deep Instinct Prevention Platformは、8つのシナリオすべてを防ぐことに成功しました。この結果は、MITRE ATT&CKのキルチェーン全体に予防メカニズムを展開し、予防成功の可能性を高める当社の多層アプローチの重要性を裏付けるものです。
表は、テストした8つのシナリオと、防御のトリガーとなったDeep Instinctエンジン/機能をまとめたものです。
|
|
|
---|---|---|
Emotetの初期アクセス、永続化、データ搾取 | ウィザードスパイダー | スクリプトの保護 - PowerShell |
TrickBotの実行、発見、およびKerberoasting | ウィザードスパイダー | ディープスタティック解析 + 不審な活動の検知(自動修復モード - プロセスの終了了) |
TrickBot レジストリの永続化 | ウィザードスパイダー | スクリプトの保護 - PowerShell |
TrickBot ActiveDirectoryダンピング | ウィザードスパイダー | 不審な行動の検知(自動修復モード - プロセスの終了) |
Ryuk –システムの回復を阻害する | ウィザードスパイダー | 不審な行動の検知(自動修復モード - プロセスの終了) |
Ryuk – データ暗号化 | ウィザードスパイダー | ディープスタティック解析+振る舞い解析(悪意あるコードインジェクション) |
NotPetya - 横方向への移動とドメインホストの侵害 | サンドワーム | ディープスタティック解析+不審な行動の検知(自動修復モード-ファイル隔離) |
NotPetya – データ暗号化 | サンドワーム | ディープスタティック解析+振る舞い解析(ランサムウェア対策)+不審な行動の検知 -(自動修復モード - プロセスの終了) |
予防の重要性
予防は、現在のカバー範囲に存在するギャップを埋めるとともに、検知と対応といったその後の運用への依存を減らすことで、全体的なセキュリティ態勢に非常に良い影響を与えます。予防を強化することで、セキュリティコストを削減し、効率を向上させ、全体的なリスクを低減することができます。MITREはこの現実を認識し、2021年にプロテクションテストを追加しました。
MITRE Engenuityテストは重要ですが、時にはお客様の評価がすべてを語ることもあります。
---
「2020年末から2021年初めにかけて、私自身が購入前のトライアルを実施し、トップベンダーのエンジンをいくつかテストし、それらすべてをDeep Instinctと比較しました(私のテストの検知フェーズで、競合製品をすべて打ち負かしました)ので、私は今、Deep Instinctの能力を信用しています。Deep Instinctは、Deep Instinctの検知エンジンのリリース時期よりもあとに登場したゼロデイに近い脅威を数多く検知しました。Deep Instinctにとって、それは問題ではありませんでした。Deep Instinctは、これらの脅威をすべて発見し、実行前の段階で止めたのです。実行前防御は私の戦略的目標であり、ゼロディフェクトの精神とそのコンセプトを推進するため、Deep Instinctが私の欲しい製品リストのトップに躍り出ることになりました。私がテストした他の製品では、サンドボックス環境で問題が発生するなど、何らかの被害が発生したり、ゼロデイ脅威をまったく検知できなかったりしました」*予防ファーストのアプローチが組織のセキュリティ体制に与えるポジティブな影響を確認したい方は、こちらから製品のデモをリクエストすることができます。
結論
MITRE Engenuityの評価テストで評価されていないのは、テストしたソリューションを実行するために必要なコストです。最終的にはコストが重要です。ソリューションの購入に伴うハードコストだけでなく、その管理・維持にかかるコストも重要です。検知・対応ソリューションは事後対応型であり、ポリシーの調整、脅威の調査、侵害の是正に豊富なリソースを必要とします。脅威ハンティングとインシデント・レスポンスのチームには熟練した従業員が必要ですが、経験豊富なサイバーセキュリティの専門家の数が不足しているため、現在のような役割を果たすことはできません。実際、Cybersecurity Venturesによると、「2021年には、世界全体で350万件の未充填のサイバーセキュリティ職があり、2014年の100万件から増加しています」。ほとんどのEDRは、技術の設定と管理のために大規模な社内サービスを必要とします。その結果、多くの組織がこのサービスをMDRにアウトソーシングするようになりましたが、これにはリスクがないわけではありません。
Deep Instinctは、未知の脅威、見たこともないような脅威を予測することに優れています。当社の革新的なアプローチにより、企業は既知、未知、ランサムウェア、ゼロデイ脅威の99%以上を未然に防ぐことができるのです。Deep Instinctはまた、誤検知を0.1%未満に抑え、セキュリティチームの負担を軽減し、最も高度な脅威を検知する能力を向上させることができます。また、プロアクティブな予防により、事後対応コストを削減し、SOCの効率を向上させ、全体的なリスクを低減させることができます。
MITRE Engenuityの評価テストに初めて参加し、大きな価値を見いだしましたが、実際には、私たちは毎日このようなテストを行っています。Deep Instinctを使用した真の予防ファーストのアプローチにより、誤検知を減らし、調査と修復を改善することで、セキュリティ専門家のリソース要件を引き下げることができるからです。次の未知の脅威が発生したとき、攻撃者を排除し、EDRで対応を自動化できるようにするためには、最高の予防ソリューションが必要です。このアプローチは、両者の長所を兼ね備えています。
https://www.deepinstinct.com/ja/request-a-demo
詳しくは、「EDRでは不十分は8つの理由」および「Deep Instinct 2022年版サイバー脅威情勢レポート」をご覧ください。
- では不十分は8つの理由
https://info.deepinstinct.com/ja-jp/8-reasons-why-edr-is-not-enough
- Deep Instinct 2022年版サイバー脅威情勢レポート
https://info.deepinstinct.com/ja-jp/cyber-threat-landscape-report-2022
*Gartner Peer Insights のレビューは、個々のエンドユーザーの経験に基づく主観的な意見であり、Gartner またはその関連会社の見解を示すものではありません。