ATT&CK 2022 Roadmap
2021年、私たちは武漢ウイルスのパンデミックを乗り越え、新たな日常へと移行する中、(約束通り)大きな構造改革を行うことなく、ATT&CKを進化させ続けています。データの観点から敵の行動をより効果的に表現するためのATT&CKのデータソース手法など、多くの分野で前進を遂げることが出来ました。macOSとLinuxのコンテンツを改良し、ATT&CK for Containersをリリースしました。クラウド分野では、従来のAWS、Azure、GCPのプラットフォームを単一のIaaS(Infrastructure as a Service)プラットフォームとして統合したことが功を奏しました。ICSをクロスドメインマッピングで更新し、インフラチームは新しいATT&CK Navigator要素を導入して、レイヤーの比較と可視化の体験を向上させました。最後に、8つの新しいテクニック、27のサブテクニック、24の新しいグループ、そして100以上の新しいソフトウェアエントリーが追加されました。
2022 Roadmap
2022年に向けて、フレームワークのエキサイティングな調整がいくつか予定されています。今年は構造的な変更(モバイルサブテクニックとキャンペーンの導入)がありますが、2020年のエンタープライズサブテクニックの追加ほどにはならない予定です。CampaignsとMobileサブテクに加え、今年の主な調整内容は、検出のオブジェクトへの変換、オーバーレイやコンビネーションの使い方の革新、ICSアセットの拡張などです。4月と10月の年2回のリリーススケジュールを維持し、Mobileサブテクニックのポイントリリース(v11.1)を予定しています。
ATT&CKcon 3.0 | March 2022
ATT&CKConを開催できることを大変うれしく思っています。ATT&CKチームやコミュニティーの皆さんと一緒に、組織や個人がATT&CKを活用しているすべての最新情報、洞察、創造的な方法について聞くことができることを楽しみにしています。また、ATT&CKcon 3.0のページでは、カンファレンスの全容を無料でライブストリーミングしています。
Detection Objects | April & October 2022
ここ数年、ATT&CKの様々な実用的なフィールドを管理オブジェクトに変換することが繰り返されてきました。ATT&CKのv5では、緩和策をオブジェクトに変換し、その価値と使いやすさを向上させました。この変換により、緩和策を特定し、それが防止できる様々な技術にピボットすることができるようになりました。この変換により、ミティゲーションを特定し、そのミティゲーションが防ぐ可能性のある様々な技術にピボットすることができます。これは、多くの皆様がATT&CKを異なるコントロール/リスクのフレームワークにマッピングするために活用されている機能です。また、v10では、データソースをオブジェクトに変換し、同様のピボットと分析ができるようになりました。
次に、検出については、現在テクニックで紹介されているフリーテキストを、データソースと結びついた記述に洗練・統合するアプローチを並行して実施する予定です。これにより、各技術について、その検出のために何を収集する必要があるか(データソース)、また、そのデータをどのように分析すれば、ある技術を特定できるか(検出)を記述することができるようになるのです。
Campaigns | October 2022
今年の大きな変更点としては、キャンペーンが導入されたことが挙げられます。キャンペーンとは、共通のターゲットと目的を持ち、特定の期間に実施された侵入活動のグループと定義されます。この活動は、特定の脅威者にリンクしている場合もありますが、そうでない場合もあります。例えば、Solar Windsのサイバー侵入は、ATT&CKのG0016脅威グループに起因するキャンペーンとなります。ATT&CK の既存の構造では、ある脅威行為者のすべての活動が 1 つのグループエントリの下にまとめられ ているため、傾向を正確に把握し、脅威行為者が時間とともにどのように進化したかを理解し(あるいはしていない)、 異なる事象間の差異を識別し、逆に、ある行為者が依拠する可能性のある特定の手法を識別することが困難になっています。
ATT&CKでは、他の人が名前を付けていない活動をグループとして追加したことはありません。例えば、あるレポートがグループやキャンペーンの行動を記述していても、その侵入活動にFUZZYSNUGGLYDUCK/APT1337のような固有の名前を付けていない場合(または名前を付けた他の人のレポートにリンクしている場合)、そのレポートをATT&CKに取り入れることはありません。キャンペーンの導入により、アクティビティに名前を付けず、独自の識別子を使用するレポートが含まれるようになります(キャンペーンC0001にご注意ください)。一方、この新しい構造によって、同じ名前が付けられたアクティビティ(例:Lazarus)をよりよく管理できるようになり、一緒にグループ化されてはいけないアクティビティを分離する方法が提供されます。また、Ransomware-as-a-Serviceのように、複数の脅威者が関与している可能性のある侵入活動にも対応できるようになります。
ATT&CKにおけるキャンペーンと関連するIDの表示方法については、現在検討中であり、今後数ヶ月のうちに詳細をお知らせする予定です。グループとソフトウェアのページはほとんど変更されません。彼らは引き続き、テクニックとサブテクニックの集合リストを特徴とし、ネットワーク防御者が全体的に関連するNavigatorレイヤーを作成し、同様の分析を行うことができます。しかし、関連するグループ/ソフトウェアページへのキャンペーンリンクは追加される予定です。10月のリリースでキャンペーンを統合する準備をしているため、詳細は年内にお知らせします。
Mobile | April 2022
Mobileのサブテクニックについては、以前から話していましたが、もうすぐ登場するということで、わくわくしています。Mobileチームは2021年、ATT&CK for MobileをATT&CK for Enterpriseと機能的に同等にするために、サブテクニックがMobileマトリックスに収まる場所を特定するなど、懸命に作業していました。2021年10月のv10リリース記事で取り上げたように、MobileサブテクニックはEnterpriseサブテクニックの構造を反映することになります。4月のATT&CK v11リリースの一部として、エンタープライズで行ったのと同様に、コミュニティのフィードバック用にサブテクニックのベータ版を含める予定です。最終的に完成したサブテクニックはポイントリリース(例:v11.1)で公開する予定です。サブテクニックのプロセスやスケジュールの詳細については、4月のリリース記事に記載する予定です。サブテクニックに加え、モバイル データ ソース オブジェクトのコンセプトにも取り組み、昨年開始したモバイル デバイスに対する重大な脅威に焦点を当てたミニシリーズを再開する予定です。新しいテクニックの作成にご協力いただける方、または観察した挙動を共有したい方は、ぜひご連絡ください。
最後に、まもなく到着する「ATT&CK for Mobile 2022 ロードマップ」にご期待ください。通常、技術領域別にロードマップを発行することはありませんが、今年はモバイルのアップデートとコンテンツの変更予定をカバーするために、若干のスペースが必要です。
MacOS and Linux | April & October 2022
昨年はmacOSとLinuxのプラットフォームの調整、追加、コンテンツの更新を多く行いました。2022年は、Linuxのアップデートに重点を移行していきたいと考えています。4月のリリースは、昨年からのいくつかのmacOSへの貢献を解決することが中心となります。これらのアップデートには、親テクニックの範囲を広げて他のプラットフォームを含めること、サブテクニックの追加、具体的な使用例による手順の更新、データソースと検出努力のサポートが含まれます。私たちは、年間を通じてmacOSのアップデートを続け、このプラットフォームをより良く表現できるようになったコミュニティの関与と貢献者の皆様に大変感謝しています。
また、4月のリリースでは、Linuxの言語とプラットフォームのマッピングを改訂する予定です。10月のリリースまでには、すべての技術について、ATT&CKにおけるLinuxの表現が改善されることを目指しています。Linuxは敵対勢力によって頻繁に利用されていますが、公開されているレポートでは詳細が不明なことが多く、ATT&CKにとって難しいプラットフォームとなっています。私たちがこの分野を表現する能力は、Linux セキュリティ・コミュニティの皆さんと密接に関係しており、今後数ヶ月の間に皆さんとより多くの関係を築きたいと考えています。もし、あなたが観察した活動や技術的な提案を共有することに興味があれば、ぜひ私たちに知らせてください。
ICS | October 2022
2021年にICSコンテンツとデータソースを更新し、今後数ヶ月の間にICS Assetsの拡張と検出の追加を行う予定です。資産名は特定のICSバーティカル(電力、水処理、製造など)に関連付けられ、関連する技術マッピングにより、ユーザーは技術が自分の環境に適用されるかどうか、どのように適用されるかを理解することができます。さらに、より詳細な資産定義により、技術や業種による機能の類似点や相違点を強調することができます。各技術に追加される検出機能では、最近更新されたデータソースを使用して敵の行動を特定する方法についてのガイダンスが提供される予定です。最後に、今年後半には、ICSをエンタープライズと同じプラットフォーム上に統合し、ATT&CKウェブサイト(attack.mitre.org)の他のドメインに参加させる準備を進めています。