スマート工場のセキュリティを取り巻くガイドライン(6) MITRE ATT&CK
本連載は、ICSやOTセキュリティの汎用的なガイドラインの代表例を解説し、スマート工場のセキュリティに求められる考え方を理解することを目的としています。第6回は番外編として、ガイドラインではありませんが、サイバー攻撃と防御の技術を整理したナレッジベースとして注目を集めるMITRE ATT&CKについて解説します。
本連載は、ICSやOTセキュリティの汎用的なガイドラインの代表例を解説し、スマート工場のセキュリティに求められる考え方を理解することを目的としています。5回の連載で、IEC62443(1、2)、NIST CSF(3)、SP800シリーズの一部(4)とCIS Controls(5)を解説しました。
第6回は番外編として、ガイドラインではありませんが、サイバー攻撃と防御の技術を整理したナレッジベースとして注目を集めるMITRE ATT&CKについて解説します。セキュリティのあるべき姿や方法を示すガイドラインの他に、現実の攻撃に対して点ではなくシナリオとして知り、対策の過不足を把握するための一つのリソースとして役立つのではないかと思います。本稿では、MITRE ATT&CKの基本的な概念を紐解いた上で、ICS版のポイントを解説します。
MITRE ATT&CKとは脆弱性情報のCVEを採番・管理していることで知られる米国の非営利研究機関であるMITRE社が公開しているナレッジベース(知見のデータベース)です。
ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略称で、その名の通り、攻撃者の視点で戦術と技術をデータベース化しており、攻撃と防御の双方で同じ分類を利用できることが最大の特徴です。
攻撃フェイズと対象プラットフォームに基づいて作成されており、後述する偵察段階におけるPRE-ATT&CKを除くと、プラットフォームに依存するドメインは、Enterprise、Mobile、ICSの3つになります。
このナレッジベースは以下の3つのコンセプトに基づいて開発されています。
1. It maintains the adversary’s perspective; 攻撃者の視点
2. It follows real-world use of activity through empirical use examples; 実世界の攻撃
3. The level of abstraction is appropriate to bridge offensive action with possible defensive countermeasures; 抽象化のレベル
3つ目の、攻撃手法と防御側が可能な対策を橋渡しするために適切な抽象化のレベルにする、というコンセプトはATT&CKの構造を理解する上で特に重要です。攻撃に利用されるIPアドレス、URL、マルウェアのシグネチャ情報といった個別具体の情報ではなく、抽象度を高めた情報として整理されています。
要素の考え方としては、いわゆるTTP(Tactic、Technique、Procedure)で攻撃を分析することがベースであり、Techniqueを中心にナレッジを収集、整理しています。
●Tactic:攻撃者の短期的な目標
●Technique:攻撃者が目標を達成するための手段
●Procedure:攻撃者による手段の具体的な利用方法
ATT&CK Matrix:テクニックと戦術の一覧ATT&CKの基本は、攻撃者が目標を達成するためのアクションを表す一連のTechniqueです。目標はTacticとして分類されます。以下はEnterprise向けのMatrixになります。
/smart-factory-guideline-mitre/IoT200625-1.jpg)
Tacticは、Techniqueの「なぜ」を表します。それは攻撃者がアクションを実行する理由です。Techniqueは、攻撃者がアクションを実行することによって目標を達成する「方法」であり、攻撃者が「何を」得るかを表すものでもあります。
TacticはEnterpriseのドメインを例にとると、
●Initial Access:初期アクセス
●Execution:実行
●Persistence:永続化
●Privilege Escalation:権限昇格
●Defense Evasion:防御回避
●Credential Access:認証情報アクセス
●Discovery:探索
●Lateral Movement:横展開
●Collection:収集
●Command and Control:コマンド&コントロール
●Exfiltration:外部送信
●Impact:影響
になります。
ATT&CKにおけるTacticは、攻撃プロセスをモデル化したCyber Kill ChainにおけるDeliver以降のプロセスを主な対象としたものになっています。
/smart-factory-guideline-mitre/IoT200625-2.jpg)
これ以前のプロセスについては、「PRE-ATT&CK」という別のマトリクスがあります。また、Techniqueは改訂によりSub-Techniqueという概念が導入され、分類、階層化されています。
Objects:データベースの対象ATT&CKは、5つのObjectsで構成され、データベースとして公開されています。
攻撃の手段(Technique)を中心として、誰が(Groups)、何のために(Tactic)、何を使って(Software)攻撃するか、それを防ぐ策は何か(Mitigations)、という構成です。
/smart-factory-guideline-mitre/IoT200625-3.jpg)
MITRE ATT&CKのWebサイトで、各Objectから下記の情報を得ることができます。
●Tactic:TacticごとにTechniqueが一覧できる
●Technique:TechniqueごとにProcedure、Mitigation、Detectionが一覧できる
●Mitigations:Mitigationごとに対処可能なTechniqueが一覧できる
●Groups:攻撃者グループごとに利用するTechnique、Softwareが一覧できる
●Software:SoftwareごとにどのようなTechniqueで利用されるか、どのGroupに利用されるかが一覧できる
/smart-factory-guideline-mitre/IoT200625-4.jpg)
Use case:使用例MITRE ATT&CKは、攻撃者の視点で技術を整理し、防御側の対策を参照できるため、使用例として下記が挙げられています。
●Adversary Emulation
攻撃者のエミュレーション。データベースのGroupsから特定の攻撃者が使用するTechniqueと攻撃シナリオを抽出し、一連の攻撃を検出、対策可能かを検証する。
●Red Teaming
サイバー演習の攻撃シナリオを作る。レッドチームは攻撃、ブルーチームが防御、ホワイトチームは統括・審判にあたる。
●Behavioral Analytics Development
IoCや既知の脅威情報ではなく、ATT&CKのナレッジベースを用いて未知の手法や行動パターンを分析し、新たな対策を開発する。
●Defensive Gap Assessment
組織における対策のどこが不足しているかを特定する。投資の優先順位をつける。
●SOC Maturity Assessment
SOCによる検出、分析、応答がどれほど効果的かを判断する。
●Cyber Threat Intelligence Enrichment
分析者が攻撃者グループの行動をより深く理解しレポートできる。特定のグループがどのようなツールを使い、どのような技術をどのような手順で攻撃として仕掛けたか、をデータベースから読み解くことができる。
また、専門的な領域にはなりますが、MITRE ATT&CKのWebサイトでは、ATT&CK Navigatorというアプリケーションも提供されており、上記のような目的に応じたマトリクスの作成に利用できます。
ATT&CK for Industrial Control Systems2020年1月に新たなテクノロジードメインとしてICSを対象としたATT&CK for ICSが公開されました。
工場やプラントを対象に起こる攻撃は、Enterprise(IT)のテクノロジードメインと共通する部分が多いとしながらもATT&CK for Enterpriseで網羅できない領域をICSテクノロジードメインとし、Purdueアーキテクチャ(Purdue Enterprise Reference Architecture)のレベル0-2に関連するシステムと機能にフォーカスしています。
ATT&CK for ICSは、ICSの次のシステムに影響を与える攻撃者の行動を対象にしています。
〇基本的なプロセス制御システム
●プロセス制御
●オペレーターインターフェイスと監視
●リアルタイムデータと履歴データ
●警報
〇安全計装システムと保護システム
〇エンジニアリングおよびメンテナンスシステム
具体的にTacticsにおいてはEnterpriseドメインにはない下記が追加されています。
●Inhibit Response Function:応答機能を妨げる
●Impair Process Control:プロセス制御を損なう
アセットとしてはPLC(Programmable Logic Controller)、HMI(Human Machine Interface)、RTU(Remote Terminal Unit)とSIS(Safety Instrumented System)等が該当しますが、ここで注意したい点は、参照しているPurdueアーキテクチャは機能(Function)を階層化したモデルであり、機能はITとICSのテクノロジによってほぼマッピング可能なもののテクノロジの境界は明確にはできず、ITとICSのオーバーラップが発生します。例えば、機能Level1の制御機器にWindowsやLinuxのプラットフォームが混在するケースや、機能Level2のHMIはICSアプリケーションをホストする上で、ITのプラットフォームも使用することがあります。機能レベル3に該当するような運用管理を支援するための監視制御はITがベースでありながらもICSとしてもみなさなければなりません。
ITかICSか、というテクノロジの観点だけでなく、攻撃者の行動をシステムの機能の観点から分析、理解することは、セキュリティ要件とシステム機能の維持や運用の間のGapを埋める上でも役立つとされています。
/smart-factory-guideline-mitre/IoT200625-5.jpg)
実際にトレンドマイクロのスマート工場のセキュリティに関する調査・研究において、おとりシステムを用いて実際の攻撃を観測したレポートでは、意図的に工場を狙ったものではない攻撃が生産活動に影響を与えることが確認されています。また別の実験環境でスマート工場の潜在的なセキュリティリスクを研究したレポートでは、OT環境での複数の攻撃手法が現実に起こりうることが実証されています。ITとOTを包括したセキュリティの必要性が高まる中で、技術的な対策に関心をお持ちの方は当社のソリューションページを参照いただければと存じます。
まとめ最後に、ATT&CK for ICSを活用する上で、2つの重要なポイントがあります。
1つ目は「起こったこと」から「起こり得ること」への戦略的なシフト、2つ目はIT要素とICS要素の双方に対して実行できるアクションを考慮することです。
攻撃の手段と対策方法を1対1で参照するという考え方では、技術や運用の制約からICS環境に容易に適用できないことが多いため、攻撃者の視点からより広いコンテキストで防御の戦略を検討し、対策を計画、開発することができるとされています。
MITRE ATT&CKは戦術と技術のナレッジベースです。他に脅威を分析するモデルとして抽象度の高いものに前述のCyber Kill Chain等があり、抽象度の低いものにはCVE等の脆弱性情報がある中で、MITRE ATT&CKはその中間に位置します。MITRE ATT&CKはこれらに置き換わるものではなく、例えばエグゼクティブ向けにはアウトラインにフォーカスしたCyber Kill Chainをベースにコミュニケーションするなどの使い分けが適当です。
MITRE ATT&CKは攻撃側と防御側、戦術と技術を体系化し、いわば共通のプロトコルの一つとしてセキュリティ業界で急速な普及を見せています。今後、ITとOTが融合した環境をサイバー攻撃から守っていく上で、攻撃者の視点とシステム機能の視点からITとOTの垣根を越えて組織的かつ技術的に取り組むことの重要性を示唆しているとも言えるでしょう。
参考:
●MITRE ATT&CK: Design and Philosophy
●MITRE ATT&CK for Industrial Control Systems: Design and Philosophy