TLPT/MITRE ATT&CKの話をしつつ、CISAが出した「Best Practices for MITRE ATT&CK®Mapping」を簡単に解説します。

1. MITRE ATT&CK
マッピング
ベストプラクティスでたよ
@shunaroo

2. @shunaroo
セキュリティエンジニア？
犬好き シュナウザー
NBA/麻雀/ゴルフ(120-130)
One OK ROCK / BISH / 澤野弘之
etc
2

3. 0.
背景
なんでこの発表を思いついた？

4. 最近、TLPTの攻撃シナリオをMITRE ATT&CKベースで、
どのように効率的に作っていくか考えている
4
何かいい方法ないかなあ・・・
あと勉強会で何話そう・・・

5. @pztさんから
「脅威情報からMITRE ATT&CKへマッピングする
ベストプラクティスでたよ」と教えてもらった(6月上旬)
5
CISAってとこが、
最近出したらしい
ですよ
これだ～

6. 目次
0. 背景
1. TLPTとは
2. MITRE ATT&CKとは
3. CISAによるベストプラクティス
こんなサービスや組織があるんだ～くらいを理解していただければ！
6

7. 1.
TLPTとは

8. TLPTとは？ ： 超概要
Threat Led Penetration Testの略
(脅威ベースペネトレーションテスト)
きちんと知りたい方はこちら
金融庁：諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について
https://www.fsa.go.jp/common/about/research/20180516.html
8

9. TLPTとは？ ： なぜ脅威ベースか
業界や扱うシステムによって攻撃者からの脅威が変わる
9
可用性
機密性 完全性
脅威・目的は業界やシステムなどによって異なる
・極秘情報を盗みたい
・運用を妨害したい
・金銭がほしい
攻撃者 無限にある攻撃に対応するのではなく、
発生率/影響度高い攻撃で検証すると効率的説（諸説あり）

10. TLPTとは？ ： 概要/背景とのつながり
TLPTとは脅威情報をもとに、
攻撃者が実際にやりそうな攻撃シナリオを作成し、
検査する手法
10
脅威情報 攻撃シナリオ
具体化
ここをもっと
効率的にやりたい
これは
MITRE ATT&CK
ベースでやりたい

11. （補足）TLPTとは？ ： 特徴
脆弱性診断と大きく異なる点は（個人的に）、
TLPTでは運営する組織のサイバーレジリエンスも評価する点
11
システム システムを守る方々
攻撃できるか？ 対応できますか？
TLPT評価対象

12. 2.
MITRE ATT&CKとは

13. MITRE ATT&CKとは？ ：超概要
現実世界の観測に基づいた、
攻撃者の戦術(Tactics)とテクニック(Techniques)の
共通知識のデータベース
MITRE ATT&CK: https://attack.mitre.org/
13

14. MITRE ATT&CKとは？ ：構成要素
14
攻撃
グループ
ソフトウェア
(サブ)
テクニック
戦術
緩和/検知
利用 防御
達成
実装
利用
偵察や権限昇格など、
「フェーズorタイミング
ごとにやりたいこと」
くらいに思うとよい

15. MITRE ATT&CKとは？ ：中身（マトリックス）
15
14の戦術
（
サ
ブ
）
テ
ク
ニ
ッ
ク
100以上の攻撃テクニック
が記載されている。
観測ベースなので、
真にすべての攻撃が書い
ているわけではないこと
に注意

16. MITRE ATT&CKとは？ ：中身（14の戦術）
16
14の戦術
1. Reconnaissance
2. Resource Development
3. Initial Access
4. Execution
5. Persistence
6. Privilege Escalation
7. Defense Evasion
8. Credential Access
9. Discovery
10. Lateral Movement
11. Collection
12. Command and Control
13. Exfiltration
14. Impact

17. MITRE ATT&CKとは？ ：中身（マトリックス拡大）
17
戦術
（
サ
ブ
）
テ
ク
ニ
ッ
ク

18. MITRE ATT&CKとは？ ：(サブ)テクニック
18
Tで始まるIDで管理。
どのような攻撃技術かを説明。
粒度はまちまちな気がします

19. MITRE ATT&CKとは？ ： (サブ)テクニック
19
テクニックによっては
さらに詳細なサブテクニックもある。
サブテクニックもリンクを踏むと
テクニックと同様に攻撃グループ
や緩和策が記載されています。

20. MITRE ATT&CKとは？ ：ソフトウェア/攻撃グループ
20
(サブ)テクニックごとに、
使う攻撃者グループ(Gで始まるID)や
テクニックを実装したソフトウェア(Sで始まるID)が関連付
けされています。

21. MITRE ATT&CKとは？ ：緩和/検知
21
緩和のリンクに行くと、
もう少し具体的に書いてくれています。

22. MITRE ATT&CKとは？ ：緩和/検知
22
検知方法は個別に記載されている

23. MITRE ATT&CKとは？ ：用途のひとつ
23
共通言語
MITREの
T1059.001の攻撃/
対策してね
PowerShellの攻撃/
対策ね
あ、PowerShellの
攻撃/対策ね

24. (再掲)
最近、TLPTの攻撃シナリオをMITRE ATT&CKベースで、
どのように効率的に作っていくか考えている
24
CISAのベストプラクティス
見てみよ～

25. 3.
CISAによる
ベストプラクティス
本題

26. CISAとは？
Cybersecurity and Infrastructure Security Agency（米国）
サイバーセキュリティ・インフラ・セキュリティ庁
https://www.cisa.gov/
※公認情報システム監査人(CISA)ではない
26

27. CISA：Best Practices for MITRE ATT&CK®Mapping
サイバー脅威インテリジェンス (CTI) の一部として、
「攻撃者の行動」を「関連する ATT&CK テクニック」に
正確かつ一貫してマッピングできるように、
このガイダンスを提供しています。
（p3:ATT&CK Mapping Guidanceより抜粋・翻訳）
2021年6月発行：https://us-cert.cisa.gov/sites/default/files/publications/Best%20Practices%2
0for%20MITRE%20ATTCK%20Mapping.pdf
27

28. CISA：Best Practices for MITRE ATT&CK®Mapping
28
脅威情報 攻撃シナリオ
具体化
CISA:ベストプラクティス
脅威情報 MITRE ATT&CK
関連付け
ここのギャップ埋めは必要

29. CISAのベストプラクティス
1. Find the Behavior ：ふるまいを見つける
2. Research the Behavior ：ふるまいを研究する
3. Identify the Tactics ：戦術を特定する
4. Identify the Techniques ：テクニックを特定する
5. Identify the Sub-techniques ：サブテクニックを特定する
6. Compare your Results to those of Other Analysts :比較する。
29

30. CISAのベストプラクティス
1. Find the Behavior ：ふるまいを見つける
2. Research the Behavior ：ふるまいを研究する
3. Identify the Tactics ：戦術を特定する
4. Identify the Techniques ：テクニックを特定する
5. Identify the Sub-techniques ：サブテクニックを特定する
6. Compare your Results to those of Other Analysts :比較する。
30
レポートから、
攻撃のふるまいを抽出する
抽出したふるまいを
戦術から段階的に対応付ける

31. 1. Find the Behavior:
攻撃として、どのような“ふるまい”をしたかを抜き出す。
・最初の侵害がどのように達成されたか？
・侵害後にどのようなアクションを実施したか？
ここが従来の調査方法からのパラダイムシフト（らしい）
従来の調査方法：
IoC、マルウェアのハッシュ値、URLなどから攻撃の特徴や攻撃者を調査
31

32. 2. Research the Behavior
ふるまいや攻撃者を”理解する”ために、レポート以外でも追加調査。
技術の詳細な理解は、攻撃者の目的を理解する助けにもなる。
⚫ セキュリティベンダ、政府系組織、CERTS、Google, Wikipediaな
どで調査
⚫ MITRE ATT&CKで、関連するキーワードを検索し、振舞の特定に
役立てる 「issuing a command」,「establish a connection」など
32

33. 2. Research the Behavior
ふるまいや攻撃者を”理解する”ために、レポート以外でも追加調査。
技術の詳細な理解は、攻撃者の目的を理解する助けにもなる。
⚫ セキュリティベンダ、政府系組織、CERTS、Google, Wikipediaな
どで調査
⚫ MITRE ATT&CKで、関連するキーワードを検索し、振舞の特定に
役立てる 「issuing a command」,「establish a connection」など
33
Wikipediaも情報源
として挙げているの
は個人的に新鮮。

34. 2. Research the Behavior
34
この辺から
検索機能が使えます。

35. 3. Identify the Tactics
ふるまいをもとに、戦術と攻撃の流れを特定する。
Tips:「攻撃者が達成しようとしていたこと」と「その理由」に注目すると
特定しやすくなる。
⚫ データを盗むことか？
⚫ データを破壊することか？
⚫ 特権を得るためか？
35

36. (再掲) MITRE ATT&CKとは？ ：中身（14の戦術）
36
14の戦術
1. Reconnaissance
2. Resource Development
3. Initial Access
4. Execution
5. Persistence
6. Privilege Escalation
7. Defense Evasion
8. Credential Access
9. Discovery
10. Lateral Movement
11. Collection
12. Command and Control
13. Exfiltration
14. Impact
テクニックは100以上あるので、
いきなりテクニックに当てはめず、
一度14の戦術に当てはめることが
大事だと思います。
どの分野でも段階的詳細化が大事。

37. 3. Identify the Tactics
戦術の定義を確認し、それぞれのふるまいがどの戦術に当てはめる
• 悪用するとSYSTEMでアクセス可能
⇒Privilege Escalation
• Windows コマンド “cmd.exe” /C whoami“を使用
⇒Discovery
37

38. 3. Identify the Tactics
レポート内のすべての戦術を特定する。
戦術が見えると攻撃の流れを理解することができる。
38

39. 4. Identify the Techniques
戦術に関連するテクニックの中から、ふるまいに該当するテクニッ
クを特定。
戦術：Initial Accessの場合
使用したテクニックは、Phishing なのかExternal Remote Serviceなのかなど
注意点：
該当するテクニックが見つからない、情報が不足している場合は、
戦術レベルの紐づけにとどめる。
39
3までに誤り/不足があるか、
MITREで対応していない新しい攻撃
の可能性もある

40. MITRE ATT&CKとは？ ：中身（マトリックス拡大）
40
戦術
（
サ
ブ
）
テ
ク
ニ
ッ
ク
戦術の中から、
該当するテクニ
ックを選ぶ

41. 4. Identify the Techniques : TIPS
・複数のテクニックに同時にマッピングされる場合もある
「ポート 8088 を介した HTTP ベースのコマンド アンド コントロール (C2) トラフィック」
⇒ 「Non-Standard Port」:T1571
「Application Layer Protocol」:T1071
41

42. 4. Identify the Techniques : TIPS
・MITREの戦術単位の一覧ページからキーワード検索(ブラウザ機能)
42
ブラウザの機能の検索「CTR+F」を推し
ているのは、人間味ある？/実用的だなと
思いました。

43. 4. Identify the Techniques : TIPS
・テクニックが適切な戦術と紐づいているか相互チェック
スキャン系でヒットするテクニックは下記のように複数あるが、
3で関連付けた戦術に該当するテクニックを選択する
• テクニック：Active Scanning –戦術:Reconnaissance
• テクニック：Network Service Scanning –戦術:Discovery
43

44. 5. Identify the Sub-techniques
特定したテクニックにサブテクニックがある場合、ふるまいに該当
するサブテクニックを特定。
基本は、テクニックの詳細版の手順。
44

45. 6. Compare your Results to those of Other Analysts
複数人で対応付けを行っている場合は、マッピングの結果をお互い
に比較することで、バイアスや見落としをなくし、精度を上げる
45

46. CISAのベストプラクティス
1. Find the Behavior ：ふるまいを見つける
2. Research the Behavior ：ふるまいを研究する
3. Identify the Tactics ：戦術を特定する
4. Identify the Techniques ：テクニックを特定する
5. Identify the Sub-techniques ：サブテクニックを特定する
6. Compare your Results to those of Other Analysts :比較する。
46

47. (再掲)
最近、TLPTの攻撃シナリオをMITRE ATT&CKベースで、
どのように効率的に作っていくか考えている
47
参考にしよ～

48. 気になっている点：情報あればシェアください！
・そもそも既にいい方法があれば知りたい
・RedTeamのノウハウを体系的に得たい
Zero Point SecurityのCRTOやPentester AcademyのCRTEが気になる
・脅威情報のレポート作成方法を知りたい
（特殊な情報源も必要になりそうなので、個人的に気になる）
48

49. 49
Thanks!
Any questions?
You can find me at @shunaroo

50. 参考
➢ スライドデザイン：https://www.slidescarnival.com/ja/%e3%82%ad%e3%83%a5%e3%83%bc%e3%8
3%88%e3%81%aa%e6%81%90%e7%ab%9c%e3%81%9f%e3%81%a1-%e3%83%97%e3%83%ac%e3%8
2%bc%e3%83%b3%e3%83%86%e3%83%bc%e3%82%b7%e3%83%a7%e3%83%b3/17821
➢ Zero Point Security :CRTO: https://www.zeropointsecurity.co.uk/red-team-ops/certification-pathway
➢ Pentester Academy: Certified Red Teaming Expert(Windows Red Team Lab): https://www.pentesterac
ademy.com/redteamlab
50