MITERATT&CK®フレームワークは、たとえ業界の権威であっても継続的な学習を必要とし、それに含まれる実用的な情報がこれまで以上に重要であることを証明しています。同様に、”クロスレイヤーの検知と対応”カテゴリのXDRは、「セキュリティ運用の生産性を向上させ、検出および応答機能を強化する」ため、企業に急速に受け入れられ、Gartnerのアナリストも頻繁に取り上げています。
これらのツールがどのように連携し、主要なサイバーセキュリティ業界のフレームワークを活用してサイバーセキュリティ防御の有効性を向上させるかはあまり知られていません。MVISION XDRでは、MITRE ATT&CKフレームワークとXDRの間に動的な相乗効果があります。これがどのように重要でありなぜ重要なのかを見ていきましょう。
Gartnerによると、XDRプラットフォームの最大の問題の1つ は、「脅威インテリジェンスと防御技術の多様性の欠如」と指摘されています。 そこで、XDRをMITREと連携させることで、調査、脅威の検出、および防止の機能の深さを大幅に拡大すると同時に、関連するInsights-洞察により攻撃チェーンを防止する確実性を高めます。
フレームワークは、 セキュリティ防御者が 企業ネットワークへのシステム侵入につながる動作(手法)を理解するために参照できる 敵対的手法の知識ベースを含む貴重なリソース です。
MVISION XDRでは、この相乗効果により、信頼できる唯一の情報源が共有されます。徹底的な影響分析を実施し、攻撃を防御または軽減する方法を決定する必要があるアナリストにとって、SOCワークフローにMITRE ATT&CKを加えることは不可欠です。
XDRがMITREATT&CK を適用し、フレームワークの運用を支援する5つの強力な手段を次に示します。
- 配置 MVISION XDRは、攻撃者の可能性のあるパス、フロー、およびターゲットをマップするナレッジベースを含むMITRE ATT&CKフレームワークに対応しています。調査の ために MITRE攻撃の洞察と積極的に連携するだけでなく、組織に攻撃を仕掛ける前に、予測および優先順位付けされた脅威キャンペーン への 完全なマッピングを 提供します。 これは、「次の犠牲者になるのか」というCISOの質問に答え ます。
- 調査 MVISION XDRは、特定の脅威キャンペーンとの視覚的な調整を提供し、手動のマッピング作業を排除し、重大なインシデントなどの次のステップに優先順位を付け て調査に対処または加速することにより、フレームワークを活用します 。
- 評価 MVISION XDRを使用すると、組織は次のような重要な問いにすばやく答えることができます。アクティブな脅威キャンペーンの派生する脅威はあるかに対し答えが「Yes」の場合、チームはXDRで推奨される予防ガイダンスを評価することにより、より迅速かつ確実に対応します。
- データ品質 MVISION XDRは、ATT&CKマトリックス全体から得られた集約データの並べ替えとフィルタリング 、より適切な調査のための運用化など 、「検出、推奨、応答」アクションの重要なガイドとしてMITREを使用します。
- 最適化 MITER ATT&CKフレームワークを使用して攻撃の手法と動作をマッピングすることで、SOCは根本原因を発見し、滞留時間をなくすことができます。MVISION XDRは、攻撃の分析と検証を超えて、エンドポイント、ネットワーク、クラウドのすべての経路にわたる攻撃の前後に、特定の予防と修復を提供します。
チェックリストではありません
一見すると、MITRE ATT&CKフレームワークマトリックスは、無数のサブテクニックとともに、SOCアナリストが評価する懸念事項のチェックリストのように読めます。しかし、そのように脅威の分析や調査に取り組むことは、ある種のトンネルビジョンにつながる可能性があります。MVISION XDRは、攻撃者が1セットの手法に限定されないことを認識しており、デバイス、ネットワーク、クラウド検出ベクトルを含むマトリックス全体をカバーすることで、チームの有効性を高めます。
MVISION XDRは、戦術、技術、手順(TTP)をMITRE ATT&CK情報に直接マッピングして関連付けることを容易にすることで、チームの状況認識も向上させます。XDRは、パターンを特定し、推奨される予防ガイダンスを評価するためのアナリストの負担を軽減する視覚化を提供します。
私たちがすでに指摘してきたとおり、MVISION XDRは、MITRE ATT&CK フレームワークを 個々のイベントではなく、動作を説明する複雑なクエリに連鎖させることができます。 MVISION XDRは仮説主導型であり、機械学習とAI(人工知能)を利用して複数のソースからの脅威データを分析し、MITRE ATT&CKフレームワークにマッピングします。
SOCチームのアナリスト、インシデントレスポンダー、およびチームの他のメンバーの有効性を高めることは、検出時間の短縮(MTTD)や修復(MTTR)など、よりスマートで優れたセキュリティ結果を生み出すために明らかに重要です。 MVISION XDRはまた、検出や応答などのセキュリティ機能を自動化することにより、チームの生産性を高め、より正確な防止を推進します。
実用的なインテリジェンスを備えたチームは、攻撃の前に企業をプロアクティブに強化できます。Gartnerが「XDRの目標は検出精度とセキュリティオペレーションセンター(SOC)の生産性の向上です」と述べており、MITRE ATT&CKフレームワークの統合は、競争力のある状態をもたらすと考えることができます。
結局のところ、MITRE ATT&CKとMVISION XDRの この勝利の組み合わせ は、経営幹部 と取締役会に十分なレベルの回復力の証拠を提供します。 有意義な情報交換は双方向でなければなりません。私たちはMITREチームと緊密に連携し、より広範なMITRE ATT&CKコミュニティに力を与えるための新しいマトリックスの開発に積極的に貢献しています。
MITERが重要である理由について、SOCwiseの専門家から詳細をお聞きください。
※本ページの内容は2021年3月29日(US時間)更新の以下のMcAfee Blogの内容です。
原文:5 Ways MVISION XDR Innovates with MITRE ATT&CK
著者:Kathy Trahan