マカフィーが優れた保護効果を発揮
結論: マカフィーは、MITRE ATT&CK EvaluationにおいてCarbanak とFIN7の脅威の攻撃チェーンを15%(平均)以内で阻止、重要なセキュリティーオペレーション (SOC) 戦略を実現しました。可能な限り早い段階で攻撃を阻止します。
2021年4月、MITRE EngenuityはMITRE ATT&CKフレームワークTTPs(Tactics, Techniques, and Procedures)を用いたCarbanakとFIN7の評価に関する結果を発表しました。マカフィーをはじめとする28社のベンダーが、さまざまな攻撃手段に対するサイバーセキュリティ ソリューションの機能性テストを実施しました。今回は模擬攻撃として、既知のTTPsを全面的に活用し、CarbanakとFIN7の攻撃キャンペーンを実行しました。
Carbanakの攻撃は、ステルス性と時間を必要とします。攻撃者が侵入して大切な資産や情報を盗み取る間、インフラ内で検知されずに実行されます。攻撃者は、複雑なカスタムTTPsを計画的に実行して目的を達成します。早い段階で攻撃を検知して阻止するほど、侵入の成功、資産へのダメージ、重要な情報の流出リスクが低くなります。
シフトレフト: 足場を築かせる前に脅威を阻止
マカフィーは、全10回のテストにおいて脅威を100%ブロックして優れた防御を証明しました。一方で、いくつかのエンドポイント セキュリティ プロバイダーは、脅威をすべて検出してブロックすることはできず、例えばCrowdStrikeはプロテクションテストにおいて30%をブロックすることができませんでした。
また、マカフィーは全テストにおいて、最初の15%(平均)のステップで攻撃をブロックすることに成功しました。一方で、CrowdStrikeはブロックするまでに、攻撃チェーンの50%(平均)のステップの実行を許しました。早い段階で攻撃チェーンの脅威を検知するほど、被害が出る前に締め出す可能性が高くなります。
マカフィーはデータとテレメトリを組み合わせることによって、分析ベースの検出を包括的に実施、素早く防御します。Time-Based Securityの評価によってブルーチームがタイムリーで意味のある実用的な情報を得ることが可能であるか判断します。マカフィーは、具体的なMITRE Engenuity ATT&CK フレームワークを参照することによって、この項目において高い評価を得ています。インシデントを一元管理し、詳細なテレメトリを行うことで迅速な検知、調査、対応を可能にして流出リスクを低減します。マカフィーはTime-Based Security* (TBS) の採用によって早い段階でブロックを実施、被害の拡大を軽減します。Time-Based Securityの項目において、マカフィーはCrowdStrikeを大幅に上回る良い評価を得ました。
マカフィーはどのようにして高度な脅威を正しく評価することに成功したか
攻撃サイクルにおいて、シフトレフトを中心に製品と機能性を調整することが成功の要です。シフトレフト、つまりできるだけ早い段階でキルチェーンの時間軸に関与することで、防御側は攻撃を検知・阻止し、最小のコストで最小限のリスクにとどめることができます。
脅威をブロックできない場合は、広範かつ実用的なアラートと情報を提供し、タイムリーに対応・修復できるようにします。MITRE Carbanak+FIN7のテストにおいて、マカフィーはAlert Actionability*の点でCrowdStrikeと比較して優位性を示しました。
(Time-Based SecurityとAlert Actionabilityの詳細についてはこちらの昨年のブログをご参照ください: SOC vs MITRE APT29 評価-Cozy Bearとの戦い )
今こそ脅威アクターに打ち勝つとき
技術的に高度な攻撃が増えている昨今では、MITRE ATT&CK evaluationsでは高度な技術や手順の模擬を実施します。今こそマカフィー のツールと シフトレフトのベストプラクティスによって脅威アクターに打ち勝つ時です。
巧妙な攻撃者は、予測不可能な方法でインフラや資産を脅かし、機会を見逃しません。複雑に多様化した脅威の攻撃チェーンを特定することは困難です。マカフィーは、エンドポイントの枠にとどまらず、拡張検知・応答機能を進化させていきます。マカフィーのMVISION XDRなどのソリューションと統合することによって、セキュリティ運用チームは、エンドポイント、ネットワーク、クラウドなどハイブリッドエンタープライズ全体で、統一された可視化と制御の恩恵を受けることができます。
最も重要なことは、統合されたエコシステムを用いて攻撃者を倒すことです。MVISION XDRはマカフィー以外のセキュリティ資産ともオーケストレーションして、即座にサイバー脅威の管理を実施、ガイド付き調査と自動調査の両面からサポートします。
最近のMITRE Carbanak+FIN7の保護テストの結果が示すように、業界では早期検出とプロアクティブなブロック機能の価値が認識されており、リアクティブなサイバー防御にかかる労力と損害を減らすことができます。ダイナミックな機能により、より早くより効果的に高度な攻撃を阻止することができます。マカフィーは、お客様のセキュリティ運用チームがより早くより効果的な結果を出せるようお手伝いします。
* これらの重要な機能は、SOCやXDRのニーズに最大限の価値を与えるように設計されたマカフィーのアルゴリズムによって定義されています。 これらのアルゴリズムの詳細については、当社のMITRE Evaluationsに関するblogをご覧ください。
性能の評価はMITRE Engenuityではなく、マカフィーによるものです。
MITRE Engenuity ATT&CK Evaluationsは、MITRE ATT&CKⓇフレームワークに関連した製品の能力について、ベンダーやエンドユーザーの理解を高めることを目的とした、ベンダーによる有償の評価です。 MITREは、攻撃者の戦術や技術に関する実際のレポートに基づいて、ATT&CKのナレッジベースを開発・維持しています。ATT&CKは自由に利用することができ、産業界や政府機関が攻撃者からの防御のために評価と選択を行う際、可視性、防御ツール、プロセスのギャップの発見などに広く利用されています。MITRE Engenuityは、さまざまな組織が独自の分析と解釈を行うことができるように手法と結果のデータを公開しています。この評価は、ランキング、製品の推薦を意図したものではありません。
※本ページの内容は2021年5月5日(US時間)更新の以下のMcAfee Blogの内容です。
原文:McAfee Proactive Security Proves Effective in Recent MITRE ATT&CK™
著者:Naveen Palavalli