2018/11/28、Internet Week 2018のBoF（Birds of a feather：同じ興味を持つもの同士の交流の場）の一つとして「ATT&CK」について情報共有する機会をいただき、SOCYETIが主催しました。少し遅くなってしまいましたが、今回はその活動報告です。

「ATT&CK」のみを取り上げるイベントとしてはおそらく日本で初めてで、どのくらいの方に集まっていただけるか心配でしたが、当日は約40名の方に参加していただきました。ありがとうございます。

まず初めに行ったのは「MITRE」と「ATT&CK」の読み方の確認です。みなさんかなり想い想いの読み方をしていたので…笑。

YouTubeにアップされている公式の動画で確認しました。下記の動画の16秒当たりですので、みなさんもぜひ自分の耳で確かめてみてください。

以降のイベント内のコンテンツは下記の通り。

• ATT&CK認知度アンケート
  
• ATT&CKの概要
  
• ATT&CKをどう使う？
  
• ATT&CKが活用されているツール
  
• ATT&CKのこれから
  

ATT&CK認知度アンケート

まずはATT&CKの認知度とその活用状況についてリアルタイムアンケートを実施してみました。結果は下記の通りです。

そもそもこのイベントに参加するセグメントという時点で偏りはあるはずですが、それでもBoFの周知以前からATT&CKを知っていた方は約半数でした。一般的な認知度はこれよりぐっと低いはずなので、日本ではまだまだ知られていない状況のようです。

また、業務における活用度も全体としては低いものの、一部の現場では利用され始めていることがわかりました。今後ますます活用の輪が広がっていくだろうと思われます。

ATT&CKの概要

アンケートの後は改めてATT&CKの概要を、本家サイトとSOCYETIの解説＆抄訳を用いてお話ししました。SOCYETIの解説＆抄訳は下記のリンクからご覧ください。

ATT&CKをどう使う？

ここではSOCYETIメンバーのkaz (@socinforesearch) さんからLTしていただきました。当日のLTをブログに書き起こしてくださってますので、ぜひ下記をご覧ください。

ATT&CKが活用されているツール

kazさんのLTでもいくつか言及されていますが、様々なサービスでもATT&CKの正式な採用が始まっており、商用製品にも組み込まれています。製品の情報は各社のニュースリリースなどを追うとキャッチアップできます。

オンラインで使える下記のようなサービスでも採用されています。

• Hybrid Analysis
  
• ANY.RUN
  
• Joe Sandbox

また@0xiso_さんからもオープンソースの脅威情報共有プラットフォームであるMISPにおけるATT&CK機能の紹介がありました。下記のリンクはMISPの公式リリースです。動画も見られますので気になった方はチェックしてみてください。

ATT&CKから少し離れてMISPそのものの勉強会になりかける瞬間もあり、MISPに興味をお持ちの参加者も多かったのが印象的でした。

その他、ATT&CKに関して、ここまでの内容も含め、McAfee （小川 泰明）さんの記事が非常によくまとまられており、その紹介もありました。

ATT&CKのこれから

このセッションではSOCYETIの発起人メンバーの林さんから、SOCの運用現場としてどのようにATT&CKが活用されていき、それがユーザー企業も含め、セキュリティ対応全体の現場においてどんな形になりうるかという話がありました。

踏み込んだ内容が多くここではご紹介できないのが残念ですが、議論する中で見えてきたのは、このATT&CKをフレームワークとして、各製品、各マネージドセキュリティサービス、各商用SOCが同じ基準で通知を行うことができれば、それらを活用するユーザー側も含めて、より統合的なセキュリティ対応を実現できるのではないかという方向性でした。

また、ATT&CKは今後国内においても確実に広まっていくだろうというのもみなさん感じているようでした。

そして会としてはここでタイムオーバー。InternetWeek事務局の皆様もギリギリまで粘っていただいていたようですが、会場のリミットということで即時撤収。参加者の皆様もスムーズな撤収ありがとうございました。

謝辞

今回活用させていただいたInternet Weekの「BoF」は、開催について審査はあるものの、JPNICさまの計らいで場所代や設備が無料という太っ腹な枠組みが毎年継続されています。今回のようにまだ認知度の低いお題であっても実験的イベントとしてチャレンジしやすいとても素晴らしい営みとなっており、この場を借りて改めて感謝申し上げます。ありがとうございました。

※ MITRE ATT&CK and ATT&CK are trademarks of The MITRE Corporation.

徐々に定番になりつつあるSOCYETIのハンズオンイベント。今回はパロアルトネットワークス社の全面協力のもと開催させていただきました。

ハンズオンだけでなく、パロアルトネットワークス本社のSecurity Operationの中心メンバーにより、リアルなインシデント事例を踏まえながら、クイズ形式でその一端を体感できるようなコーナーも設けていただき、大盛況でした。

Intelligence-Driven Security Operationという、実際の攻撃事例からインテリジェンスを得ながらオペレーションしていく概念についての説明もありました。アタックライフサイクルの前半はなるべく自動的に検知できるようにして、マルウェアが入り込んできた後など後半に人的な分析・調査のウェイトを置けるようにしていこうというトレンドを改めて感じました。ここでもATT&CK（本サイトでも日本語抄訳しております）が取り上げられていました。かなり急速に普及しているようです。

ちなみにオススメの本は「Intelligence-Driven Incident Response」だそうです。

そして後半はMagnifierのハンズオン。これまでEDRのハンズオンをしてきたので、エンドポイントを起点にして脅威の全体を捉える流れでしたが、Magnifierはネットワーク側の挙動を起点としたアプローチからエンドポイントに入っていくので、NWベースのセキュリティを扱うSOCのメンバーは、馴染みやすい部分もあったようです。

自由に触れる環境を用意いただいたので、参加者もかなり深く利用してみていたようで、厳しい突っ込みをして講師を困らせるような場面もありました。逆に、こちらの期待を良い意味で裏切る回答もあったりして、これこそがSOCYETIが求めているサプライヤーとアナリスト・オペレーターの関係だと思うので、主催側としてはとてもよかったかなと思います。

今回のような機会をご提供いただいたパロアルトネットワークス社には、この場を借りて改めて感謝申し上げます。

---

SOCYETIでは、SOCの最前線で業務を行う各社のアナリストやオペレーターと様々なプロダクトやサービスが出会い、高め合える場も用意して行きたいと考えております。このような営みにご興味のあるサプライヤーの方がおりましたら、ぜひinfo@socyeti.jpまでご連絡ください。

もちろん、最新の技術、プロダクトに触れたいというSOCアナリスト・オペレーターのみなさまのご参加もお待ちしております！

ATT&CKは、CVEの採番で有名な米国の非営利団体MITREが、サイバー攻撃の流れや手法などを体系化したものです。「Adversarial Tactics, Techniques, and Common Knowledge」の略で、無理やり直訳すると「敵対的戦術、テクニック、および共有知識」と言ったところでしょうか。

ATT&CKは、かの有名なロッキード・マーティンのサイバーキルチェーンやMicrosoftのSTRIDEのような抽象的な知識体系と、個々の攻撃コードや脆弱性が共有されるデータベースような具体的な知識の間に位置付けられています。（図はMITRE ATT&CK™ : Design and Philosophyより抜粋）

攻撃の大きな流れを表現したサイバーキルチェーンをより詳細な方法論に整理しつつ、実際に駆使された具体的な攻撃テクニックまでしっかり結びつけることを意図して生み出されたものと言えます。

ATT&CKモデルは「Adversary Group（攻撃の主体）」「Software（利用するソフトウェア）」「Technique（駆使するテクニック）」「Tactic（達成されるべき方策）」の４つ観点で整理されています。（図はMITRE ATT&CK™ : Design and Philosophyより抜粋）

右図の例示で言えば、攻撃主体として「APT28」が、「Mimikatz」というソフトウェアを利用して、「Credential Dumping」というテクニックで、「Credential Access」を達成した、というような整理が可能になります。

こういった考えのもと、「Technique」と「Tactic」を一覧にしたものが ATT&CK Matrixです。このマトリクスは、見出し行に「Tactic（達成されるべき方策）」が書かれ、その下に具体的な「Technique（駆使するテクニック）」が羅列される形となっています。（図はATT&CK Wikiをスクリーンショットした一部）

なお、ATT&CKには３つのカテゴリがあり、サイバーキルチェーンで言うところの「Deliver」までを「PRE-ATT&CK」カテゴリー、それ以降については、環境別に「ATT&CK for Enterprise」と「ATT&CK Mobile Profile」とに分けて整理されています。

今回は、普段のセキュリティ対応や運用でもっとも関連することの多いであろう「ATT&CK for Enterprise」Matrixについて、SOCYETIの有志メンバーで日本語化を試みてみました。

Googleスプレッドシート「MITRE ATT&CK 日本語化」

直訳するとなかなか意味がわかりにくいものも多く、理解を助けるために意訳したシートも作成しています。（あくまで内部的な勉強のために作成したものであるため、荒い部分は多々ありますが、もしフィードバックなどいただけましたら貪欲に吸収していく所存です。）

まだ単に訳してみたと言う段階ですが、今後もSOCYETIではATT&CKへの理解を深め、SOCアナリストやオペレーターのみならず、ユーザーとの意思疎通、情報共有がより効果的に行われるよう、セキュリティ運用における具体的な活用シーンを検討し、活用の場を広めていきたいと考えています。

【2019/05/08更新】

Googleスプレッドシート「MITRE ATT&CK 日本語化」に、新設されたTactic "Impact"を追記しました。

※ ATT&CK and ATT&CK Matrix are trademarks of The MITRE Corporation

前回が非常に好評だったため、さっそく第2回を開催してみました。

今回はCounterTack社の全面協力のもと、トライアル環境も用意いただき、概要の説明から実機検証までじっくりと取り組む会となりました。

CounterTack社は日本での展開を始めたばかりで、まだまだSOCアナリストも十分に触れる機会が少ない状況でしたので、今回のハンズオンが良い機会になったのではないかと思います。

また、ハンズオンでは単純に製品の機能をなぞるだけでなく「SOCだからこそ使って欲しい」というかなりプロ向けな機能にも踏み込んだ内容もあり、非常に満足度の高いものでした。

参加したメンバーは、前回のFireEye HXや各社が運用サービスを提供しているその他のEDR製品と比較し、メリット・デメリットなども意識しながら取り組んでいました。

今回のような機会をご提供いただいたCounterTack社には、この場を借りて改めて感謝申し上げます。

SOCYETIでは、SOCの最前線で業務を行う各社のアナリストやオペレーターと様々なプロダクトやサービスが出会い、高め合える場も用意して行きたいと考えております。このような営みにご興味のあるサプライヤーの方がおりましたら、ぜひinfo@socyeti.jpまでご連絡ください。

もちろん、最新の技術、プロダクトに触れたいというSOCアナリスト・オペレーターのみなさまのご参加もお待ちしております！

参考リンク：

SOCYETIとして初めての試みだったハンズオン。 最終的には15社36名が参加し、無事完遂することができました。ありがとうございます。

今回は、EDR製品を10種類以上目利きし、SOCで運用もしている林さん（SOCYETIの発起人の一人でもあります）を講師に、みんなでEDR解析を体験してみました。

ハンズオンの流れとしては、EDR解析の勘所の解説、ツール（Redline）の使い方レクチャー、各自で解析体験、答え合わせ、というような流れで進めました。

解析体験では、怪しげな実行ファイルのパスとファイル名だけが示されるところから、侵入経路や被害の内容を解明していく流れを体験できました。

ツールとしてはRedlineでしたので、トリアージファイルと呼ばれる、プロセスやレジストリの情報、イベントログ、ネットワーク挙動の断片が残されたデータを元に解析するものでした。

EDR製品はFireEye HX, Carbon Black, Cyber Reasonなど様々なものが出てきておりますが、それぞれが全く異なる特徴を持ち、使い勝手や分析方針も大きく異なります。そのため、すでにとあるEDR製品を運用しているSOCメンバーであっても、「今回の解析内容は新鮮に感じた」と言っていたりと、各メンバー学びは多かったようです。

後半はいつものように、そのまま懇談会へ突入。今回はDirectPollというものを使って、リアルタイム匿名アンケートを実施してみました！

左が結果画面で、右が投票用URLのQRコードになってますが、リアルタイムに棒グラフが積み上がっていくのでかなり盛り上がりました。無料ということでかなりオススメです。ただし、リンクを知っていれば誰でも結果を見ることが可能なので、アンケート内容にはご注意を。（とは言え、今回は結構攻めてましたね…）

今後も、商用SOCメンバーでもプライベートSOCメンバーでも楽しみながらレベルアップできるようなハンズオンを企画していきたいと思います。

今回参加できなかったSOCアナリストのみなさまも次回をご期待ください！

参考リンク：

2016年6月から仲間内で少しずつ活動してきましたが、メンバーも増え十社以上のSOC関係者数十名が集まるまでになりました。そろそろ表立った活動をする頃合いかなと思い、サイトを公開することにしました。

日本SOCアナリスト情報共有会（SOCYETI ソサイエティあるいはソックイエティ。通称イエティ）は、企業ではなく個人が参加するための団体です。セキュリティオペレーションで働く仲間同士のつながりを 厚くすることで、SOCの仕事が世間により理解されるように、働く環境がより良いものになるように、みんなに憧れられるものとなるように、そんな風に想いながら、地道に活動を行なっています。

スキルアップのための勉強会なども行なっていますので、SOCで働いている人はぜひ参加してみてください。今後公開イベントなども行い、SOC従事者ではなくても興味を持っていただけるような機会も設けたいと思っておりますの。ぜひウォッチしていただければ幸いです。

どうぞよろしくお願いいたします。

共同発起人　阿部慎司