【2019/05/08更新】ATT&CKについてとMatrixの日本語抄訳

ATT&CKは、CVEの採番で有名な米国の非営利団体MITREが、サイバー攻撃の流れや手法などを体系化したものです。「Adversarial Tactics, Techniques, and Common Knowledge」の略で、無理やり直訳すると「敵対的戦術、テクニック、および共有知識」と言ったところでしょうか。

ATT&CKは、かの有名なロッキード・マーティンのサイバーキルチェーンやMicrosoftのSTRIDEのような抽象的な知識体系と、個々の攻撃コードや脆弱性が共有されるデータベースような具体的な知識の間に位置付けられています。（図はMITRE ATT&CK™ : Design and Philosophyより抜粋）

攻撃の大きな流れを表現したサイバーキルチェーンをより詳細な方法論に整理しつつ、実際に駆使された具体的な攻撃テクニックまでしっかり結びつけることを意図して生み出されたものと言えます。

ATT&CKモデルは「Adversary Group（攻撃の主体）」「Software（利用するソフトウェア）」「Technique（駆使するテクニック）」「Tactic（達成されるべき方策）」の４つ観点で整理されています。（図はMITRE ATT&CK™ : Design and Philosophyより抜粋）

右図の例示で言えば、攻撃主体として「APT28」が、「Mimikatz」というソフトウェアを利用して、「Credential Dumping」というテクニックで、「Credential Access」を達成した、というような整理が可能になります。

こういった考えのもと、「Technique」と「Tactic」を一覧にしたものが ATT&CK Matrixです。このマトリクスは、見出し行に「Tactic（達成されるべき方策）」が書かれ、その下に具体的な「Technique（駆使するテクニック）」が羅列される形となっています。（図はATT&CK Wikiをスクリーンショットした一部）

なお、ATT&CKには３つのカテゴリがあり、サイバーキルチェーンで言うところの「Deliver」までを「PRE-ATT&CK」カテゴリー、それ以降については、環境別に「ATT&CK for Enterprise」と「ATT&CK Mobile Profile」とに分けて整理されています。

今回は、普段のセキュリティ対応や運用でもっとも関連することの多いであろう「ATT&CK for Enterprise」Matrixについて、SOCYETIの有志メンバーで日本語化を試みてみました。

Googleスプレッドシート「MITRE ATT&CK 日本語化」

直訳するとなかなか意味がわかりにくいものも多く、理解を助けるために意訳したシートも作成しています。（あくまで内部的な勉強のために作成したものであるため、荒い部分は多々ありますが、もしフィードバックなどいただけましたら貪欲に吸収していく所存です。）

まだ単に訳してみたと言う段階ですが、今後もSOCYETIではATT&CKへの理解を深め、SOCアナリストやオペレーターのみならず、ユーザーとの意思疎通、情報共有がより効果的に行われるよう、セキュリティ運用における具体的な活用シーンを検討し、活用の場を広めていきたいと考えています。

【2019/05/08更新】

Googleスプレッドシート「MITRE ATT&CK 日本語化」に、新設されたTactic "Impact"を追記しました。

※ ATT&CK and ATT&CK Matrix are trademarks of The MITRE Corporation