Core Concepts
MITRE ATT&CKのデータを用いて攻撃ツリーを自動生成し、cATMロジックを用いて攻撃キャンペーンの確率論的な定量化と比較を可能にするフレームワークを提案する。
本稿は、MITRE ATT&CKのデータを用いて攻撃ツリーを自動生成し、cATMロジックを用いて攻撃キャンペーンの確率論的な定量化と比較を可能にするフレームワークを提案する研究論文である。
研究目的
サイバーセキュリティの脅威は日々複雑化しており、高度な知識を持つ攻撃者による組織的な攻撃キャンペーンが増加している。この状況下では、セキュリティ対策の優先順位を決定するために、攻撃キャンペーンのリスクを定量化し、比較できることが不可欠となる。本研究は、MITRE ATT&CKのデータを用いて、攻撃キャンペーンの確率論的な定量化と比較を可能にするフレームワークを提案することを目的とする。
方法論
本研究では、MITRE ATT&CKのデータから攻撃テクニックの確率をデータ駆動型の手続きを用いて定量化する。具体的には、各攻撃テクニックが攻撃者の戦術目標の達成に利用された頻度を確率として計算する。さらに、この確率データを用いて、MITRE ATT&CKのデータから自動的に構築される攻撃ツリーテンプレートを用いて、攻撃キャンペーンの成功確率を推定する。攻撃ツリーテンプレートは、攻撃者の視点から攻撃の難易度を「難しい」「デフォルト」「簡単」の3段階で表現しており、セキュリティ専門家が独自に作成した攻撃ツリーモデルと比較するためのベースラインを提供する。また、cATMロジックを用いることで、攻撃ツリーモデルの定量的な指標を計算し、攻撃キャンペーン間の比較を可能にする。
主な結果
本研究では、提案するフレームワークを用いて、MITRE ATT&CKに記録されているすべての攻撃キャンペーンの確率を定量化した。また、WocaoキャンペーンとDream Jobキャンペーンを例に、提案手法で生成した攻撃ツリーテンプレートと、従来の攻撃ツリーモデルを手動で構築した場合の比較を行った。その結果、提案手法はモデル化の労力が大幅に軽減されながらも、定量的に重要なデータをすべて捕捉できることが示された。
結論
本研究で提案するフレームワークは、MITRE ATT&CKのデータを用いて攻撃キャンペーンの確率論的な定量化と比較を可能にする。これにより、セキュリティ専門家は、どの攻撃キャンペーンが最も発生しやすいか、どのキャンペーンに防御の優先順位を置くべきかについて、より適切な意思決定を行うことができる。
意義
本研究は、MITRE ATT&CKのデータに基づいた攻撃キャンペーンの定量化と比較のための体系的なフレームワークを提供することで、サイバーセキュリティリスク評価の分野に貢献するものである。
制限と今後の研究
本研究では、MITRE ATT&CKのデータのみに基づいて攻撃キャンペーンの確率を定量化している。しかし、実際の攻撃キャンペーンの確率は、標的となる組織のセキュリティ対策や攻撃者の能力など、さまざまな要因によって異なる可能性がある。今後の研究では、これらの要因を考慮したより精度の高い確率推定手法を開発する必要がある。
Stats
本稿では、600以上の攻撃テクニックが記録されているMITRE ATT&CKデータベースから攻撃確率を計算する方法を提案している。
攻撃ツリーテンプレートは、攻撃者の視点から攻撃の難易度を「難しい」「デフォルト」「簡単」の3段階で表現している。