MITRE ATT&CKに基づく詳細設定対策
Last-modified: 2021-09-28 (火) 11:27:52
Top/MITRE ATT&CKに基づく詳細設定対策
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
詳細設定対策
MITRE ATT&CKによる設定対策(絞り込み済み) †
本項では、MITRE ATT&CK で分類された攻撃手法の内、日本国内でもっとも使用されたと考えられる手法を有識者によって絞り込み、DoD STIG、CIS Benchmark、MS Security
Base Line、Security Configration Framework を参考に、有効な緩和策を取りまとめたものです。
| 戦術 | 手法 | 緩和策 |
| 初期侵入 | ・悪意のあるファイルを添付したフィッシングメール | 特権アカウント管理 |
| ユーザートレーニング | ||
| 電子メール、ブラウザの厳格運用 | ||
| 検知システム | ||
| 悪意あるプログラムの実行 | ・コマンドラインインターフェースの悪用 | 特権アカウント管理 |
| ホワイトリスト、ブラックリスト | ||
| 監査(イベントログ) | ||
| 開発業務と一般業務の分離 | ||
| ・PowerShellの悪用 | 機能やプログラムの無効化または削除 | |
| コード署名 | ||
| ホワイトリスト | ||
| ・Windowsタスクスケジューラ at, schtasks の悪用 | 監査(イベントログ) | |
| ・悪意あるスクリプティングの実行 | 電子署名 | |
| 保護されたビュー | ||
| ・悪意あるWindowsサービスの実行 | 特権アカウント管理]] | |
| 監査(イベントログ) | ||
| 脆弱性の排除 | ||
| ・メールに添付されたマルウェアファイルやリンクをユーザーが実行する | 特権アカウント管理]] | |
| ユーザートレーニング | ||
| 電子メール、ブラウザの厳格運用 | ||
| 検知システム | ||
| 永続化 | ・不正なWindowsサービスの追加 | 特権アカウント管理]] |
| 監査(イベントログ) | ||
| 脆弱性の排除 | ||
| ・レジストリRunキーやスタートアップフォルダの悪用 | 監査(イベントログ) | |
| 防御の回避 | ・ファイル削除 | 侵入検知システム |
| ・難読化されたファイルまたは情報 | AMSI対応アンチウイルスソフトの適用 | |
| 侵入検知システム | ||
| ・悪意あるスクリプティングの実行 | 電子署名 | |
| AppLocker | ||
| 認証情報アクセス | ・認証情報のダンプ | 特権アカウント管理 |
| Active Directoryの構成 | ||
| 多要素認証 | ||
| ・脆弱性を悪用した認証情報アクセス | 脆弱性管理 | |
| 情報の探索 | ・アカウントの探索 | ポリシー設定 |
| 監査(イベントログ) | ||
| ・ファイルとディレクトリの探索 | ダイナミックアクセス制御 | |
| サーバーへの集約 | ||
| 監査(イベントログ) | ||
| ・ネットワークサービスのスキャン | 脆弱性管理 | |
| 侵入防止システム | ||
| ポート管理 | ||
| ・システム情報の探索 | 脆弱性管理 | |
| ・システムのネットワーク設定の探索 | 監査(イベントログ) | |
| ・システムユーザーの探索 | ポリシー設定 | |
| 監査(イベントログ) | ||
| 水平展開 | ・Pass the Hash | Hashの取得阻止 |
| 水平展開の防止 | ||
| 垂直展開の防止 | ||
| 情報の収集 | ・ローカルシステムからのデータ収集 | 暗号化 |
| 監査(イベントログ) | ||
| 侵入防止システム | ||
| ・ネットワーク共有ドライブからのデータ収集 | 簡単に軽減できない | |
| ・データの圧縮 | 監査(イベントログ) | |
| 外部からの指令統制 (C&C) | ・一般的に利用されるポートの悪用 | 監査(イベントログ) |
| ポート管理 | ||
| ・標準アプリケーションレイヤプロトコル(HTTP,SMTPなど) | 監査(イベントログ) | |
| ポート管理 | ||
| ・データの暗号化 | 監査(イベントログ) | |
| 持ち出し | ・データの暗号化 | 監査(イベントログ) |