- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-11-23T11:24:45+09:00","","")
#freeze
#author("2019-11-23T11:54:03+09:00","","")
[[FrontPage]]
*LAC社サイバー119での攻撃実績が高く、かつ、ペネトレーションテスターが最も利用しやすいTactik [#ada4a24a]
*評価シートの概要 [#ee88da58]
MITRE ATT&CKは実際に発生しCVEに採番された攻撃を基に、約300もの手法を、以下の戦術に分類したものです。
-初期侵入
--悪意のあるファイルを添付したフィッシングメール
-悪意あるプログラムの実行
--コマンドラインインターフェースの悪用
--PowerShellの悪用
--Windowsタスクスケジューラ at, schtasks の悪用
--悪意あるスクリプティングの実行
--悪意あるWindowsサービスの実行
--メールに添付されたマルウェアファイルやリンクをユーザーが実行する
-永続化
--ローカルジョブスケジューリング(cron,at,launchd)の悪用
--不正なWindowsサービスの追加
--レジストリRunキーやスタートアップフォルダの悪用
-永続性
-特権昇格
-防御回避
--ファイル削除
--難読化されたファイルまたは情報
--悪意あるスクリプティングの実行
-認証情報アクセス
--資格情報のダンプ
-情報の探索
--アカウントの探索
--ファイルやディレクトリの探索
--ネットワークサービススキャン
--システム情報の取得
--システムネットワーク構成の取得
--システムユーザー情報の取得
-水平展開
--Pass the Hash
-情報収集
--ローカルシステムのデータ探索
--共有ドライブのデータ探索
-C&C
--一般的に使用されるポート
--アプリケーション層プロトコルの悪用
-情報の送信
--データの圧縮
--データの暗号化
-外部送信
-影響(データ消去や破壊など)~
*攻撃の評価 [#added0bb]
攻撃は初期侵入以降、様々なベクトルで試行されますが、水平展開までのベクトルで封じ込めができれば、被害の拡大を防止できることから、初期の戦術レベルでの緩和策を検討することが重要です。~
そのため、実際に発生したインシデントで使用された手法と、ペネトレーションテストで成功した手法を抽出できれば、多数の攻撃を少ない対策で防御でき、また、緩和しにくい手法について、運用面での検討が可能となります。~
そこで、LAC社のサイバー119の統計実績とペネトレーションテスターの方々の評価をもとにMITRE ATT&CKから絞り込んだのが、添付のファイルとなります。
*防御戦術の検討 [#gf706b48]
攻撃手法は27個あり、それぞれに対してATT&CKでは緩和策が49個提案されています。~
ただし、ATT&CKの緩和策は、具体的なものもあれば、概念的な記述に終わっているものもあるため、作業事務局で適切と考えられる防御手法をSTIGなどを参考にし追加しています。~
また、攻撃手法の内、OSの標準機能を使用するため緩和が困難なものが9個あります。従って、効果的とされる攻撃に対して防御的緩和が困難なものは、ログ監査による検出に努めるか、その攻撃に対してはリスク受容し他の手法の防御を厚くするなどの戦術レベルの検討が必要となります。~
