疑似攻撃よるレスポンス予行演習

セキュリティインシデント対応チームにおいて、実際のインシデントが発生した場合、自社に導入されているセキュリティツールを駆使して、侵害の影響を把握し、影響を排除する対応が求められます。ただし、最近の攻撃は侵害があってから被害が拡大するまでの時間が大変短くなっています。そのため、事態の把握から駆除まで使える時間は限られています。そのため、発生しうる攻撃にどのようなものがあるのか、また、その攻撃があった場合、自社のセキュリティツールがどのように検知するのか（もしくは、しないのか）について事前に把握しておくことは、重要なポイントとなります。

＜インシデント対応チームの強化ポイント＞

• 発生しうる攻撃の種類の把握
• 攻撃発生時の自社セキュリティツールの動作の把握

世の中には、攻撃者がよく行う攻撃プロセスをモデル化したナレッジベースがいくつか公開されています。その中でもよく知られているのが「MITRE　ATT&CKフレームワーク」ではないかと思います。

MITRE ATT&CK Matrix

攻撃者が実行する各ステージを14の異なる戦術（Tactics）に分類し、OSごとに各戦術フェーズで使用される具体的な攻撃手法（Techniques）を列挙しています。攻撃者がとりうる行動が網羅的に整理されています。チームが、実際に起こりうる攻撃パターンを把握するうえで役に立つフレームワークです。

攻撃発生時の自社セキュリティツールの動作の把握

ただ、できれば、これらが具体的にどのような攻撃で、実際に侵害が発生した場合、自社のセキュリティーツールがどのような警告を出すのか、また、どのようなログが残るのが、それによってどのような追跡ができるのか、知っておきたいところです。

そのためには、自社で疑似的な攻撃を試してみるのがいいのですが、一から始めようとすると結構な時間がかかってしまいます。日々忙しいチームにおいては、その工数をひねり出すことはなかなか困難だと思われます。そこで活用してみたいのが、「Atomic Red Teamプロジェクト」が提供する疑似攻撃テストのライブラリです。

Atomic Red Teamプロジェクト

攻撃者が使う特定のテクニックを、安全な方法で疑似的に行うことができる個別のテスト方法が提供されています。各テストはMITRE ATT&CKに割り当てられた攻撃テクニック番号と関連付けられています。そのため、あまり時間をかけずに、MITRE ATT&CKにある攻撃を体験できます。併せて自社のセキュリティツールがどのように反応するのか事前にみておきたい際にも使えます。

なお、ここから、攻撃テクニック番号別に分類されたテスト方法をオンラインで閲覧することもできます。

Atomic Red Team テスト例

実際のテスト情報は、YAML形式とMD形式（MarkDown形式）の２種類のファイルにて提供されています。

まず、内容を理解したい場合は、MITRE ATT&CKからの概要説明も記載されていて、読みやすい形式で見ることができる MD形式（MarkDown形式）から読むことをお勧めします。

例）攻撃テクニック番号”T1218.011″（Signed Binary Proxy Execution: Rundll32）に対応するテスト手法の説明

説明をここから表示

この中に、以下の様な具体的なテストコマンドが記載されています。

これをそのまま実行するだけで、すぐに疑似攻撃テストを試してみることができます。簡易的ではありますが、よくある攻撃パターンへのインシデントレスポンスの予行演習に活用してみてはいかがでしょうか。