マカフィーが提供するCASB、Mvision Cloudは5.2.1へのバージョンアップに伴い、MITREが開発したMITRE ATT&CKへの対応を完了した。CASB製品では世界初となる。

■MITRE(マイター)とは?

　MITREは、米国の連邦政府が資金を提供する非営利組織。世界中の脆弱性情報に対して採番を行うCVE-ID（Common Vulnerabilities and Exposures） の運用を行っている。

■MITRE ATT&CKとは?

　ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略で、CVEをもとに、脆弱性を悪用した実際の攻撃を戦術と技術の観点で分類したナレッジベースである。

　ATT&CKではサイバー攻撃の一連の流れをPRE-ATT&CKとATT&CKといった2つに分けて戦術をまとめている。

　・PRE-ATT&CK

　　サイバー攻撃者が標的に対する偵察活動等や攻撃用ツール等を開発する、攻撃前の一連の「準備活動」に関する戦術をまとめたもの。

　　ロッキード・マーティン社のサイバーキルチェーンの"偵察"と"武器化"に該当する。

　・ATT&CK for X

　　サイバー攻撃者が何らかの手段を用いて、標的への侵入活動や潜伏活動、特権昇格等の「具体的なサイバー攻撃」に関する戦術を対象ごとにまとめたもの。

　　現在提供されている対象は、企業内のデスクトップPCを想定したATT&CK for EnterpriseにてWindows、macOS、Linux、Cloud、Networkが提供されている。モバイルデバイスを対象としたATT&CK for Mobileでは、Android、iOS用が提供されている。

　サイバーキルチェーンの"配送"、"攻撃"、"インストール"、"遠隔操作"、"侵入拡大"、"目的実行"に該当し、戦術レベルでより細分化したものとなる。

■Mvision CloudでサポートするATT&CK for Cloud

　今回、マカフィーのCASBである、Mvision Cloudで提供が開始されたのは、ATT&CK for Cloud。ATT&CK for Cloudには、AWS、GCP、AzureといったIaaSと、MS365、Azure ADといったMS365に関するもの、その他SaaSがあるが、Mvision Cloudで対応するサンクションITのライセンスを購入することで、各ライセンスに対応したATT&CK for Cloudベースでの脅威情報が可視化可能になる。

　例えば、Mvision Cloud for IaaSのライセンスを購入すれば、ATT&CK for AWS等に関する脅威情報が可視化されるようになる。AWSテナントに不正アクセスを試みようとしただけなのか、あるいは不正アクセスが成功しEC2インスタンスを起ち上げたのか?ネットワークの盗聴を行うとしているのか?といったAWSテナントの不正操作で実行可能な「戦術」が可視化される。

■ATT&CKで可視化することの重要性

　これまでにも、Mvision Cloudにはクラウドサービスに仕掛けられた不正アクセスを検出する機能や、不審なアクティビティから「アノマリー」を検出する機能は提供されていた。しかし、昨今のサイバー攻撃は、巧妙な「シナリオ」に基づいて実行される傾向にあり「不正アクセス」を検出するだけではだめで、その先にある「攻撃者の目的」や「被害状況」を理解することも大切だ。

　これまでは、こういった「攻撃者の目的」や「被害状況」を把握するには、SoC担当者等の個人の力量に委ねられることが多く、その分析にも時間を必要としていた。また、仕掛けられている攻撃に対して「共通の軸」が無かったために、発生したインシデントに対してSoC担当者間で捉え方が異なり、協調作業が行えないなども問題視されていた。

　しかし、ATT&CKダッシュボードを利用すれば、どのような攻撃手法で侵入され、どのようなデータにアクセスされたのか?といったことまで可視化してくれるので「いまはこの戦術が利用されている」といったことを可視化してくれるので、SoC担当者間で「共通の軸」をベースに対話することが可能になり、協調作業がスムーズに進むことが期待できる。

　サイバー攻撃の予防や、インシデント対応の負荷軽減といった効果が期待出来るだろう。

■見落とされがちなクラウドへの攻撃

　MITRE ATT&CKはこれまでEDR製品に実装されることが多かった。EDRが対象としていたのは、主にATT&CK for Windows等の企業用パソコンを対象としていたためMvision Cloudを導入することで、ATT&CK for Cloudの領域を補完することが可能になる。

　Covid-19の感染拡大によって世界中でテレワーク対応が進み、クラウドサービスはサイバー攻撃対象として急速に狙われる対象となっている。マカフィーの調査によれば、企業が利用するクラウドサービスに対するサイバー攻撃は平均月485回を超えるという。

　EDRのMITRE ATT&CKでパソコン等のエンドポイントに関するサイバー攻撃を可視化し、Mvision Cloudでクラウドサービスに仕掛けられるサイバー攻撃を可視化する。こうすることで、自社に加えられているサイバー攻撃を漏れなく把握することが出来るようになり、大きな被害を受けるまえに、対策を練ることが出来るようになるだろう。

■変化するCASBの方向性

　これまで、CASBはシャドーITの可視化や、IaaSの設定ミス、SaaSの機密情報漏洩対策に用いられることが多く「内部不正対策」を防止するためのセキュリテイソリューションという側面が強かった。

　しかし、ATT&CK for Cloudの提供が開始されたことで、クラウドサービス全般に仕掛けられる「サイバー攻撃」に関する判断材料を可視化することが可能になった。

　今後はクラウドサービス利用に関する「内部不正」「外部脅威」の両面をCISOやSOCチームが「分析」するための、インテリジェンスを提供出来るソリューションへと変化していくことが期待出来そうだ。