妥協と戦術、テクニック、手順の指標

サイバー攻撃に対処するための業界の現在のアプローチは十分ではありません。これは主に、ファイアウォールなどの自動化ツールを組み合わせたウイルス対策ソリューションがサイバー脅威に対して適切であると企業を含む顧客に確信させる市場によって引き起こされます。ただし、これらのサイバー防御は、多くの場合、意欲的で意欲的な攻撃者によって簡単に回避されます。たとえば、ほとんどのウイルス対策ソフトウェアは、メモリ内のマルウェア、または攻撃者によって盗まれた正当なコード署名証明書によって署名されたマルウェアにのみ抵抗できます。同様に、悪意のあるトラフィックを偽装することにより、ファイアウォールやその他のネットワーク監視手段を迂回して、マルウェアが生成したトラフィックを監視ツールで正当またはアクセスできないように見せることができます。多くの場合、マルウェアはHTTPプロトコルを介して正常に通信し、通常のユーザーの動作を模倣します。さらに、トラフィックをエンコードまたは暗号化できるため、自動化された方法で分析することが難しくなります。最後に、これらのソリューションの一部は無料（つまりEMET）であるか、リソースが豊富な攻撃者が容易に利用できるソリューションであるため、攻撃者はゼロデイ対策を回避することさえできます。十分な動機がある限り、意欲的な攻撃者は、迂回する必要がある防御メカニズムをインストールし、悪用方法の開発が成功するまでそれらを調査できます。これらのソリューションの一部は無料（つまりEMET）であるか、リソースが豊富な攻撃者が簡単に利用できるため、攻撃者はゼロデイ対策を回避することさえできます。十分な動機がある限り、意欲的な攻撃者は、迂回する必要がある防御メカニズムをインストールし、悪用方法の開発が成功するまでそれらを調査できます。これらのソリューションの一部は無料（つまりEMET）であるか、リソースが豊富な攻撃者が簡単に利用できるため、攻撃者はゼロデイ対策を回避することさえできます。十分な動機がある限り、意欲的な攻撃者は、迂回する必要がある防御メカニズムをインストールし、悪用方法の開発が成功するまでそれらを調査できます。

業界が侵入を防ぐために使用するもう1つの方法は、事前にコンパイルされ、常に更新される危険インジケータ（IOC）のリストを使用するセキュリティソフトウェアまたはデバイスに完全に依存することです。この方法は、従来のAV / FW方法よりも包括的であり、侵入の検出でより良い結果を提供できますが、反応的であるため、まだ十分ではありません。これは、IOCは特定の感染を分析した後に記述されるため、既知の脅威に対する保護のみを提供できるためです。さらに、動機付けられた脅威の参加者はこれらのIOCにアクセスできるため、ツールを調整して将来のキャンペーンを正常に実行するために使用できます。したがって、

攻撃者が防御者によって設定された障害を回避するために必要な関連性と作業負荷が理解されると、静的IOCではなく脅威参加者とTTPを戦うことの重要性が明らかになります。さらに、攻撃者への露出の影響は、図1に示すピラミッドの各ステップで増加します。したがって、現在の方法を再設計し、攻撃を阻止するために、行動指向の検出およびインシデント対応方法を実装することが重要です。発生するか、回復がより効果的になります。

古典的なアプローチと高度で持続的な脅威のより動的で集中的な行動分析を組み合わせることにより、脅威のより包括的なプロファイルを作成し、侵害されるリスクを最小限に抑えることができます。つまり、自動セキュリティソリューションに依存する代わりに、防御側はまず敵の戦術、テクニック、手順を理解し、次にAPTなどの意欲的な攻撃者から防ぐことができる障害物を植え始める必要があります。これは、発生する攻撃を絶えず調査し、そのTTPを分析し、高度な持続的脅威アクターの考え方を理解するために青色のチームを構築してトレーニングし、青色のチームを赤色のチームと連携させて鋭くまともな状態に追いつくことで達成できます侵入の試みを検出し、防止メカニズムを実装するスキル。サイバー攻撃に対する特効薬はありませんが、敵に多大な苦痛を与えることで、防御側は侵害が成功する可能性を大幅に減らすことができます。したがって、TTPパターンを公開することは敵に最も影響を与えるため、TTPの概念を完全に理解することが重要です。