キル・チェーン

サイバーセキュリティのキルチェーンとは、サイバー侵入を特定し防止するための概念的枠組みである。その起源は軍事戦略にあり、「キル・チェーン」という用語は攻撃のライフサイクルにおける段階を表すために使用されていました。サイバーセキュリティの文脈では、世界的な利害関係を持つ米国の航空宇宙、防衛、先端技術企業であるロッキード・マーチンがこの概念を採用した。彼らは、明確な段階を通じてサイバー攻撃を体系的に特定し、対抗するためのフレームワークを導入した。

このコンセプトのさらなる進化が、従来のキルチェーンとMITRE ATT&CK フレームワークを統合した Unified Kill Chain の開発につながった。この統合により、攻撃技術、戦術、手順（TTPs）のより包括的で微妙な理解が可能となり、組織のサイバー脅威の検知、分析、緩和能力が強化されます。

ロッキード・マーチンのキル・チェーン

ロッキード・マーチンのサイバー・キル・チェーン・モデルは、サイバー攻撃のプロセスを7つの段階に分類し、サイバーセキュリティの専門家がサイバー脅威を特定、防止、対処するための体系的なフレームワークを提供します：

偵察

この初期段階では、攻撃者はターゲットに関する情報を収集する。これには、システムの脆弱性の特定、貴重なデータの発見、セキュリティ防御の理解などが含まれる。攻撃者は、ソーシャル・エンジニアリング、公開情報の検索、ネットワーク・スキャンなどのテクニックを使用することがあります。

兵器化

この段階で攻撃者は、特定された脆弱性を悪用するように調整されたサイバー攻撃ツールを作成する。多くの場合、malware エクスプロイトを組み合わせて、配信可能なペイロードを作成します。その目的は、このペイロードが検知されることなく標的ネットワーク内に侵入し、実行できるようにすることです。

配送

配信段階は、攻撃者が兵器化されたペイロードをターゲットに送信する場所である。一般的な配信方法には以下が含まれる。 フィッシング 電子メール、悪意のあるウェブサイト、USB デバイスなどがあります。その目的は、ファイルを開く、侵害されたウェブサイトを訪問する、汚染されたデバイスを接続するなどして、ターゲットにペイロードを起動させることです。

搾取

この段階は、ペイロードがターゲット・システムの脆弱性を有効化し、悪用することで発生する。エクスプロイトとは、攻撃者がターゲットのネットワークやシステムへのアクセスを獲得する重要なポイントである。

インストール

悪用に成功すると、攻撃者はリモート・アクセス・ツールやバックドアをインストールする。これにより、攻撃者はターゲット・ネットワークへの持続的なアクセスを維持できるようになり、従来の防御メカニズムでは検出されないことが多い。

Command and Control (C2)

バックドアが確立されると、攻撃者はコマンド・アンド・コントロール・チャネルをセットアップし、侵害されたシステムをリモートで操作し、データを流出させます。この段階は、標的システムの制御を維持し、さらなる行動を指揮するために極めて重要です。

目標に対する行動

最終段階では、攻撃者は主目的を達成する。これは、データの流出や破壊から、将来のキャンペーンのためにターゲットの環境内で長期的な存在を確立することまで、さまざまな可能性がある。

これらの段階を理解し監視することで、SOC チームは、キルチェーンの各段階に的を絞った戦略や防御策を導入することができます。例えば、堅牢な侵入検知システムと包括的な従業員トレーニングは、配信段階での試みを阻止することができ、ネットワークのセグメンテーションと定期的なシステムアップデートは、悪用とインストールのリスクを軽減することができます。この構造化されたアプローチにより、複雑で進化するサイバー脅威に対して、よりプロアクティブで効果的な防御が可能になる。

統一キルチェーン

ユニファイド・キル・チェーンは、セキュリティ専門家のポール・ポルスが開発した先進的なフレームワークであり、ロッキード・マーチンのサイバー・キル・チェーンの概念と、MITREのサイバー・キル・チェーンの概念を統合しています。 MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)のフレームワークと統合したものです。

この統合は、サイバー敵対者が使用する戦術、技術、手順（TTPs）について、より包括的で詳細な視点を提供することを目的としている。

ここでは、ユニファイド・キル・チェーンが従来のモデルをどのように拡大したのか、その概要を紹介する：

ATT&CKフレームワークの導入

MITRE ATT&CK フレームワークは、実世界の観察に基づく敵対者の TTP に関するグローバルにアクセス可能な知識ベースです。サイバー攻撃で使用される具体的な戦術やテクニックを幅広く分類し、詳述しています。これをロッキード・マーチンのモデルと統合することで、Unified Kill Chain は各段階における攻撃者の行動をより詳細に把握することができます。

ディテールとコンテクストの強化

ユニファイド・キルチェーンは、ATT&CKフレームワークの特定のテクニックを従来のキルチェーンの各フェーズにリンクさせることで、攻撃の各ステージに対するより深い洞察を提供します。これにより、攻撃のライフサイクルを通じて特定の攻撃手法がどのように進化していくかをより詳細に理解することができます。

検出とレスポンスの向上

ATT&CKフレームワークの詳細なTTPを使用することで、サイバーセキュリティチームは、より正確な検知戦略と対応を開発することができます。これには、具体的な侵害の指標（IoC）を作成することや、さまざまな脅威行為者の微妙な行動に合わせてセキュリティ制御を調整することが含まれます。

進化する脅威への適応

ATT&CKフレームワークのダイナミックな性質は、新たな知見によって継続的に更新されるため、急速に進化するサイバー脅威に直面しても、Unified Kill Chainが適切であり続けることを保証します。この継続的な更新プロセスにより、組織は最新の攻撃手法に関する情報を常に入手し、それに応じて防御を適応させることができます。

戦略的プランニングとリスク評価

ユニファイド・キル・チェーンの包括的な性質は、戦略的なサイバーセキュリティ計画とリスク評価に役立ちます。組織はこのモデルを使用して、幅広い攻撃シナリオに対するセキュリティ態勢を評価し、潜在的な脆弱性を特定し、現実の脅威インテリジェンスに基づいて防御戦略の優先順位を決定することができます。

トレーニングと意識の向上

ユニファイド・キル・チェーンにおけるTTPの詳細な内訳は、サイバーセキュリティ・チームの教育ツールとして機能します。このツールは、特定の攻撃手法を認識し対応するための要員の訓練を支援し、それによってサイバー脅威に対する組織全体の回復力を強化します。全体として、ユニファイド・キル・チェーンは、高度なサイバー攻撃を理解し、検知し、対抗するための、より微妙で実行可能なフレームワークを提供し、サイバーセキュリティの分野における重要な進歩を示している。

Vectra AIは、キルチェーンの各段階で脅威を検知、破壊、無力化するための高度なツールと洞察力をSOCチームに提供します。Vectraのソリューションがどのようにサイバー敵の先手を打ち、組織の貴重な資産を保護するのに役立つのか、ぜひお問い合わせ ください。