MITRE Engenuity ATT&CK
製品とサービス 製品とサービス

MITRE Engenuity ATT&CK Evaluations for Managed Services が発表される

MITRE Engenuity ATT&CK Evaluations for Managed Services の最新ラウンドについての見解

** 本記事は、英語記事タイトル の翻訳です。最新の情報は英語記事をご覧ください。**

MITRE Engenuity™ は、マネージドサービスに関する ATT&CK® 評価の最新ラウンドの結果を発表しました。この評価では、11 組のベンダーが実際の攻撃者の行動を検出、分析、正確に記述する能力が評価されています。

今回の評価は、Sophos MDR のようなサービスが高度な多段階攻撃から組織をどのように保護できるかについての理解を促進する目的で 2022 年に開始された ATT&CK Evaluations for Managed Services の第 2 弾です。

評価の概要については、こちらの短い動画をご覧ください。

ATT&CK Evaluations の評価範囲

MITRE Engenuity ATT&CK Evaluations は、高度な攻撃の発生時に組織に通常提供されるマネージドサービスプロバイダーのサービスをシミュレートします。

MITRE Engenuity チームは、評価に際して既知の攻撃者の行動をエミュレートしました。今回のラウンドでは「ブラックボックス」アプローチが使用され、MITRE は想定された攻撃者や使用された攻撃手法の範囲を評価が完了するまで公開しませんでした。

今回の評価では、menuPass と ALPHV/BlackCat という 2 組の既知の脅威グループが使用する戦術と手法をエミュレートし、各ベンダーが特定の攻撃行為を検出して報告する能力が評価されました。

全体で 15 のステップにまたがる計 172 件の攻撃行為 (サブステップ) に基づいて評価が行われました。ただし、サブステップのうち、MITRE Engenuity が攻撃の成功に不可欠と判断した 43 段階のみが評価結果に含まれています。

評価は、検出と報告のみに焦点を当てています。脅威に対するブロック能力、対応能力、修復能力については評価の対象外です。したがって、今回の評価でエミュレートされた攻撃者の行動は、ベンダーが評価の際に解除する必要がある保護テクノロジー (次世代エンドポイント保護ツールなど) によってブロックされる可能性があることを念頭に置く必要があります。

参加プロバイダー

今回の評価ラウンドには、11 社のマネージドセキュリティサービスプロバイダーが参加しました。

Bitdefender BlackBerry CrowdStrike Field Effect
Microsoft Palo Alto Networks SecurityHQ Secureworks
SentinelOne Sophos Trend Micro

ソフォスの結果

MITRE ATT&CK Evaluations の結果は多面的な解釈が可能であり、MITRE Engenuity はどのベンダーも「勝者」や「リーダー」としてランク付けしていません。各ベンダーのマネージドサービスはそれぞれ異なる情報を報告しており、各組織のニーズや好みも結果そのものと同程度に重要です。

ソフォスは、MITRE Engenuity が選出した 43 件の攻撃行為 (サブステップ) のうち、84% を正確に「報告」しました。参加したベンダーの平均値を上回る数値です。ソフォスの検出結果の大部分 (75%) は、「Actionable (対処可能)」に分類されました。「報告」とは、攻撃者の活動が正しく特定され、十分なコンテキスト (背景情報) が提供されたことを意味します。また、報告された情報に「5W」(誰が、何を、いつ、どこで、なぜ) がすべて含まれている場合、この活動はさらに「Actionable」として分類されました。

この結果には、各ベンダーが送信したアラートメールの数も含まれています。

Sophos MDR は、効果的でわかりやすく実行可能な対応を保証するため、お客様が知る必要のある重要な情報とコンテキストを含んだ、高価値かつ自動生成でない通知を提供することに重点を置いています。

5 日間の MITRE ATT&CK Evaluation for Managed Services で、Sophos MDR は計 24 通のメールを送信しました。他のベンダーから送信されたメールの平均は 120 通以上で、300 通以上のメールを送信したベンダーもありました。セキュリティソリューションからの圧倒的な数の通知によって引き起こされるアラート疲れは、サイバーセキュリティにおける大きな問題です。ソフォスは、組織にとって時間は貴重であり、リソースが限られている場合は通常、量よりも質が重要であることを理解しています。

MITRE Engenuity ATT&CK Evaluations の結果の活用方法

ATT&CK Evaluations は、実際の攻撃シナリオの入念な構築とエミュレーション、結果の透明性、および参加者情報の豊富さにより、世界で最も高く評価されている独立系セキュリティテストの 1 つです。

Managed Detection and Response (MDR) サービスを検討する際には、MITRE Engenuity ATT&CK Evaluations の結果を、評判の良い他のサードパーティの情報 (検証済みのカスタマーレビューアナリストの評価など) とともに必ず確認してください。

MITRE Engenuity の評価ポータルでデータを確認する際には、数字のみに注目するのでなく、ATT&CK Evaluations の結果では回答できないマネージドセキュリティサービスに関する質問もあることを念頭に置いてください。たとえば、以下のような質問です。

  • そのサービスが、組織に必要な重要情報を含んだ通知を生成し、組織が望む方法で情報を提供しているかどうか
  • そのサービスが組織内にセキュリティオペレーションチームがあることを前提としているのか、それとも組織に代わって脅威を排除する能力を備えた完全な「インスタント SOC」を提供するのか
  • 誰が日常的にマネージドサービスプロバイダーとやりとりするのか。IT 管理者か、経験豊富なセキュリティアナリストか、あるいはその両方か
  • エンドポイントをまたいだ多段階の脅威を検知・対応するために、環境内の他のテクノロジーと統合できるか (ファイアウォール、電子メール、クラウド、アイデンティティ、ネットワーク、バックアップとリカバリなど)
  • サービスに完全なリモートインシデント対応が含まれているか、また、含まれる IR サービスに制限時間はあるか

テストに参加する理由

ソフォスは、MITRE Engenuity ATT&CK Evaluations に、業界屈指のセキュリティベンダーと共に参加することをお約束します。私たちはコミュニティとして、共通の敵に対して団結しています。このような評価は、各社およびコミュニティを強化するものであり、私たちが保護する組織の利益につながります。

今回の評価への参加により、ソフォスが業界をリードする Managed Detection and Response (MDR) プロバイダーであり、22,000 社以上の顧客に信頼されるサイバーセキュリティパートナーであることがさらに証明されました。

第三者にも広く認められたソフォス製品

Sophos Managed Detection and Response は、世界で最も普及している MDR ソリューションです。ソフォスは、他のどの MDR プロバイダーよりも多くの組織を保護し、あらゆる業界やセクターにまたがる豊富な経験を誇っています。最近のサードパーティによる証明としては、以下の例が挙げられます。

Sophos MDR の詳細と活用方法については、ソフォスの Web サイトをご覧いただくか、セキュリティエキスパートにお問い合わせください