SOC PrimeのCEO視点から見た激動の時代におけるビジネス成長の推進:パートII
目次:
SigmaとMITRE ATT&CK®を融合させることで、グローバルなサイバー戦争で競争優位性を獲得し、集団的サイバー防衛を強化する方法
この記事は、元のインタビューを基にしており AIN.UA によってカバーされた 対応する記事です。
このインタビューの第二部では、SOC Primeの創設者、CEO、会長である アンドリー・ベズベルキイ氏との対話を通じて、SigmaとMITRE ATT&CKを組み合わせることでサイバー防衛の未来がどのように形成されるかに関する洞察を提供します。SOC Primeの事業継続戦略について詳しく知りたい方は SOC PrimeのCISOとの初回インタビューを 専用記事シリーズでご覧ください。
SigmaとMITRE ATT&CKとは — サイバー脅威の「周期表」
Sigmaは、2016年に世界中のすべてのサイバーセキュリティ専門家向けに共通言語として創造されました。当時、Florian RothとThomas Patzkeが初めて SigmaHQ GitHubリポジトリにコミットしました。この言語はどのように機能するのでしょうか?
伝統的に、アンチウイルスは既存の脅威に対するシグネチャデータベース(指標のリスト)と共に機能します。特許のあるアンチウイルスとその後続であるEDRソリューションのシグネチャデータベースは通常閉ざされていますので、通常のユーザーは実装結果を観察します。しかし、Sigmaの知識を持つことで、ユーザーは既存または新たに出現する脅威に対するシグネチャを作成し、それらを誰でもアクセスできるオープンなデータベースに追加することができます。
Sigmaは、Microsoft WindowsのローカルイベントレジストリやSysmonからAWSテレメトリやDockerコンテナまであらゆるセキュリティ技術のための行動シグネチャを表現することを可能にし、検出エンジニアが正確な問題とその発生場所を特定することができます。Sigmaを利用することで、企業の管理者は、電子メールURLによるフィッシング、組織のウェブアプリケーションで発見されたゼロデイ脆弱性の悪用試行、または企業のSlackワークスペースに影響を及ぼす多要素認証(MFA)攻撃の可能性を特定できます。
SOC Primeの専門家は、 Sigmaルール を使用して効果的な脅威検出とプロアクティブなサイバー防御の先駆者としても位置付けられています。また、同社は MITRE ATT&CKフレームワーク でSigmaルールにタグを付けることを開拓しました。このフレームワークは、サイバーセキュリティにおける役割や使用される技術スタックに関係なく、すべてのサイバー防衛者が利用する敵のTTP(戦術、技術、手順)の世界的なナレッジベースとして機能します。フレームワークはMITREによって作成され、Sigmaと同様に、専門家のグローバルコミュニティによって維持され開発されているオープンソースプロジェクトです。
Sigmaルールは 推奨され 、FBI(米連邦捜査局)、NSA(米国家安全保障局)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)などの組織によって脅威を特定しサイバー攻撃をプロアクティブに検出する効果的な方法として認められています。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は ATT&CKを 「現実の観察に基づいた敵の戦術と技術に関する世界中でアクセス可能なナレッジベース」として参照しています。
MITRE ATT&CK以前のサイバーセキュリティの成熟度レベルは、周期表の発明前の物理学や化学と同じでした。それは、世界中で出現するすべてのサイバー攻撃に関するカテゴリ化されたナレッジベースです。したがって、Sigmaは言語として、ATT&CKフレームワークはあらゆる規模のサイバー脅威と戦うための方法論として機能します。
アンドリー・ベズベルキイ、SOC Primeの創設者、CEO、会長
実際にはどのように機能するのでしょうか?有名なNotPetya攻撃の場合、脅威検出用のSigmaルールは、Sigmaの発明者の一人Florian Rothとサイバーセキュリティ専門家Tom Ueltschiによって作成されました。同時に、SOC Primeチームは、SigmaとATT&CKおよびLockheed Martin Cyber Kill Chain(LMCKC)技術を融合させてNotPetya攻撃の被害者を現場で支援するためにこれらのSigmaルールを活用しました。これは、SigmaアルゴリズムをATT&CKと組み合わせてリアルな脅威を特定し属性付けするための世界初の使用でした。
2022年4月、ウクライナの電力設備に対するSandworm攻撃において、SOC Primeチームは同じ技術を使用して脅威アクターが使用した13の方法のうち9を特定しました。特筆すべきは、この攻撃のためのSigmaルールが2020年、2年前に開発されていたことです。
SOC Primeは、SigmaとMITRE ATT&CKを利用して、脅威をこれまで以上に簡単、迅速、効率的に検出するための著名な専門家の一人です。2022年5月、SOC PrimeのCEOは 第9回EU MITRE ATT&CKコミュニティワークショップ で発表しました。プレゼンテーションでは、アンドリー・ベズベルキイは、サイバー戦線でロシアの侵略に耐えるためにSigmaとATT&CKを使用し、集団的サイバー防衛の重要な支柱とし、世界的なサイバー脅威と戦う上でのその重要な役割について語りました。そして今、これらの技術はウクライナの国民に役立っています。
SigmaとMITRE ATT&CKの組み合わせがウクライナが敵と戦うのを助ける方法
全面戦争の勃発以来、アンドリー・ベズベルキイ氏はSSSCIPに、実際の戦場で既にテストされている技術としてSigmaをATT&CKと組み合わせて適用する提案をしました。
私たちは敵対者の攻撃を検出するための世界最大のシグネチャリポジトリを持っています。これらのシグネチャをウクライナの組織に提供する準備が整っています。さらに、設置や設定も支援し、従業員への教育を提供しており、その99%は無料で対応しています。これがSSSCIPおよびCERT-UAチームとの仕事を始めた方法です。
アンドリー・ベズベルキイ、SOC Primeの創設者、CEO、会長
SOC Primeは、国立サイバー防衛センターおよびCERT-UAチームに対して、そのサイバー防衛技術への無料アクセスとオンデマンドの専門トレーニングを提供しています。ウクライナの重要インフラ(電力会社、交通機関、郵便または通信サービスプロバイダーなど)の代表者がSSSCIPの推薦でSOC Primeに依頼した場合、チームは彼らに敵から自分たちを守るための基本技術を提供します。
SSSCIPは、官僚的な政府機関の典型的なイメージとは異なり、ワークフローとコミュニケーションは純粋に民主的です:このサービスはアドバイスし、強制することはなく、そのチームは主導権を握りつつ指導的であり、強制はしません。そして、これが私たちとロシア人とのおそらく最大の違いです。革新的な技術を活用するだけでなく、私たちはコンサルタントとして行動します。これは重要なことです。残念ながら、地方行政または医療機関にはサイバーセキュリティの専門家が大きく不足しているためです。
アンドリー・ベズベルキイ、SOC Primeの創設者、CEO、会長
さらに、SSSCIPは、法律によって定められたデータ保護と通信の分野で規制者としての役割を果たしています。また、ウクライナの企業を支援し、国中のすべての資産が保護されている必要があると考えています。これは国家のサイバー耐性のための重要な前提条件です。
敵がサイバースペースで使用する最先端の技術は架空のものにすぎません。攻撃者は、世界で何年も利用されているものを使用しています。すべての公共および民間組織がSigmaとATT&CKを利用し、最も一般的な横移動方法を自動的にブロックし、敵のインフラストラクチャに関する詳細を共有していれば、どんなサイバー攻撃も数秒で簡単に検出されています。しかし、それは理想的な未来のビジョンにすぎず、3年から5年後に実現可能です。
その未来のビジョンを実現するために、サイバーセキュリティコミュニティは、新しい技術に熟練した次世代のサイバー実務者の訓練とサポートを行う必要があります。この野心的な目標を達成するための方法の一つとして、 SOC Primeの脅威賞金プログラム.
サイバー脅威と戦うための初歩的なステップは、それを特定することです。それなしには、サイバー防衛作戦は効率的であることができません。30年以上にわたり、業界はネットワーク、ウェブサイト、およびサービスにおける発見されたセキュリティの脆弱性を報告する専門家に対して金銭的報酬(バウンティ)を提供してきました。今、攻撃の論理を特定し記述することができる人々を報いるプログラムの時が来ました。それは単にコインの裏側です。サイバー脅威に効果的に対抗するには、防御を記述する人の数が、攻撃を説明する人の数と同じでなければなりません。
脅威賞金コミュニティは現在、620人以上のメンバーを結びつけており、この数字は絶えず増加しています。プログラムの開始以来、支払われた報酬の総額は既に377,000ドルに達しています。ある場合には、1人のメンバーへの月の賞金が2,700ドルになることもあり — 、フルタイムの仕事の給与と比較できます。SOC Primeが シリーズA資金を調達する前は、賞金は会社の収入から支払われていましたが、すぐに投資家がこのイニシアティブを支持しました。また、SOC PrimeはGoogleおよびMicrosoftとの協力で、彼らのスポンサーとしての参加を模索しています。
集団的なサイバー防衛を強化するために、業界は革新的なサイバーセキュリティ技術に精通し、いかなる脅威も瞬時に識別し分類できる専門家を必要としています。そして、そのような専門家に対する需要は、陸上からサイバースペースまですべての領域で防衛しているウクライナで非常に高いです。
たとえモルドールが明日自己崩壊したとしても、サイバー戦争は続くでしょう。したがって、ウクライナは自衛する能力を持っている必要があります。そしてそれが、サイバー防衛に関与する人々を訓練し、安全な将来を保証する理由です。
アンドリー・ベズベルキイ、SOC Primeの創設者、CEO、会長
