Ameba Ownd

アプリで簡単、無料ホームページ作成

SOCYETI

「ATT&CK」とふれ合うBoF@InternetWeek 活動報告

2018.12.24 05:33

2018/11/28、Internet Week 2018のBoF(Birds of a feather:同じ興味を持つもの同士の交流の場)の一つとして「ATT&CK」について情報共有する機会をいただき、SOCYETIが主催しました。少し遅くなってしまいましたが、今回はその活動報告です。

「ATT&CK」のみを取り上げるイベントとしてはおそらく日本で初めてで、どのくらいの方に集まっていただけるか心配でしたが、当日は約40名の方に参加していただきました。ありがとうございます。

まず初めに行ったのは「MITRE」と「ATT&CK」の読み方の確認です。みなさんかなり想い想いの読み方をしていたので…笑。

YouTubeにアップされている公式の動画で確認しました。下記の動画の16秒当たりですので、みなさんもぜひ自分の耳で確かめてみてください。



以降のイベント内のコンテンツは下記の通り。


ATT&CK認知度アンケート

まずはATT&CKの認知度とその活用状況についてリアルタイムアンケートを実施してみました。結果は下記の通りです。

そもそもこのイベントに参加するセグメントという時点で偏りはあるはずですが、それでもBoFの周知以前からATT&CKを知っていた方は約半数でした。一般的な認知度はこれよりぐっと低いはずなので、日本ではまだまだ知られていない状況のようです。

また、業務における活用度も全体としては低いものの、一部の現場では利用され始めていることがわかりました。今後ますます活用の輪が広がっていくだろうと思われます。


ATT&CKの概要

アンケートの後は改めてATT&CKの概要を、本家サイトとSOCYETIの解説&抄訳を用いてお話ししました。SOCYETIの解説&抄訳は下記のリンクからご覧ください。

ATT&CKについてとMatrixの日本語抄訳

ATT&CKをどう使う?

ここではSOCYETIメンバーのkaz (@socinforesearch) さんからLTしていただきました。当日のLTをブログに書き起こしてくださってますので、ぜひ下記をご覧ください。

MITRE ATT&CK 活用事例


ATT&CKが活用されているツール

kazさんのLTでもいくつか言及されていますが、様々なサービスでもATT&CKの正式な採用が始まっており、商用製品にも組み込まれています。製品の情報は各社のニュースリリースなどを追うとキャッチアップできます。

オンラインで使える下記のようなサービスでも採用されています。

また@0xiso_さんからもオープンソースの脅威情報共有プラットフォームであるMISPにおけるATT&CK機能の紹介がありました。下記のリンクはMISPの公式リリースです。動画も見られますので気になった方はチェックしてみてください。

MISP 2.4.93 released (aka ATT&CK integration)

ATT&CKから少し離れてMISPそのものの勉強会になりかける瞬間もあり、MISPに興味をお持ちの参加者も多かったのが印象的でした。

その他、ATT&CKに関して、ここまでの内容も含め、McAfee (小川 泰明)さんの記事が非常によくまとまられており、その紹介もありました。

今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説

ATT&CKのこれから

このセッションではSOCYETIの発起人メンバーの林さんから、SOCの運用現場としてどのようにATT&CKが活用されていき、それがユーザー企業も含め、セキュリティ対応全体の現場においてどんな形になりうるかという話がありました。

踏み込んだ内容が多くここではご紹介できないのが残念ですが、議論する中で見えてきたのは、このATT&CKをフレームワークとして、各製品、各マネージドセキュリティサービス、各商用SOCが同じ基準で通知を行うことができれば、それらを活用するユーザー側も含めて、より統合的なセキュリティ対応を実現できるのではないかという方向性でした。

また、ATT&CKは今後国内においても確実に広まっていくだろうというのもみなさん感じているようでした。


そして会としてはここでタイムオーバー。InternetWeek事務局の皆様もギリギリまで粘っていただいていたようですが、会場のリミットということで即時撤収。参加者の皆様もスムーズな撤収ありがとうございました。


謝辞

今回活用させていただいたInternet Weekの「BoF」は、開催について審査はあるものの、JPNICさまの計らいで場所代や設備が無料という太っ腹な枠組みが毎年継続されています。今回のようにまだ認知度の低いお題であっても実験的イベントとしてチャレンジしやすいとても素晴らしい営みとなっており、この場を借りて改めて感謝申し上げます。ありがとうございました。

※ MITRE ATT&CK and ATT&CK are trademarks of The MITRE Corporation.