脅威モデリングとは
- システム、アプリケーション、ネットワークなどの潜在的な脅威やリスクを体系的に特定し、防御策を設計するプロセス。
- 組織のIT資産を理解し、脆弱性を解消する手順を作成するための重要な手順。
- リスクを軽減し、システムの安全性を向上させることを目的とする。
- 統合キルチェーンフレームワークを利用し、潜在的な攻撃対象や悪用される可能性を特定に役立つ。
- STRIDE、DREAD、CVSS (いくつか例を挙げると) はすべて、脅威モデリングに特に使用されるフレームワーク
統合キルチェーン
- MITREのATT&CKなどの他のサイバーセキュリティチェーンフレームの補完することを目的としている
- 大きな利点としては、フェーズが最新かつ非常に詳細である点
- ATT&CKは2013年にリリース
- 攻撃全体だででなく、動機の特定も含まれる
- 様々な段階を頻繁に繰り返すといった現実的な攻撃シナリオ
| 番号 |
フェーズ |
説明 |
| 1 |
偵察(Reconnaissance) |
能動的または受動的な調査を通じてターゲットを特定し、選択するプロセス。 |
| 2 |
武器化(Weaponization) |
攻撃に必要なインフラを準備するための活動。 |
| 3 |
配送(Delivery) |
武器化されたオブジェクトをターゲット環境に送信する技術。 |
| 4 |
ソーシャルエンジニアリング(Social Engineering) |
人々を操作して安全でない行動を取らせる技術。 |
| 5 |
悪用(Exploitation) |
システムの脆弱性を利用し、コード実行などを行う技術。 |
| 6 |
永続化・持続性(Persistence) |
攻撃者がシステムに持続的に存在するためのアクセス、アクション、または変更。 |
| 7 |
防御回避(Defense Evasion) |
検知や防御を回避するための技術。 |
| 8 |
Command & Control,C2 |
ターゲットネットワーク内の制御システムと通信を可能にする技術。 |
| 9 |
ピボット(Pivoting) |
制御されたシステムを通じて、直接アクセスできない他のシステムへの通信をトンネリングする技術。 |
| 10 |
発見(Discovery) |
システムやネットワーク環境に関する情報を取得する技術。 |
| 11 |
権限昇格(Privilege Escalation) |
攻撃者がシステムやネットワークでより高い権限を得るための結果としての技術。 |
| 12 |
実行(Execution) |
ローカルまたはリモートのシステムで攻撃者が制御するコードを実行する技術。 |
| 13 |
資格情報アクセス(Credential Access) |
システム、サービス、またはドメイン資格情報へのアクセスまたは制御を得る技術。 |
| 14 |
横方向の移動(Lateral Movement) |
他のリモートシステムに横方向にアクセスし、制御する技術。 |
| 15 |
収集(Collection) |
データの収集やエクスフィルトレーション(持ち出し)前にターゲットネットワークからデータを収集する技術。 |
| 16 |
データ持ち出し(Exfiltration) |
ターゲットネットワークからデータを持ち出すか、それを助ける技術。 |
| 17 |
影響(Impact) |
ターゲットシステムやデータを操作、妨害、破壊する技術。 |
| 18 |
目的(Objectives) |
戦略的目標を達成する。 |
最初の足場フェーズ
- このフェーズの目的は、攻撃者がシステムやネットワーク環境にアクセスすること
- システムへの足がかりを得るために悪用できる潜在的な脆弱性がないかシステムを調査するために様々な戦術を行う
- システムに対する偵察を行って潜在的な攻撃ベクトル(アプリケーションやサービス)を発見すること
- 偵察(Reconnaissance)
- 武器化(Weaponization)
- ソーシャルエンジニアリング(Social Engineering)
- エクスプロイト(Exploitation)
- 永続化・持続性(Persistence)
- 防御回避(Defense Evasion)
- Command & Control,C2
- ピボット(Pivoting)
ネットワーク伝播フェーズ
- ターゲットネットワークに足場が確立された後に行われる
- 目的を達成するためにシステムとデータへの追加のアクセスと権限を取得しようとする
- 攻撃者は、システムの1つに拠点を設置して、それを利用して、内部ネットワークに関する情報を収集する
- ピボット(Pivoting)
- 発見(Discovery)
- 権限昇格(Privilege Escalation)
- 実行(Execution)
- 資格情報アクセス(Credential Access)
- 横方向の移動(Lateral Movement)
終了フェーズ
- 攻撃者が重要なIT資産にアクセスし、目標を達成でき、攻撃の過程が終了
- この目標は、機密性、整合性、可用性 ( CIA )を侵害する
- 収集(Collection)
- データ持ち出し(Exfiltration)
- 影響(Impact)
- 目的(Objectives)
参考 : https://tryhackme.com/r/room/unifiedkillchain