サイバーセキュリティに特化した組織であるMITREは、先日、最新のフレームワーク「D3FEND」を発表しました。D3FENDは、サイバー犯罪に対する攻撃的なアプローチとして位置づけられています。そのため、MITREの既存のサイバー犯罪行動の知識ベースであるATT&CKに補完的な要素を提供しています。
ATT&CK & D3FEND
ATT&CKは、実世界での観察に基づいたサイバー犯罪者の戦術や技術に関する無料の知識ベースで、世界中で利用可能です。民間および公共部門の多くの組織が、このフレームワークを利用して、サイバー脅威の状況をよりよく理解し、防御策を準備しています。MITRE ATT&CKフレームワークは、サイバー犯罪者がとる防御的な手法に焦点を当てているのに対し、D3FENDは攻撃的なスタンスに焦点を当てています。組織はD3FENDを利用してサイバーセキュリティのアプローチを調整し、攻撃手法の性質に基づいて攻撃的なスタンスを取ることができます。
これを分解してみましょう。MITREが最新のフレームワークを研究・開発する前は、基本的に相手チームのゲームテープを持っていました。今回、最新のモデルを使用することで、敵のそれぞれの動きを阻止するためのプレイブックを開発することができたのです。前述したように、MITREの両フレームワークは、サイバーセキュリティを維持するために一般の人々が利用することができます。
D3FENDにはアプリケーションのホワイトリスト化が含まれる
MITREのD3FENDフレームワークは、アプリケーションのホワイトリスト化の重要性を強調しています。具体的には、署名レベルでのホワイトリスト化を推奨しています。つまり、コンピュータ上で実行されるすべてのアプリケーションは、信頼できるソースによってデジタル署名されている必要があります。何らかの理由でそのファイルが変更された場合、その署名はもはや有効ではありません。このように、シグネチャレベルでのデフォルトディナイ方式を採用することで、ネットワークに感染する攻撃のリスクを大幅に低減することができます。この特許技術を搭載したセキュリティソリューションを選択することが鍵となります。
まとめ
すべてが順調に進んでいます。このような知識ベースを持ち、それをどのように活用するかを理解するという考えは、公平に見てもその通りです。これらのフレームワークは、それを利用する人に豊富な知識を提供します。しかし、残念なことに、最近のCyberScoopのサイバートークでも触れましたが、これらのフレームワークやベストプラクティス、連邦政府が発行した公開書簡は、組織がこれらの推奨事項を遵守することを義務付けているわけではありません。これが弱点です。
