2017/09/27 – 6 min read
様々な情報セキュリティレポートに目を通していると。 情報セキュリティに関する様々な事柄(テスト、ツール、プロセス、プログラムなど)を表現するために「TTP」という略語をよく見かけます。 TTPはよく使われる頭字語ですが、本来の意味とは異なることが多いようです。 Tactics(戦術)、Techniques(技術)、Procedures(手順)という意味です。 この記事では、TTPの私の解釈(国防総省の教義に基づいて)を説明し、なぜこれがTTPを使用すべき方法であると私が信じるかを説明します!
TTP according to Joint Publication 1-02
Tactics, Techniques, and Proceduresは国防総省で生まれ、軍事行動を記述するのに何年も使われている特定の用語である。 統合出版物1-02、軍事と関連する用語の国防総省辞書は、具体的には戦術、技術、および手順を定義しています:
戦術 – 雇用と相互の関係で軍の秩序ある配置
技術 – 非規定方法またはミッション、機能、またはタスクを実行するために使用する方法。
手順 – 特定のタスクを実行する方法を規定した、標準的で詳細な手順
さて、「公式」定義を入手しましたが、実際にどのような意味でしょう。 私は、これらを、最も広範なもの (戦術) から最も具体的なもの (手順) に至る、具体性の階層として考えたいと思います。 ここでは、これらの用語が実際に何を意味するのかを明らかにするために、それぞれの用語の意味をより詳しく説明します。 さらに、「車の所有」という比喩を使って、これらの用語のそれぞれを説明します。
戦術 戦術とは、物事がどのように行われるべきかを指示する、限定された特定の情報を持つハイレベルな検討事項です。 通常、計画および/または追跡の目的で使用され、具体的な指示や命令はなく、必要なすべてがより大きな全体の一部として完了することを確実にするためのハイレベルな検討に役立つ一般的なガイダンスです。
車の所有に例えると、燃料の供給、清掃、予防保守など、車の所有に関わる多くの「戦術」が存在します。 これらのそれぞれは、車を所有することに関わる「戦術」と見なすことができます。 この例では、「予防メンテナンス」に焦点を当て、深く掘り下げていきます。
技術
車の例えを続けると、選択された戦術が「予防保守」である場合、その戦術を達成するために採用できる多数の異なる技法、たとえばオイル交換、タイヤの回転、ブレーキの交換などがあるでしょう。 これらのテクニックは、達成すべき一般的なタスクの概要を示していますが、それをどのように達成するかという具体的な指示はしていません。 1661>
手順
手順は、タスクを達成するための具体的な詳細な指示および/または方向です。 手順には、指定されたタスクを実行するために必要なすべてのステップが含まれますが、なぜそのタスクが実行されるのかというハイレベルな考察や背景は一切含まれません。
車に例えると、「オイル交換」テクニックを実施するための手順は、メンテナンスされる車に特化したものになるでしょう。 これには、交換の頻度、オイルの種類、フィルターの種類、ドレンプラグの位置、必要な工具などに関するすべての情報が含まれるでしょう。 手順は、誰でも (まあ、ほとんど誰でも) これらの指示を使用して説明されているタスクを実行できるようなものでなければなりません。
戦術、テクニック、手順を階層として提示すると、それらの間の関係を視覚化するのに役に立ちます。 目的のTacticsを達成するためには、1つ以上のTechniquesを使用することが必要である。 目的の「技」を完成させるためには、1つ以上の「手順」が必要となる。 1661>
これが「サイバー」にどう関係するのか?
TTPは従来の戦争を説明するのに使われてきましたが、サイバーセキュリティを説明するのにも非常に役に立ちます。 幸いなことに、MITRE ATT&CK マトリクスはすでにこの構造を利用した方法でレイアウトされており、セキュリティに基づく TTP の優れたシングルソースを提供しています。 マトリックスの戦術の下の個々のエントリは、技術 (緑でハイライト表示) を表します。 前に説明したように、各戦術には多数の技法がリストアップされています。 テクニックをクリックすると、悪意のある行為者が実際に使用した例など、テクニックの詳細が記載されたページが表示されます。 これらの例は、使用された手順を表しており、正確なアクションと使用されたリソースの詳細な分析が可能です。 手順は、特定の悪意ある行為に使用された特定のハッシュまたは正確なツールやコマンドラインとして表示することもできます。 MITRE ATT&CK は、コンピュータ セキュリティに関する簡単にアクセスできる TTP の内訳を提供しています。
たとえば、攻撃者が最初の足場にないネットワーク上のコンピュータやリソースにアクセスする必要がある場合、横移動の戦術を実行しなければなりません。 よく使われる手法の1つは、Windowsに内蔵されている管理用共有、C$とADMIN$をリモートコンピュータの書き込み可能なディレクトリとして使用することです。 このテクニックを実装する手順としては、コマンドを実行するバイナリを作成し、それをWindows管理者共有にコピーし、その共有からサービスを開始するSysInternals PsExecツールを使用することができる。 SysInternals PsExecツールをブロックしても、Windows Admin Shareテクニックのリスクは完全に取り除けない。攻撃者は、net useやPowerShellコマンドレットInvoke-PsExecなどの別の手順を使用するだけでよい。 攻撃と防御の対策の特異性を理解することは、セキュリティ コントロールの有効性を評価する際に非常に重要です。
「TTP」の使用法を明確にしようとする以外に、なぜこの古い軍事用語が現代のコンピュータで動作する世界で問題になるのでしょうか? 実は、悪意のある活動を理解するこのアプローチにより、攻撃者としても防御者としてもより優れた存在になれるのです。
情報セキュリティに関わるさまざまな戦術を理解することは、企業環境における個人的な経験で不足している部分を計画するのに役立ち、現在知識やカバーが不足している部分に努力を集中させることができます。 例えば、「侵害を想定する」という考え方は、効果的なサイバーセキュリティは、最初の侵害を防ぐことだけに焦点を当てるのではなく、攻撃者が使用する他の戦術を認識する必要があるということを表しています。 このハイレベルな視点は、セキュリティ プログラムの一部の見落としを防ぐのに役立ちます。
Techniques と Procedures の違いを理解することも非常に重要です。 多くのネットワーク セキュリティ ツールや脅威インテリジェンス フィードは、使用されている包括的な「技術」よりも、行為者が使用する特定の「手順」(ツールのハッシュ、ファイル名、C2ドメイン/IPなど)に焦点を合わせています。 時折、セキュリティ業界では、既存の手法の新しい手順と呼ぶべきものを、新しい手法と呼ぶことがあります。
古い格言に「人に魚を与えれば、一日食べさせることができる」とあります。 人に魚を与えれば、一日だけ食べさせることができ、人に釣りを教えれば、一生食べさせることができる」。 ネットワーク防御を考えるとき、魚を与えることは、攻撃者の手順からのもろい指標(ハッシュや特定のIPなど)に焦点を当てるようなものです。 一時的にはニーズを満たすかもしれませんが、その効果は短期間でしょう。 魚に教えるとは、使用中の技術に焦点を当て、攻撃に関連する技術や行動を理解し、攻撃者が適応したり新しい手順を作成したりしても機能する回復力のある対策を作成することです
この投稿が、戦術、技術、手順の違いを明確にし、それぞれの用語を理解するメリットを強調するのに役立ったことを願っています
。