インシデントレスポンスCardinalOpsが、MITRE ATT&CKベースの検知管理を拡張

テルアビブおよびボストンを拠点とするCardinalOpsは、MITRE ATT&CK Security Layersによって検知の管理機能を拡張しました。MITRE ATT@CKは、主要な攻撃や攻撃者に対する企業の検知能力を測定するための事実上の標準ソースとなっています。ATT&CKは、脅威グループが使用する500以上のテクニックとサブテクニックを含んでいます。その原理は単純です。防御者がネットワークで発生するこれらのテクニックを検出できれば、攻撃者の存在を検出できます。しかし、ATT&CKのテクニックの量と検知システムから送られてくるアラートの量を考えると、効果的な実現はそれほど簡単ではありません。

CardinalOpsの作業前提は、MITRE ATT&CKテクニックに対する効率的かつ効果的な検出管理は、自動化の助けを借りてのみ達成できるということです。同社のプラットフォームは、SIEM/XDR（Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle SIEM、CrowdStrike Falcon LogScale、Sumo Logicなど）内で使用する検出ルールをATT&CKに記載された手法に対して自動的に測定します。このプロセスでは、ルールセットを改善しながら、検知態勢を正確に測定し、改善を可能にすることができます。

同社は今回、MITRE ATT&CK Security Layersを追加して、プラットフォームを拡張しました。CardinalOpsのサイバー防衛戦略担当副社長のPhil Nerayは次のように説明しています。「Security Layersは、ATT&CKのカバレッジの深さを検証するため、ATT&CKのカバレッジに初めて新たな次元を追加しました。SIEM/XDRプラットフォームにおけるMITRE ATT&CKのカバレッジを測定する従来の方法は、攻撃表面を考慮せずに、特定のATT&CK手法の検出ルールの数を単に集計するものでした。セキュリティレイヤーは、攻撃対象領域（エンドポイント、ネットワーク、クラウド、メール、IAMなど）のうち、ある手法に対してカバーされている明確なセキュリティレイヤーの数を合計することで、深層での検知を実現することができます。」

従来のアプローチでは、エンドポイント層だけのために5つの検出ルールを持つことは、それぞれが異なる層をカバーする5つの検出ルールを持つことと同じにカウントされます。セキュリティチームは、エンドポイントやネットワークのような1つまたは2つのレイヤーにすべての検出ルールを束ねるのではなく、攻撃対象の複数のレイヤーをカバーしていることを知りたいと考えています。セキュリティレイヤーはまた、最も機密性の高いアプリケーションやデータなど、宝石のような資産に関連する盲点を特定することで、守備範囲を好ましいビジネス成果に結びつけることができます。金融サービス企業のように、クラウド資産である場合もあれば、法律事務所のように、電子メールシステムである場合もあります。Security Layersは、企業にとって最も重要な資産と敵の手法に基づいて、新しい検知ルールの開発にプロアクティブな優先順位をつけることを可能にします。

その結果、CardinalOpsは、「深層防御」のサイバーセキュリティの基本要件に「検出-深層」の概念を組み合わせたと示唆しています。「新しいのは、攻撃表面の何層が既存の検出ルールでカバーされていないかに基づいて、重要なカバーギャップを探すというコンセプトです。」とNerayは述べています。

CardinalOpsは、2020年にMichael Mumcuoglu（CEO）によりテルアビブで設立されました。同社は2022年3月にViola Venturesが主導するシリーズA資金調達ラウンドで1750万ドルを調達し、調達総額は2400万ドルに達しています。