トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

MITRE ATT&CKに基づく詳細設定対策

Last-modified: 2020-11-09 (月) 10:44:19
Top/MITRE ATT&CKに基づく詳細設定対策

情報システム開発契約のセキュリティ仕様作成のためのガイドライン
詳細設定対策

MITRE ATT&CKによる設定対策(絞り込み済み)

本項では、MITRE ATT&CK で分類された攻撃手法の内、日本国内でもっとも使用されたと考えられる手法を有識者によって絞り込み、DoD STIG、CIS Benchmark、MS Security Base Line、Security Configration Framework を参考に、有効な緩和策を取りまとめたものです。

戦術手法緩和策
初期侵入・悪意のあるファイルを添付したフィッシングメール特権アカウント管理
ユーザートレーニング
電子メール、ブラウザの厳格運用
検知システム
悪意あるプログラムの実行・コマンドラインインターフェースの悪用特権アカウント管理
ホワイトリスト、ブラックリスト
監査(イベントログ)
開発業務と一般業務の分離
・PowerShellの悪用機能やプログラムの無効化または削除
コード署名
ホワイトリスト
・Windowsタスクスケジューラ at, schtasks の悪用監査(イベントログ)
・悪意あるスクリプティングの実行電子署名
保護されたビュー
・悪意あるWindowsサービスの実行特権アカウント管理
監査(イベントログ)
脆弱性の排除
・メールに添付されたマルウェアファイルやリンクをユーザーが実行する特権アカウント管理
ユーザートレーニング
電子メール、ブラウザの厳格運用
検知システム
永続化・不正なWindowsサービスの追加特権アカウント管理
監査(イベントログ)
脆弱性の排除
・レジストリRunキーやスタートアップフォルダの悪用監査(イベントログ)
防御の回避・ファイル削除侵入検知システム
・難読化されたファイルまたは情報AMSI対応アンチウイルスソフトの適用
侵入検知システム
・悪意あるスクリプティングの実行電子署名
AppLocker
認証情報アクセス・認証情報のダンプ特権アカウント管理
Active Directoryの構成
多要素認証
・脆弱性を悪用した認証情報アクセス脆弱性管理
情報の探索・アカウントの探索ポリシー設定
監査(イベントログ)
・ファイルとディレクトリの探索ダイナミックアクセス制御
サーバーへの集約
監査(イベントログ)
・ネットワークサービスのスキャン脆弱性管理
侵入防止システム
ポート管理
・システム情報の探索脆弱性管理
・システムのネットワーク設定の探索監査(イベントログ)
・システムユーザーの探索ポリシー設定
監査(イベントログ)
水平展開・Pass the HashHashの取得阻止
水平展開の防止
垂直展開の防止
情報の収集・ローカルシステムからのデータ収集暗号化
監査(イベントログ)
侵入防止システム
・ネットワーク共有ドライブからのデータ収集簡単に軽減できない
・データの圧縮監査(イベントログ)
外部からの指令統制 (C&C)・一般的に利用されるポートの悪用監査(イベントログ)
ポート管理
・標準アプリケーションレイヤプロトコル(HTTP,SMTPなど)監査(イベントログ)
ポート管理
・データの暗号化監査(イベントログ)
持ち出し・データの暗号化監査(イベントログ)