MITRE ATT&CK DefenderのCertificationを取得した話

本記事はMITRE ATT&CKについて聞いたことがあるという前提で書かれています。

はじめに

海外のCommunity Workshopに参加した時に勧められたので、MITRE EngenuityがやっているMITRE ATT&CK Defenderのトレーニング受講と2021/06/26時点で公開されている2つのCertificationを取得しました。
ただ、MITRE ATT&CK Defender自体は2021年3月に公開されたプログラムっぽく日本語での情報が見当たらないので、概要などをここに書きたいと思います。

MITRE ATT&CKとは　

簡単に言えば、非営利団体のMITRE社がメンテナンスしている、公開されている観測された攻撃者のアクティビティに基づいて纏められたナレッジベースです。

MITRE Engenuityとは

MITRE社が2019年11月に設立した財団(だと思う・・・)がMITRE Engenuityです。
https://www.mitre.org/news/press-releases/mitre-establishes-engenuity-a-foundation-to-foster-private-sector-collaboration
対応領域の1つとしてサイバーディフェンスのR&Dがあります。

だからだと思いますが、ATT&CK EVALUATIONSのCarbanak + FIN7 (Enterprise 2020)からMITRE Engenuityに実施の管轄が変わっています。
https://medium.com/mitre-attack/announcing-2020s-attack-evaluation-6755650b68c2

ATT&CKのメンテナンスはMITRE社が実施して、ATT&CKの利活用についてはMITRE Engenuityが実施するという感じのようです。

MITRE ATT&CK Defenderとは

MITRE ATT&CK Defender (MAD) は、そのMITRE Engenuityが開発したMITRE ATT&CKを利活用した脅威に基づいた防御に関する教育プログラムと認定プログラムです。
https://mitre-engenuity.org/mad/

MADの教育トレーニング

教育プログラム (オンライントレーニング)は、(要会員登録かつ英語だけど)Cybraryというオンライントレーニングプラットフォーム上で無料で提供されています。
2021/06/26時点では、下記3つのトレーニングが提供されています。
・ATT&CK Fundamentals
・ATT&CK Cyber Threat Intelligence (CTI)
・ATT&CK SOC Assessments
Coming soonでATT&CK Threat Emulationが準備されています。
ATT&CK Fundamentalsは、ATT&CKとは何なのかから始まる基礎的なトレーニングです。
ATT&CK Cyber Threat Intelligence (CTI)は、ATT&CKをCTIで利活用するためのトレーニングです。あまり意識してこなかったバイアスの話やATT&CKへのマッピングへの書き方などを知ることができました。
ATT&CK SOC Assessmentsは、ATT&CKを利用した検知や防御に関するアセスメントの進め方ややり方などを理解するためのトレーニングです。スコープ設定からどうしたら良いかのフィードバックまでどうやっていくかを知ることができました。

MADの認定プログラム

認定プログラムについては、$299/yearのサブスクリプションモデルになっています。

2021/06/26時点では、下記2つのCertificationが提供されています。
・ATT&CK Cyber Threat Intelligence Certification
・ATT&CK Security Operations Center Assessments Certification
Coming soonでATT&CK Threat Emulation Certificationが準備されています。要は上記トレーニングに対応するCertificationが用意されています。

Certification取得には、それぞれCertificationを取得するために設定されている複数個のBadgeをオンライン試験に合格して取得する必要があります。
どちらもまずはATT&CK Fundamentals Badgeを取得して、ATT&CK Cyber Threat Intelligence Certificationの場合は4つのBadge、ATT&CK Security Operations Center Assessments Certificationの場合は3つのBadgeを取得すれば、それぞれのCertificationが取得できます。

なお、MADリリース時のプレスリリースを見ると、カリキュラムのアップデートがあった場合は再認定が必要になるそうです。この時にサブスクリプションを購入していないと再認定を受けられないのかどうかはよくわかりません。
https://www.prnewswire.com/news-releases/mitre-engenuity-and-cybrary-partner-to-offer-first-ever-mitre-attck-training-and-certification-product-301255822.html

まとめ

ATT&CKに関わっているMITRE社やMITRE Engenuityの人たちが作成したプログラムのため、体系立ててATT&CKの利活用について学ぶことができました。また、教育プログラム自体は無料のためすごく良かったです。

認定プログラムについては、$299/yearのサブスクリプションモデルということで、Certification取得による価値を考えて課金するか考えたほうが良いかなと思いました。