原文のブログはこちらからご覧いただけます。
最近の MITRE ATT&CK® 評価に関して各ベンダーが「勝利」を主張してますが、これは残念ながら事実とはかけ離れた誇大広告であると言わざるを得ません。これはファクトチェックの観点からも警告すべきことです。
ファクトチェック:あなたが知っているMITREの Turla テスト結果は正確ですか
ここに挙げるのは、最近の MITRE テスト後に溢れた誇張された結果報告に惑わされないために留意すべき、いくつかの事実です。
1.事実:MITRE による Turla 脅威エミュレーションテストは、31 社のサイバーセキュリティベンダーが参加して実施されました。各社マーケティングチームによって作成された参加ベンダーの一部の結果のみを表示するチャートは、そもそも誤解を招きやすく、明らかに特定の競合他社を陥れる意図を示しています。
MITRE はこのようなスタックランキングによるテスト結果を提供しておらず、特に1 社のベンダーだけを主要な競合他社と比較して貶める、一種の個人攻撃のような事態は全く推奨していません。参加者によるこうした表の捏造行為は、テストの趣旨に反するばかりでなく、貶めたい競合他社の優位に立とうとする見え透いた企てにテストを利用していることになります。
2.事実:最近の MITRE テストにはマネージドサービスのテストは含まれておらず、現時点では次回のテストで予定されています。Turla に対する MITRE テストの特定セクションで「100%」のスコア獲得を謳いつつ、「マネージドセキュリティサービスプロバイダのテストでも」高スコアを獲得したとさりげなく付け加えるようなベンダーには、注意が必要です。そうしたベンダーが言及している MSSP テストは確かに昨年行われていますが、その際にはTurla エミュレーションテストは実施されませんでした。まったく異なるテストの結果を、誰にも気づかれないよう巧みに組み合わせているのです。
3.事実:100% の保護などというものは存在しせん。そんなことはないと言う人がいたら、サイバー脅威の本質を理解していないか、故意にあなたを惑わせようしているかのどちらかです。MITRE はテスト結果を 0 ~ 100% までのパーセント評価で公表していますが、評価者はまず、テストのどのセクションでそうしたスコアを獲得したとしても、現実世界での保護が保証されるわけではないことを伝えたいはずです。
4.事実:MITRE の Turla エミュレーションの全領域にわたり100% のスコアを獲得したベンダーは皆無です。また、「満点のスコア」を獲得した領域のみを宣伝しているベンダーは、芳しくない結果となった領域を無視しています。結果の全容は MITRE の公式発表でご確認ください。
5.事実:さまざまなベンダーがさまざまな目標を念頭に、このテストに臨んでいます。MITRE ATT&CK 評価のテストは検知と可視性を中心に実施されますが、「収穫逓減」に達するポイントがあるかもしれません。現実世界の脅威予防では、可視性と保護のどちらも重要です。結局のところ最大の問いは結果、すなわちベンダーによる製品が攻撃の進行を止められたかどうかです。
記録を正しく伝える
BlackBerry は、長年にわたるセキュリティイノベーションのマーケットリーダーであり、AI サイバーセキュリティのパイオニアです。BlackBerry の Cylance® AI は当初から、Turla などの精巧な APT(高度標的型)攻撃を より高速かつ効率的に阻止できる世界クラスの保護を提供するために構築されました。
MITRE ATT&CK 評価では検知を重視しています。検知は重要ですが、SOC に大量のノイズをもたらす可能性もあります。アラートの発出で 100% の確率を達成できたとしても、それは効果的な脅威予防と同義ではありません。組織は、自動化された防御アクションと信号的なノイズのバランスを取る必要があります。CylanceENDPOINT™ は、AI を活用してクラス最高の保護を実現すると同時に、セキュリティチームを疲弊させるアラート対応の負荷を軽減します。
BlackBerry の Cylance AI は、ユーザーに代わって自動的に判断を下し、被害をもたらす前に攻撃を効果的に阻止するよう設計されています。そのためアラートの数が減り、セキュリティチームのアラート疲れを軽減させます。
事実:MITRE テストにおいて CylanceENDPOINT が実証したのは、Turla からの防御に成功し、被害をもたらす前のキルチェーンの早い段階で攻撃を阻止できる事実です。
結論:テストデータだけを判断材料として製品を直接比較することはリスクを伴います。ユーザーの皆さんには、実際のテストデータを確認し、自ら結論を導き出すことをお勧めします。また、MITRE のレポートと、その後のベンダーがマーケティングを目的としてテストデータに加えた解釈に明らかな矛盾がある場合には、ベンダーに説明を求めることをお勧めします。MITRE もその点を指摘しています。
最後に、ベンダーがテストで満点のスコアを獲得したと主張しても、実際に使用した場合の結果は異なる可能性があることも、ユーザーの皆さんに知っておいていただきたい事実です。
同様の記事やニュースの配信を希望される場合は、BlackBerry ブログの購読をご検討ください。
関連記事
- Introducing BlackBerry Fact Check(BlackBerryが開始する「ファクトチェック」とは)
- Microsoft Defender vs. CylanceENDPOINT(Microsoft DefenderとCylanceENDPOINTとの比較)
- Three Words that Describe BlackBerry in 2023(2023年のBlackBerryを表す3つの言葉)
- Customers Have Spoken: BlackBerry Named a Customers' Choice for Endpoint Protection Platforms on Gartner® Peer Insights™(お客様の声: BlackBerry、Gartner®︎ Peer Insights™のエンドポイント保護プラットフォーム部門で2023年の「Customers' Choice」に選出)
- BlackBerry Summit Speaker Lineup: U.S. DHS, Government of Canada, Mercedes-Benz, AWS, Adobe, Siemens, Spotify and More(BlackBerry Summitの登壇者が決定: U.S. DHS、カナダ政府、メルセデスベンツ、AWS、Adobe、Siemens、Spotifyほか)
.png)
