MITRE ATT&CK는 적대적 전술, 기술 및 공통 지식을 의미하며, 특정 사이버 위협 모델 및 방법론의 개발을 위한 기반으로 사용될 수 있는 적대적 전술 및 기술의 공개 지식 기반입니다.
목차
이 지식 베이스는 다음 세 가지 개념을 기반으로 개발되었습니다.
공격자의 관점을 유지합니다.
실증적 사용 사례를 통해 활동의 실제 사용을 따릅니다.
추상화 수준은 공격적인 행동을 가능한 방어적 행동과 연결하는 데 적절합니다.
MITRE ATT&CK는 공격자의 접근 방식을 설명하는 방법을 정의하고 표준화하는 데 도움을 줍니다. 일반적인 공격 전술, 기술 및 절차(TTP)를 수집 및 분류한 다음 이 정보를 프레임워크로 구성합니다.
공격 방법과 방어 측에서 구현할 수 있는 대응책을 연결하기 위해 적절한 추상화 수준이 필요한 세 번째 개념은 ATT&CK의 구조를 이해할 때 특히 중요합니다. 정보는 IP 주소, URL 및 멀웨어의 서명 정보와 같은 개인/특정 정보가 아닌 높은 수준의 추상화를 가진 정보로 구성됩니다.
요인 개념의 기본은 소위 전술, 기법 및 절차(TTP)를 기반으로 공격을 분석하는 것입니다. 주로 기술에 대한 지식이 습득되고 정리됩니다.
전술: 공격자의 단기 목표
기술: 공격자가 목표를 달성하는 수단
절차: 공격자가 기술을 활용하는 특정 방법
이 프레임워크는 공격자가 어떻게 행동하는지, 무엇을 하려고 하는지, 어떻게 하려고 하는지 설명하는 데 도움이 될 수 있습니다.
공통의 언어와 프레임워크를 갖는 것은 위협을 최대한 효율적이고 효과적으로 전달, 이해 및 대응하는 능력에 중요합니다.
MITRE ATT&CK는 사이버 방어자에게 중요한 지식 기반이 되어 궁극적으로 보안 효율성과 대응 시간을 개선했습니다. 연례 MITRE 평가는 진화하는 위협 환경을 탐지하고 대응하는 데 필요한 솔루션을 제공하기 위해 업계 전반의 혁신을 비교합니다.
원본 리소스는여기에서 찾을 수 있습니다.
이러한 유형의 프레임워크는 정보 보안 전문가가 새로운 공격 기술에 대한 최신 정보를 유지하고 공격이 처음부터 발생하지 않도록 방지하는 데 매우 유용합니다.
조직은 ATT&CK를 사용하여 커뮤니티 대화, 방어 테스트 및 제품/서비스 평가를 표준화합니다.
MITRE ATT&CK 평가
MITRE ATT&CK Evaluation은 고객 및 실제 공격 시나리오에 대한 투명성을 제공합니다. 이를 통해 고객은 보안 제품을 적극적으로 평가하여 가장 필요한 영역을 기반으로 공격자의 최신 발전으로부터 자신을 보호할 수 있습니다. 이 평가는 공격자 에뮬레이션을 사용하여 고객이 오늘날의 위협을 해결할 수 있도록 합니다. 공격자의 기술, 도구, 방법 및 목표 사용
시뮬레이션은 공정하고 정확한 테스트를 보장하기 위해 통제된 실험실 환경에서 실행됩니다. 그런 다음 공격자 기술은 논리적인 단계별로 ATT&CK 커버리지의 폭을 탐색하는 데 사용됩니다.
평가는 경쟁 분석이 아닙니다. 점수, 순위 또는 등급은 없습니다. 대신 ATT&CK 지식 베이스의 맥락에서 각 벤더가 위협 탐지에 접근하는 방법을 보여줍니다.
이 평가는 사이버 보안 솔루션 구매자와 고객에게 가장 필요한 영역을 기반으로 공격자의 최신 발전에 대비하여 보안 제품을 평가할 수 있는 편견 없는 옵션을 제공합니다.
예를 들어, 2022년 평가에서는 마법사 스파이더와 샌드웜 무역 작전 흐름을 에뮬레이션하여 이러한 그룹이 야생에서 사용하는 동작과 유사한 공격을 시뮬레이션했습니다. 시뮬레이션이 실행된 후, 방법론을 포함하여 결과가 처리되고 공개되었습니다.
MITRE ATT&CK 매트릭스
MITRE ATT&CK 프레임워크는 사이버 위협이 작동하는 특정 환경에 맞게 각각 조정된 여러 매트릭스로 구성됩니다. 이러한 매트릭스는 공격자가 사용하는 전술, 기술 및 절차(TTP)를 분류하여 보안 팀이 방어 전략을 강화하는 데 도움을 줍니다.
엔터프라이즈 매트릭스
Windows, macOS, Linux 및 클라우드 환경 전반의 위협을 포괄하는 가장 포괄적인 매트릭스입니다. 여기에는 권한 에스컬레이션, 측면 이동 및 데이터 유출과 같은 기술이 포함됩니다.
모바일 매트릭스
iOS 및 Android 장치를 표적으로 하는 위협에 중점을 둡니다. 이 매트릭스는 자격 증명 도용, 네트워크 악용 및 모바일 멀웨어 지속성과 같은 공격 기술을 자세히 설명합니다.
ICS(산업 제어 시스템) 매트릭스
SCADA 시스템과 같은 산업 환경에 특정한 사이버 위협을 해결합니다. 무단 명령 실행 및 펌웨어 조작을 포함하여 중요한 인프라를 방해하는 데 사용되는 기술을 강조합니다.
MITRE ATT&CK 전술
ATT&CK의 기본은 공격자가 목표를 달성하기 위한 조치를 나타내는 일련의 기법입니다. 목표는 전술로 분류됩니다.
Tactic은 기법의 \"이유\"를 나타냅니다. 이것이 공격자가 조치를 실행하는 이유입니다. 기법은 공격자가 조치를 실행하여 목표를 달성하기 위한 '평균'입니다. 또한 공격자가 취득하는 것을 나타냅니다.
Enterprise 도메인을 비유로 사용할 때 Tactic은 다음과 같습니다.
실행: 클라이언트 실행을 위한 명령줄 실행, 스크립팅 및 악용을 포함하여 시스템에서 악성 코드를 실행하는 기술입니다.
지속성: 새로운 사용자 계정 생성, 레지스트리 수정 및 예약된 작업과 같이 공격자가 초기 침해 후 액세스를 유지하기 위해 사용하는 방법.
권한 에스컬레이션: 공격자가 취약점 악용, 자격 증명 덤핑 및 액세스 토큰 조작과 같은 더 높은 수준의 권한을 얻는 방법.
방어 회피: 보안 도구 비활성화, 파일 난독화 및 프로세스 주입을 포함한 보안 조치를 우회하는 기술입니다.
자격 증명 액세스: 키로깅, 무차별 공격 및 자격 증명 덤핑과 같은 자격 증명을 훔치는 방법.
발견: 네트워크 스캐닝 및 계정 열거와 같은 시스템 또는 네트워크에 대한 정보를 수집하는 데 사용되는 전술입니다.
측면 이동: RDP(원격 데스크톱 프로토콜) 및 해시 공격과 같은 시스템 간에 이동하는 기술입니다.
컬렉션: 화면 캡처, 키로깅 및 로컬 데이터베이스의 데이터를 포함한 민감한 데이터를 수집하는 방법.
유출: 암호화된 유출 및 클라우드 스토리지 남용과 같이 네트워크에서 유출된 데이터를 전송하는 방법.
영향: 랜섬웨어배포, 데이터 파괴 및 서비스 거부 공격을 포함한 운영 중단을 목표로 하는 기술입니다.
MITRE ATT&CK 기술
MITRE ATT&CK 프레임워크는 사이버 공격 전반에 사용되는 공격자 기술을 분류합니다. 주요 기법은 다음과 같습니다.
초기 액세스 – 피싱 피싱 및 공개 애플리케이션을 활용하여 진입하는 방법.
실행 – 명령줄 또는 스크립팅을 통해 악성 코드 실행
지속성 – 레지스트리 변경 또는 예약된 작업을 통한 액세스 유지.
권한 에스컬레이션 – 익스플로잇 또는 자격증명 덤핑을 사용하여 더 높은 권한 획득
방어 회피 - 난독화 또는 비활성화 도구로 보안을 우회합니다.
측면 이동 – RDP 또는 해시 패스를 통해 네트워크를 통해 확산됩니다.
유출– 클라우드 남용 또는 암호화된 전송을 사용하여 데이터를 훔칩니다.
이러한 기술을 이해하면 조직이 보안 방어를 강화하는 데 도움이 됩니다.
MITRE ATT&CK 프레임워크의 구조
전술은 공격자가 달성하고자 하는 것에 대한 설명입니다.
전술은 책의 장과 유사합니다. CISO는 공격에 사용되는 높은 수준의 전술을 통해 전달하고자 하는 스토리를 간략히 설명한 다음 기술을 참조하여 공격을 어떻게 달성했는지에 대한 스토리를 전달할 수 있습니다.
사례: 공통 언어로 공격 스토리 구축
공격자의 목표는 네트워크에 대한 초기 액세스를 확보하는 것이었습니다. 스피어 피싱 링크 및 신뢰할 수 있는 관계를 통한 드라이브-바이 침해를 사용하여 공격자는 이 기술을 사용하여 초기 액세스 권한을 얻었습니다.
참고: 프레임워크에는 공격자가 초기 액세스 권한을 얻을 수 있는 모든 알려진 방법이 나열됩니다.
사이버 보안 솔루션은 어떻게 도움이 됩니까?
이 솔루션은 ATT&CK 프레임워크에 있는 제품을 매핑하여 위협 탐지 및 대응의 과제를 해결하는 데 도움이 되는 방법을 보여주는 탐지 전술과 기술을 보여줍니다.
예방은 어떻습니까?
예방 제어는 공격 당했을 때 복원력을 추가하는 위협 완화 전략의 중요한 부분입니다. 예방 제어는 조직이 더 어려운 보안 문제에 더 많은 시간을 할애할 수 있도록 위험을 조기에 차단하는 기능과 함께 최신 라운드에서 테스트되었습니다.
MITRE ATT&CK 대 사이버 킬 체인
MITRE ATT&CK는 사이버 킬 체인에서 한 걸음 앞으로 나아가는 공격 중에 발생할 수 있는 상황을 보다 세밀하게 설명하기 위해 설계되었습니다.
사이버 킬 체인에는 7단계가 있습니다.
정찰
침입
악용
권한 실행
측면 이동
난독화 / 안티 포렌식
서비스 거부
유출
MITRE ATT&CK 사용 사례
MITRE ATT&CK를 사용하면 공격자의 관점에서 기술을 구성하고 방어 측의 대응책을 참조할 수 있습니다. 따라서 다음과 같은 사용 사례가 설명되어 있습니다.
고급 에뮬레이션
공격자의 에뮬레이션. 데이터베이스의 그룹에서 특정 공격자가 사용하는 기술 및 공격 시나리오를 추출하고 일련의 공격을 탐지하며 이러한 공격에 대한 방어 조치가 있는지 확인합니다.
레드팀
사이버 연습을 위한 공격 시나리오를 생성합니다. 레드팀은 공격자의 역할을 하고, 블루팀은 방어의 역할을 하며, 화이트팀은 통제와 판단의 역할을 합니다.
행동 분석 개발
IoC 및 알려진 위협 정보 대신 ATT&CK의 지식 기반을 사용하고 알려지지 않은 기법과 행동 패턴을 분석하여 새로운 대응책을 개발하십시오.
방어 격차 평가
조직의 기존 대응책에 무엇이 부족한지 식별합니다. 투자 우선순위를 결정합니다.
SOC 성숙도 평가
SOC별 탐지, 분석 및 대응이 얼마나 효과적인지 결정합니다.
사이버 위협 인텔리전스 강화
분석가는 공격자 그룹의 행동을 깊이 이해하고 보고할 수 있습니다. 데이터베이스에서 데이터를 검색하여 특정 그룹이 어떤 종류의 도구를 사용했는지, 어떤 종류의 기술 및 공격을 시작할 때 어떤 절차를 사용했는지 명확하게 식별할 수 있습니다.
전문 분야이지만 MITRE ATT&CK의 웹사이트는 ATT&CK Navigator라는 애플리케이션도 제공합니다. 이 애플리케이션을 사용하면 위에서 설명한 목적에 따라 매트릭스를 만들 수 있습니다.
기업 보안을 위한 MITRE ATT&CK 2024 결과
2024년에 MITRE Engenuity는 현재까지 가장 실제적인 최신 공격 기술을 시뮬레이션하여 게임을 향상시켰습니다. 트렌드마이크로가 과제를 과소평가한다고 말합니다.
MITRE Engenuity ATT&CK Evaluations의 2024년 놀라운 성과는 5번째 연속 성과이며 모든 벤더에 대해 기록한 최고 점수 중 일부를 포함합니다.
2023년에 1,610억 개 이상의 위협이 차단되었으며 2022년 대비 10% 증가한 위험 가시성은 가장 지능적인 공격도 선제적으로 차단하는 데 매우 중요합니다.
올해의 평가는 DPRK, CL0P 및 LockBit의 전술, 기술 및 절차(TTP)에 중점을 두었으며, 이는 가장 정교하고 위험한 랜섬웨어 위협 중 세 가지입니다.
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.