Mitre Att&ck Framework란?

ATT&CK은 위협 수명주기 내 공격자의 작업에 대한 행동 및 분류 체계로, 위협 인텔리전스와 보안 운영/아키텍처를 개선합니다.

ATT&CK Framework는 엔터프라이즈 IT 네트워크와 클라우드를 겨냥하는 동작을 포괄하는 세밀한 지식베이스인 ATT&CK for Enterprise와 모바일 장치를 겨냥하는 동작에 중점을 두는 ATT&CK for Mobile로 구성됩니다.

ATT&CK은 조직에 대한 APT(지능형 지속 공격)에 속한 일반적인 TTP(전술, 기법, 절차)를 문서화하기 위한 수단으로 MITRE에서 2013년에 개발했습니다. 진화하는 공격 활동과 공격자의 작업을 이해하고 방어하기 위해 노력하는 방어자와 연구자를 위한 일반적인 분류 체계 및 관계 모델을 만들기 위한 수단으로서 점점 더 많은 인기와 업계의 지원을 받고 있습니다.

ATT&CK은 다음의 4가지 기본적인 문제를 해결합니다.

공격자의 행동

IP 주소, 도메인, 레지스트리 키, 파일 해시 등과 같이 일반적인 지표는 공격자로 인해 빠르게 변경될 수 있으며 탐지 시에만 유용합니다. 이러한 지표에는 공격자가 여러 시스템과 상호작용하는 방식은 나타나지 않고 해당 시점에 하나의 시스템과의 상호작용이 일어났다는 사실만이 나타납니다. 가능한 공격자의 행동을 탐지함으로써 비교적 수명이 길고 신뢰할 수 있는 전술과 기법에 대한 조사에 집중할 수 있습니다.

적합하지 않은 수명주기 모델

공격자의 수명주기와 Cyber Kill Chain 개념은 매우 개략적이기 때문에 동작을 방어 조치와 연결 지을 수 없습니다. 이러한 수준의 추상화로는 TPP를 어떤 유형의 새로운 센서에도 매핑할 수 없습니다.

실제 환경에 대한 적용 가능성

작업의 적용 가능성을 증명하기 위해서는 관찰된 인시던트와 캠페인을 토대로 TTP를 분석해야 합니다.

일반적인 분류 체계

동일한 용어를 사용하여 여러 공격자 그룹 유형 간 TTP를 비교할 수 있어야 합니다.

ATT&CK Framework는 해커가 조직을 겨냥하여 사용하는 동작과 기법에 대한 권위자로서의 기능을 수행합니다. 모호함을 없애고 업계 전문가를 위한 표준화된 용어를 정리합니다. 이를 통해 전문가들이 공격자에 맞서고 실질적인 보안 조치를 적용하는 방법에 대해 논의하고 협업할 수 있습니다.

ATT&CK은 대상을 특정하지 않는 기회주의적인 공격을 방어하는 데 유용한 위협 인텔리전스 및 도구 기법에 엄격함과 정밀함을 더합니다. Pyramid of Pain은 이러한 방식이 현재 일반적으로 사용되는 다른 지표를 어떻게 보완하는지 설명합니다.

“Pyramid of Pain”은 여러 유형의 침해 지표(IoC)를 나타낸 것으로서 인텔리전스의 유용성을 측정하고 인시던트 대응과 위협 탐지에 중점을 둡니다.

사소함 - 해시 값

해시 값은 MD5 및 SHA와 같은 알고리즘을 통해 생성되며 특정한 악성 파일을 보여줍니다. 해시는 공격자가 침입에 사용하는 맬웨어와 의심스러운 파일에 대한 구체적인 참조를 제공합니다.

공격자 행동

쉬움 - IP 주소

IP 주소는 악의적인 공격 소스를 나타내는 지표 중 기본적인 편에 속하지만 프록시 서비스를 사용하여 IP 주소를 도입하고 자주 변경할 수 있습니다.

간단함 - 도메인 이름

도메인 이름 또는 등록, 지불, 호스팅되는 하위 도메인 유형이 있을 수 있습니다. 하지만 많은 DNS 서비스 제공자가 등록 기준을 상당히 완화했습니다.

번거로움 - 네트워크/호스트 아티팩트

네트워크 아티팩트는 악의적인 사용자를 식별하여 정상적인 사용자와 구분할 수 있는 활동들입니다. 일반적인 네트워크 아티팩트로는 네트워크 프로토콜에 내장된 URI 패턴 또는 C2 정보가 있습니다.

호스트 아티팩트는 악의적인 활동을 식별하여 정상적인 활동으로부터 구분하는 호스트에서의 공격 활동으로 인해 발생하는 옵저버블입니다. 이러한 식별자로는 맬웨어를 통해 생성된 것으로 알려진 레지스트리 키나 값, 또는 특정 영역에 들어온 파일/디렉터리가 있습니다.

어려움 - 도구

도구는 공격자가 조직에 대해 사용하는 여러 유형의 소프트웨어입니다. 기존의 코드 또는 소프트웨어와 상호작용하기 위해 소프트웨어와 함께 제공되는 일련의 도구일 수 있습니다. 도구로는 스피어 피싱용 악성 문서를 생성하는 유틸리티, C2 또는 암호 크래커를 설치하는 백도어, 침해를 일으킬 수 있는 기타 유틸리티가 포함됩니다.

매우 어려움 - TTP

전술, 기법, 절차(TTP)는 피라미드 최상단에 위치합니다. TTP는 공격자가 임무를 완수하기까지의 전체 프로세스로서 조사 개시에서 시작하여 데이터 유출로 끝날 때까지의 모든 단계가 포함됩니다.

ATT&CK Matrix는 전술과 기법 간의 관계를 시각화한 것입니다. 전술은 공격자가 작업을 수행하는 이유에 대한 대략적인 아이디어이고, 기법은 공격자가 전술을 지원하기 위해 수행하는 작업입니다.

ATT&CK Framework 전술

Enterprise ATT&CK Framework에는 14가지 전술이 있습니다. 전술은 공격의 '이유'로 간주되며 다음과 같이 분류됩니다.

  • 정찰
  • 리소스 개발
  • 초기 액세스
  • 실행
  • 지속성
  • 권한 에스컬레이션
  • 방어 침입
  • 자격 증명 액세스
  • 검색
  • 수평 이동
  • 수집
  • 명령 및 제어
  • 유출

ATT&CK Framework 기법

각 전술에는 맬웨어 또는 위협 그룹이 타겟을 침해하고 목적을 달성하는 과정에서 사용하는 일련의 기법이 포함됩니다. ATT&CK Framework에는 11가지 전술이 있으며, 알아야 할 약 300가지 기법이 있습니다.

지식베이스에는 각 기법과 관련하여 필요한 권한, 기법이 통용되는 플랫폼, 기법이 사용되는 곳에서 명령 및 프로세스를 탐지하는 방법 등의 정보가 컨텍스트와 함께 포함되어 있습니다.

위협 인텔리전스

방어 체계에 잠재적인 위협에 기반한 정보가 제공됩니다. 또한 그룹들의 공통적인 특성 및 현재 방어와 일반적인 위협을 비교한 격차 분석에 따라 각 기법에 우선순위를 지정합니다.

탐지 및 분석

퍼플 팀 구성, 데이터 소스, 테스트, 사용자 지정 분석, OOB 분석

Mitre Att&ck 사용 사례

공격 모방

블루 팀에 대한 커뮤니케이션, 레드 팀 행동 다양화, CTI에 따른 공격 모방, 개별 기법 테스트

평가 및 엔지니어링

실제 사용 사례에 기반하여 공격과 방어 사이의 격차를 평가하고 단일 기법, 완화 수단, 여러 기법에 대한 충실도 등 완화 및 투자 대상의 우선순위를 정합니다.

ATT&CK의 중요한 측면은 CTI(사이버 위협 인텔리전스)를 적용하는 방식입니다. ATT&CK은 공개된 보고에 따른 공격자 행동을 문서화하여 어떤 그룹이 어떤 기법을 사용하는지 보여줍니다. 인시던트 또는 단일 그룹을 문서화하는 개별적인 보고서가 있는 것이 일반적이나, ATT&CK은 한 유형의 활동 및 기법에 중점을 두어 공격자와 그룹을 활동과 연관 짓습니다. 이를 통해 기술 담당자들은 사용량이 가장 큰 기법에 집중할 수 있습니다.

오늘날의 디지털 환경에서는 조직이 보안 이벤트에 대해 대비, 식별, 최소화, 복구하는 역량이 성패를 좌우합니다. 따라서 MITRE ATT&CK을 통해 보안 인시던트 대응을 강화함으로써 비즈니스가 첨단 위협 모델 및 방법론 개발에 필요한 리소스를 확보하고 사이버 위협에 맞설 준비 태세를 갖출 수 있습니다.

MITRE ATT&CK Framework에서 작업하면 인시던트가 발생할 때 보안 팀이 보다 효과적으로 분석하고 대응할 수 있습니다. IoC를 정확히 식별하고 특정 위협의 우선순위를 지정할 수 있습니다. ATT&CK Playbook의 필수 전술과 기타 리소스를 사용하여 자동화된 워크플로우를 개선할 수 있습니다.

Security Incident Response 시작하기

MITRE ATT&CK은 Threat Intelligence와 SIR 모듈에 걸쳐 비즈니스를 지원하여 인시던트 대응을 개선하고 가치 있는 자산을 보호합니다.