MITRE ATT&CK 프레임워크(MITRE ATT&CK)는 사이버 범죄자의 알려진 악의적 행동을 기반으로 사이버 보안 위협을 모델링, 탐지, 예방 및 대응하기 위해 어디서나 액세스 가능하고 지속적으로 업데이트되는 지식 기반입니다. (MITRE ATT&CK의 ATT&CK는 악의적 전술(Adversarial Tactics), 기법 및 일반 지식(Techniques & Common Knowledge)의 두문자어입니다.)
MITRE ATT&CK는 공격자의 초기 정보 수집 및 계획 행위부터 공격의 최종 실행에 이르기까지 사이버 공격 라이프사이클의 각 단계에 따른 사이버 범죄 전술, 기법 및 절차(TTP)를 분류합니다. MITRE ATT&CK의 정보는 보안 팀에 다음과 같이 도움이 될 수 있습니다.
사이버 공격의 정확한 시뮬레이션을 통한 사이버 방어 테스트
보다 효과적인 보안 정책, 보안 통제 및 인시던트 대응 계획 수립
사이버 위협을 더 효과적으로 탐지, 예방 및 완화할 수 있는 보안 기술의 선택 및 구성
또한 악의적 전술, 기법 및 하위 기법에 대한 MITRE ATT&CK 분류법(아래 참조)은 보안 전문가가 사이버 위협에 대한 정보를 공유하고 위협 예방을 위해 협력하는 데 사용할 수 있는 공통 언어를 설정합니다.
MITRE ATT&CK 자체는 소프트웨어가 아닙니다. 그러나 사용자 및 엔티티 행동 분석(UEBA), 확장 탐지 및 대응(XDR), 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 정보 및 이벤트 관리(SIEM)등 많은 엔터프라이즈 보안 소프트웨어 솔루션은 MITRE ATT&CK의 위협 정보를 통합하여 위협 탐지 및 대응 기능을 업데이트하고 향상시킬 수 있습니다.
MITRE ATT&CK는 비영리 단체인 MITRE Corporation에서 개발했으며, 전 세계 사이버 보안 전문가 커뮤니티의 의견을 수렴하여 MITRE에서 유지 관리합니다.
MITRE ATT&CK는 악의적 전술과 기법(및 하위 기법)을 매트릭스로 구성합니다. 각 매트릭스에는 특정 도메인에 대한 공격에 해당하는 전술과 기법이 포함되어 있습니다.
엔터프라이즈 매트릭스에는 엔터프라이즈 인프라에 대한 공격에 사용되는 모든 악의적 기법이 포함되어 있습니다. 이 매트릭스에는 네트워크 인프라, 클라우드 플랫폼 및 컨테이너 기술뿐만 아니라 Windows, MacOS 및 Linux 플랫폼에 대한 하위 매트릭스 포함되어 있습니다. 또한 공격에 앞서 사용되는 준비 기법의 사전 매트릭스가 포함되어 있습니다.
모바일 매트릭스에는 모바일 디바이스에 대한 직접 공격과 모바일 디바이스에 액세스할 필요가 없는 네트워크 기반 모바일 공격에 사용되는 기법이 포함되어 있습니다. 이 매트릭스에는 iOS 및 Android 모바일 플랫폼용 하위 매트릭스가 포함되어 있습니다.
ICX 매트릭스에는 산업 제어 시스템, 특히 공장, 유틸리티, 운송 시스템 및 기타 중요 서비스 제공업체의 운영을 제어하거나 자동화하는 데 사용되는 기계, 디바이스, 센서 및 네트워크에 대한 공격에 사용되는 기법이 포함되어 있습니다.
각 MITRE ATT&CK 전술은 특정한 악의적 목표, 즉 공격자가 특정 시간에 달성하고자 하는 목표를 나타냅니다. ATT&CK 전술은 사이버 공격의 단계 또는 단계에 밀접하게 대응합니다. 예를 들어, 엔터프라이즈 매트릭스에서 다루는 ATT&CK 전술에는 다음이 포함됩니다:
정찰: 공격 계획을 위한 정보 수집
자원 개발: 공격 작전 지원을 위한 자원 구축
초기 액세스: 대상 시스템 또는 네트워크에 침투
실행: 손상된 시스템에서 멀웨어 또는 악성 코드 실행
지속성: 손상된 시스템에 대한 액세스 유지(시스템 종료 또는 재구성 시)
권한 에스컬레이션: 더 높은 수준의 액세스 또는 권한 얻기(예: 사용자 액세스에서 관리자 액세스 권한으로 이동)
방어 회피: 시스템 내부에서 탐지를 회피하는 것
자격 증명 액세스: 사용자 이름, 비밀번호 및 기타 로그온 자격 증명 도용
발견: 검색: 계획된 공격을 지원하기 위해 액세스하거나 제어할 수 있는 리소스를 파악하기 위해 대상 환경 조사
수평 이동: 시스템 내 추가 리소스에 대한 액세스 권한 획득
수집: 공격 목표와 관련된 데이터 수집(예: 랜섬웨어 공격의 일부로 암호화 및/또는 유출할 데이터)
명령 및 제어: 공격자가 시스템을 제어할 수 있도록 은밀하고 탐지할 수 없는 통신 설정
유출: 시스템에서 데이터를 훔치는 행위
영향: 데이터 또는 비즈니스 프로세스의 중단, 손상, 비활성화 또는 파괴
다시 말하지만, 전술과 기법은 매트릭스(및 하위 매트릭스)에 따라 다릅니다. 예를 들어, 모바일 매트릭스에는 정찰 및 자원 개발 전술이 포함되어 있지 않지만, 엔터프라이즈 매트릭스에는 없는 다른 전술(네트워크 효과및 원격 서비스 효과)이 포함되어 있습니다.
MITRE ATT&CK 전술이 공격자가 달성하고자 하는 것을 말한다면, MITRE ATT&CK 기법은 공격자가 이를 달성하기 위해 시도하는 방법을 말합니다. 예를 들어 드라이브 바이 익스플로잇과 스피어 피싱은 초기 액세스 기법의 일종이며, 파일리스 스토리지를 사용하는 것은 방어 회피 기법의 한 예입니다.
지식 기반은 각 기법에 대해 다음과 같은 정보를 제공합니다.
기법에 대한 설명 및 개요.
해당 기법과 관련된 알려진 하위 기법. 예를 들어 피싱의 하위 기법에는 스피어 피싱 첨부 파일, 스피어 피싱 링크 및 서비스를 통한 스피어 피싱이 있습니다. 이 글을 쓰는 시점에서 MITRE ATT&CK는 196개의 개별 기법과 411개의 하위 기법을 문서화합니다.
관련 절차의 예 여기에는 공격 그룹이 이 기법을 사용하는 방법 또는 이 기법을 실행하는 데 사용되는 악성 소프트웨어 유형이 포함될 수 있습니다.
완화 조치 - 기법을 차단하거나 해결할 수 있는 보안 관행(예: 사용자 교육) 또는 소프트웨어(예: 바이러스 백신 소프트웨어, 침입 방지 시스템).
탐지 방법. 일반적으로 보안 팀이나 보안 소프트웨어가 해당 기법의 증거를 찾기 위해 모니터링할 수 있는 로그 데이터 또는 시스템 데이터 소스입니다.
MITRE ATT&CK는 지식 기반을 보고 활용할 수 있는 가지 다른 방법을 제공합니다. 사용자는 매트릭스를 통해 특정 전술과 기법을 연구하는 대신 다음을 기반으로 연구할 수 있습니다.
데이터 소스 -보안 팀이나 보안 소프트웨어가 공격 기법의 증거를 찾기 위해 모니터링할 수 있는 모든 로그 데이터 또는 시스템 데이터 소스 및 데이터 구성 요소의 색인입니다.
완화 조치—지식 기반에서 참조된 모든 완화 조치의 색인입니다. 사용자는 드릴다운하여 특정 완화 조치가 어떤 기법을 다루는지 알아볼 수 있습니다.
그룹 - 악의적 그룹과 이들이 사용하는 공격 전술 및 기법의 색인입니다. 이 글을 쓰는 시점에서 MITRE ATT&CK는 138개 그룹을 문서화했습니다.
소프트웨어 -공격자가 특정 기법을 실행하는 데 사용할 수 있는 악성 소프트웨어 또는 서비스(현재 740개)의 색인입니다.
캠페인— 기본적으로 사이버 공격 또는 사이버 스파이 활동을 시작한 그룹에 대한 정보와 사용된 기법 및 소프트웨어를 포함하는 사이버 공격 또는 사이버 스파이 캠페인의 데이터베이스입니다.
MITRE ATT&CK Navigator는 지식 기반에서 데이터를 검색, 필터링, 주석 달기 및 표시하기 위한 오픈 소스 툴입니다. 보안 팀은 MITRE ATT&CK Navigator를 사용하여 특정 위협 그룹이 사용하는 전술과 기법을 신속하게 식별 및 비교하고, 특정 기법을 실행하는 데 사용되는 소프트웨어를 식별하고, 특정 기법에 대한 완화 조치를 일치시키는 등의 작업을 수행할 수 있습니다.
ATT&CK Navigator는 결과를 JSON, Excel 또는 SVG 그래픽 형식(프레젠테이션용)으로 내보낼 수 있습니다. 보안 팀은 이를 온라인(GitHub에서 호스팅)으로 사용하거나 로컬 컴퓨터에 다운로드할 수 있습니다.
MITRE ATT&CK는 조직이 보안 운영을 최적화하고 전반적인 보안 상태를 개선하는 데 사용하는 다양한 활동과 기술을 지원합니다.
경보 분류, 위협 탐지 및 대응. MITRE ATT&CK의 정보는 일반적인 기업 네트워크의 소프트웨어 및 디바이스에서 생성되는 수많은 보안 관련 경고를 선별하고 우선순위를 지정하는 데 매우 유용합니다. 실제로 SIEM(보안 정보 및 이벤트 관리), UEBA(사용자 및 엔티티 행동 분석), EDR(엔드포인트 탐지 및 대응 ), XDR(확장 탐지 및 대응)을 비롯한 많은 엔터프라이즈 보안 솔루션은 MITRE ATT&CK의 정보를 수집하여 경고를 분류하고, 다른 소스에서 사이버 위협 인텔리전스를 강화하고, 인시던트 대응 플레이북 또는 자동화된 위협 대응을 트리거하는 데 사용할 수 있습니다.
위협 헌팅. 위협 헌팅은 보안 분석가가 기존 사이버 보안 조치를 통과한 위협을 찾기 위해 네트워크를 검색하는 사전 예방적 보안 활동입니다. 악의적 전술, 기법 및 절차에 대한 MITRE ATT&CK의 정보는 위협 헌팅을 시작하거나 지속하는 데 필요한 수백 가지 포인트를 제공합니다.
레드 팀/ 에악의적 에뮬레이션. 보안 팀은 MITRE ATT&CK의 정보를 사용하여 실제 사이버 공격을 시뮬레이션할 수 있습니다. 이러한 시뮬레이션은 현재 시행 중인 보안 정책, 관행 및 솔루션의 효율성을 테스트하고 해결해야 할 취약점을 식별하는 데 도움이 됩니다.
보안 격차 분석 및 SOC 성숙도 평가. 보안 격차 분석은 조직의 기존 사이버 보안 관행 및 기술을 현재 업계 표준과 비교하는 활동입니다. SOC 성숙도 평가는 수동 개입을 최소화하거나 전혀 하지 않고도 사이버 위협 또는 사이버 공격을 지속적으로 차단하거나 완화할 수 있는 능력을 기반으로 조직의 보안 운영 센터(SOC)의 성숙도를 평가니다. 각 경우에 MITRE ATT&CK 데이터는 조직이 사이버 위협 전술, 기법 및 완화 조치에 대한 최신 데이터를 사용하여 이러한 평가를 수행하는 데 도움이 될 수 있습니다.
MITRE ATT&CK와 마찬가지로 Lockheed Martin의 사이버 킬 체인은 사이버 공격을 일련의 악의적 전술로 모델링합니다. 일부 전술은 이름이 같기도 합니다. 하지만 유사성은 여기서 끝납니다.
사이버 킬 체인은 지식 기반이라기보다는 설명 프레임워크에 가깝습니다. MITRE ATT&CK보다 훨씬 덜 상세합니다. MITRE ATT&CK의 18가지 전술(모바일 및 ICS 전용 전술 포함)에 비해 정찰, 무기화, 전달, 악용, 설치, 지휘 및 통제, 목표에 대한 조치 등 7가지 전술만 다루고 있습니다.모바일 또는 ICS 플랫폼에 대한 공격에 대한 개별 모델은 제공하지 않습니다. 또한 MITRE ATT&CK의 전술, 기법 및 절차에 대한 세부 정보 수준과 비슷한 내용은 분류하지 않습니다.
또 다른 중요한 차이점이 있습니다. 사이버 킬 체인은 사이버 공격이 성공하려면 악의적 전술을 순서대로 수행해야 하며, 그 중 하나라도 차단하면 '킬 체인이 끊어져' 공격자가 궁극적인 목표를 달성하지 못한다는 가정에 기반합니다. MITRE ATT&CK는 이러한 접근 방식을 취하지 않습니다. MITRE ATT&CK는 보안 전문가가 어떤 상황에서든 개별 악의적 전술과 기법을 식별하고 차단하거나 완화할 수 있도록 지원하는 데 중점을 둡니다.
연결되고 현대화된 보안 제품군으로 공격에 대응 QRadar 포트폴리오에는 엔터프라이즈급 AI가 내장되어 있으며 엔드포인트 보안, 로그 관리, SIEM 및 SOAR을 위한 통합 제품을 제공하며, 모든 제품에 공통 사용자 인터페이스, 공유된 인사이트 및 연결된 워크플로가 갖춰져 있습니다.
사전 위협 헌팅, 지속적인 모니터링 및 위협에 대한 심층 조사는 이미 바쁜 IT 부서가 직면한 최우선 과제 중 일부에 불과합니다. 신뢰할 수 있는 인시던트 대응 팀을 대기 상태로 유지하면 대응 시간을 줄이고 사이버 공격의 영향을 최소화하며 더 빠르게 복구할 수 있습니다.
IBM은 최신 랜섬웨어 위협을 방지하고 퇴치하기 위해 800TB의 위협 활동 데이터, 1천7백만 건 이상의 스팸 및 피싱 공격 정보, 2억 7천만 건의 엔드포인트로 구성된 네트워크에서 수집한 약 1백만 개의 악성 IP 주소에 대한 데이터를 활용합니다.