작은 메모장

MITRE ATT&CK 프레임 워크 (1) 본문

KISA 사이버 보안 훈련/스피어피싱 대응 기본

MITRE ATT&CK 프레임 워크 (1)

으앙내눈 2023. 5. 17. 11:54

MITRE사?

미국 NIST(국립표준연구소)의 산하 기관 MITRE사

우리나라의 국방과학연구소(ADD)와 비슷한 성격의 기관

 

사이버 뿐만 아니라 각종 위협들에 대해 연구, 및 결과 공유

의미있는 프로젝트들을 하는 비영리 단체 공공기관

CVE같은 취약점 일련번호 부여 프로젝트같은 것을 진행함

 

 

그래서...

MITRE ATT&CK 프레임 워크가 무엇인가?

MITER사가 10년 전 진행했던 프로젝트의 일환으로,

해커 그룹들의 공격을 조사하고 최대한 비슷하게 시뮬레이션 혹은 애뮬레이션하는 프로젝트를 의미

즉, 해커 그룹들이 무슨 도구를 사용하고, 공격시 어떤 전략을 이용하며 어떤 명령어를 쓰는지...

이런 내용들을 구체적으로 연구해서 시뮬레이션 하는 프로젝트

 

이미 완료한 프로젝트로, 프로젝트의 미래성을 느끼고 이를 공개적으로 제작

이에 수집한 자료 자체를 고도화하여 MITRE ATT&CK 매트릭스로 제작됨

MITRE ATT&CK 매트릭스 프로젝트 메인 화면

ATT&CK 매트릭스에는 여러 Tactic과 그에 해당하는 Technique들이 있으며,

각 택틱과 테크닉은 ATT&CK 자체적인 분석 뿐만이 아니라

세계적인 보안 벤더들이 침해사고 제보를 통해 매트릭스에 갱신

즉, 이 매트릭스의 테크닉들은 현재 해커그룹이 사용하는 기술의 집합과 비슷

 

그럼 이를 어떻게 활용하나?

다양한 활용법 중 하나가 BAS 솔루션

BAS(Breach Attack Simulation)은 보안솔루션으로,

침해사고에 대한 대응 역량을 분석하기 위한 보안 솔루션 카테고리 중 하나

단순한 트래픽을 전송하여 대응도를 판단하는 간단한 솔루션이 아니라

표적 공격을 시뮬레이션 해주는 솔루션

 

예를 들어, 악성 메일이 전송되어 이를 클릭했을 때, 악성코드에 감염이 되고

C2에 연결 후 다른 시스템까지 추가공격 되어 DB까지 접근하는 플로우가 있다면,

이를 시뮬레이션 해줄 수 있는 솔루션이 BAS

각각의 플로우 단계에서 트래픽을 얼마나 잘 감지하고 이를 막아내느냐를 평가하는 솔루션

 

이때 ATT&CK 모델을 기준으로 플로우 시뮬레이션을 구성

실제 사용하는 기법에 대한 대응도를 파악할 수 있도록 활용