ATT&CK과 TTPs
정보보호 컨설팅 방법론 내 고객사의 위험을 도출하여 분석 및 평가하는 과정에 TTPs를 접목하여, 보다 현실적인 위험 대응방안 수립이 가능하다.
TTPs란?
- 전술(Tactics), 기술(Techniques), 절차(Procedures)의 약어로 정수 값이나 스트링 값으로 표현할 수 없는 위협원들의 행위 자체
- 과거의 침해사고들이 현재에도 여전히 발생하고 있으며, 방어 체계를 잘 갖춘 기업도 예외가 아님
- 여전히, IoC(Indicator of compromise, 악성 IP나 악성 도메인 등 단순지표) 기반의 방어체계는 매우 유용함. 하지만 공격자는 단순한 지표와 관련된 공격 인프라를 쉽게 확보하고 버림
- 하지만, 공격자는 TTP를 쉽게 확보하거나 버릴 수 없음. 타깃이 정해진 공격자는 타깃의 방어 환경을 무력화하기 위해 많은 시간을 들여서 TTP를 학습하고 연습함. 그리고 확보된 TTP를 지속 활용할 수 잇는 대상들이 새로운 타깃이 됨.
- 공격자의 TTP는 언제나 방어 환경의 특성과 맞물려 있음. 그래서 방어자는 방어 환경에 대해 정확히 이해하고 잇어야 하며, 공격의 흐름과 과정을 패턴이나 기법이 아닌 전략/전술 관점으로 보아야 함. 방어자의 환경과 공격자의 TTP는 함께 이야기 되어야 함.
- TTP를 이해한 방어자는 2가지를 설명할 수 있어야 한다.
- 공격자의 TTP가 방어자 환경에 유효한 것인지 여부,
- 유효하다면, TTP를 무력화할 수 있는 방어 전략은 무엇인지?
TTPs
MITRE ATT&CK
- MITRE (마이터)
- 미국 연방정보의 지원ㅇ르 받는 비영리 연구개발 단체
- 본래 국가안보관련 업무를 수행하며, 항공교통, 국토보안관리 시스템 구축 등 인프라 관련 부문을 주로 연굴
- 점점 국가간 사이버 공격의 영향력이 커지고 피해가 늘어나면서 자연스럽게 해당 부분에 대한 연구가 시작되며 발간된 것이 'ATT&CK Framework'
- ATT&CK(Adversarial Tatics, Techniques & Common Knowledge) Framework
- 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 사이버공격 킬체인 보고서
- 실제 관측에 기반, 분석한 자료, 방어자가 고려할 수 있는 TTPs를 토대로 보안 프레임워크 구성
- 2018년 1월 ATT&CK v1 발표 -> 2022년 4월 25일 ATT&CK v11 발표
MITRE ATT&CK 구조
- ATT&CK Matrix
- 공격 기술인 Tactic, Technique 개념과 관계를 시각화
- Tactic에는 다양한 Technique이 포함
- 각 Tactic이 공격 목표에 따라 다양함
- ATT&CK Tactics
- 공격 목표에 따른 공격자의 행동을 나타냄
- 상황에 따른 각 Technique에 대한 범주 역할
- 지속성, 정보탐색, 실행, 파일 추출 등 공격자의 목적에 따라 분류
- ATT&CK Techniques
- 공격자가 목표에 대한 Tactic을 달성하기 위한 방법을 나타냄
- Technique을 사용함으로써 발생하는 결과(피해)를 명시
- Tactic에 따라 다양한 Technique들이 존재할 수 있음
- ATT&CK Mitigations
- 방어자(관리자)가 공격을 예방하고 탐지하기 위해 취할 수 있는 행동을 말함
- 보안의 목적과 시스템 상황에 따라 중복으로 Mitigation을 적용할 수 있음
- ATT&CK Groups
- 보안 커뮤니티에서 단체/그룹에 대해 공개적으로 명칭이 부여된 해킹단체에 대한 정보와 공격 기법을 분석하여 정리한 것
MITRE ATT&CK 전략(Tactic)
- Reconnaissance
- Resource Development
- Initial Access
- Execution
- Persistence
- Privilege Escalation
- Defense Evasion
- Credential Access
- Discovery
- Lateral Movement
- Collection
- Command and Control
- Exfiltration
- Impact
'⛅ Cloud Study > 🛡 Security' 카테고리의 다른 글
| 직무 맛보기(컨설팅, 취약점 분석 관리, 모의해킹) (0) | 2023.07.31 |
|---|---|
| 웹 서비스 공격 위협 (0) | 2023.07.31 |
| 네트워크 기반 주요 위협 (0) | 2023.07.30 |
| 기업 IT 인프라 구성의 이해 (0) | 2023.07.29 |
| 보안 용어 (0) | 2023.07.29 |
