MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge)
- MITRE ATT&CK 프레임워크는 사이버 보안 분야에서 사용되는 쳬게적인 지식 기반
- 공격자들의 전술(Tactics), 기술(Techniques), 절차(Precedures)를 체계적으로 정리하여 효과적으로 대응
IOC 기반 탐지
- Snort와 같은 시그니처 기반 도구를 사용하여 악성 파일 해시, IP 주소, 도메인 이름 등을 탐지
- 수집 및 자동화가 용이하지만, 새로운 IOC가 필요하고 단기적인 탐지
TTPs 기반 탐지
- 공격자의 전술, 기술, 절차를 분석하여 행동 패턴을 탐지
- Splunk와 같은 SIEM 도구를 사용하여 새로운 공격 기법에 대한 탐지가 가능하며 우회가 어렵지만, 초기 설정과 지속적인 모니터링이 복잡
| 특징 | 설명 | 장점 | 단점 | 예시 |
| IOC 기반 탐지 | Indicator of Compromise (IOC)는 시스템이 악의적인 활동에 의해 침해되었을 가능성이 높음을 보여주는 운영체제 또는 네트워크 아티팩트들을 통칭합니다. | 1. 쉽게 수집 가능 2. 자동화된 도구로 빠른 탐지 가능 3. 기존 시그니처 기반 보안 솔루션과 통합 가능 |
1. 단기적인 탐지에 그침 2. 새로운 IOC가 필요함 3. False Positive 발생 가능성 높음 |
악성 파일 해시, IP 주소, 도메인 이름 |
| TTPs 기반 탐지 | Tactics, Techniques, and Procedures (TTPs)는 공격자의 전술, 기술, 절차를 의미하며, 공격자의 행동 패턴을 분석하여 탐지합니다. | 1. 행동 기반 탐지로 우회 어려움 2. 새로운 공격 기법에 대한 탐지 가능 3. 장기적인 공격 패턴 분석 가능 |
1. 초기 설정 및 분석이 복잡 2. 지속적인 모니터링 필요 3. 고도의 분석 기술 요구 |
랜섬웨어 공격의 특정 행동 패턴, 피싱 공격에서의 링크 클릭 유도 방식 |
MITRE ATT&CK 프레임워크의 중요성
- 공격 기법이 점점 정교해지고 다양해지면서, 단순 차단만으로는 모든 위협 방어 불가
- 침투 후 실제 피해가 발생하기 전에 위협을 탐지하고 제거
- 다양한 공격자의 TTPs를 분석하여, 보다 효과적인 방어 전략 수립
MITRE ATT&CK 프레임워크의 구성요소
- 전술(Tactics) : 공격자가 달성하고자 하는 목표나 목적을 의미
- 기술(Techniques) : 공격자가 전술을 달성하기 위해 사용하는 방법이나 수단
- 절차(Procedures) : 기술을 구현하기 위한 구체적인 단계나 방법
MITRE ATT&CK 매트릭스
- 매트릭스는 전술을 기준으로 기술을 분류한 표
- 각 컬럼은 전술을, 각 행은 해당 전술을 수행하는 데 사용되는 기술
- Enterprise, Mobile, ICS 버전으로 제공
- 각 환경에 맞춘 전술 및 기술 정보 수록
MITRE ATT&CK 프레임워크의 활용
- 공격자의 TTPs나 도구를 식별
- 공격 행위를 모사하여 본 체계 테스트
- 실제 공격이 발생했을때, 빠르게 탐지하고 대응
결론
마MITRE ATT&CK 프레임워크는 IOC 기반 탐지에서 TTPs기반 탐지로 변하는 추세로 진행되면서 각광 받게된 것 같다.
IOC 기반 탐지도 물론 중요하지만 요즘엔 제로데, APT 공격 등 단순 방어로만 할 수 없는 공격들이 많기 때문에 행동 기반인 MITRE ATT&CK를 많이 사용하고 참고하는 것 같다.
'정보보안 > 정보보호기초' 카테고리의 다른 글
| 리버스 코드 엔지니어링 (PE파일, 링커, 스택 메모리 등) (0) | 2024.07.08 |
|---|---|
| YARA와 정규표현식 (0) | 2024.07.04 |
| OWASP TOP10 정의, 공격 예시 및 대응방안 (0) | 2024.06.28 |
| 시스템 권한 탈취 및 레이스 컨디션 (0) | 2024.06.25 |
| 악성코드(Malicious Code 혹은 Malware) 이해 (0) | 2024.06.20 |