MITRE ATT&CK 프레임워크의 이해 및 활용

MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge)

- MITRE ATT&CK 프레임워크는 사이버 보안 분야에서 사용되는 쳬게적인 지식 기반

- 공격자들의 전술(Tactics), 기술(Techniques), 절차(Precedures)를 체계적으로 정리하여 효과적으로 대응

 

 

IOC 기반 탐지

- Snort와 같은 시그니처 기반 도구를 사용하여 악성 파일 해시, IP 주소, 도메인 이름 등을 탐지

- 수집 및 자동화가 용이하지만, 새로운 IOC가 필요하고 단기적인 탐지

 

TTPs 기반 탐지

- 공격자의 전술, 기술, 절차를 분석하여 행동 패턴을 탐지

- Splunk와 같은 SIEM 도구를 사용하여 새로운 공격 기법에 대한 탐지가 가능하며 우회가 어렵지만, 초기 설정과 지속적인 모니터링이 복잡

 

특징	설명	장점	단점	예시
IOC 기반 탐지	Indicator of Compromise (IOC)는 시스템이 악의적인 활동에 의해 침해되었을 가능성이 높음을 보여주는 운영체제 또는 네트워크 아티팩트들을 통칭합니다.	1. 쉽게 수집 가능 2. 자동화된 도구로 빠른 탐지 가능 3. 기존 시그니처 기반 보안 솔루션과 통합 가능	1. 단기적인 탐지에 그침 2. 새로운 IOC가 필요함 3. False Positive 발생 가능성 높음	악성 파일 해시, IP 주소, 도메인 이름
TTPs 기반 탐지	Tactics, Techniques, and Procedures (TTPs)는 공격자의 전술, 기술, 절차를 의미하며, 공격자의 행동 패턴을 분석하여 탐지합니다.	1. 행동 기반 탐지로 우회 어려움 2. 새로운 공격 기법에 대한 탐지 가능 3. 장기적인 공격 패턴 분석 가능	1. 초기 설정 및 분석이 복잡 2. 지속적인 모니터링 필요 3. 고도의 분석 기술 요구	랜섬웨어 공격의 특정 행동 패턴, 피싱 공격에서의 링크 클릭 유도 방식

 

 

MITRE ATT&CK 프레임워크의 중요성

- 공격 기법이 점점 정교해지고 다양해지면서, 단순 차단만으로는 모든 위협 방어 불가

- 침투 후 실제 피해가 발생하기 전에 위협을 탐지하고 제거

- 다양한 공격자의 TTPs를 분석하여, 보다 효과적인 방어 전략 수립 

 

MITRE ATT&CK 프레임워크의 구성요소

- 전술(Tactics) : 공격자가 달성하고자 하는 목표나 목적을 의미

- 기술(Techniques) : 공격자가 전술을 달성하기 위해 사용하는 방법이나 수단

- 절차(Procedures) : 기술을 구현하기 위한 구체적인 단계나 방법

 

MITRE ATT&CK 매트릭스

- 매트릭스는 전술을 기준으로 기술을 분류한 표

- 각 컬럼은 전술을, 각 행은 해당 전술을 수행하는 데 사용되는 기술

- Enterprise, Mobile, ICS 버전으로 제공

- 각 환경에 맞춘 전술 및 기술 정보 수록

 

그림(2) 마이터어택 매트릭스 일부

 

MITRE ATT&CK 프레임워크의 활용

- 공격자의 TTPs나 도구를 식별

- 공격 행위를 모사하여 본 체계 테스트

- 실제 공격이 발생했을때, 빠르게 탐지하고 대응

  

 

결론

마MITRE ATT&CK 프레임워크는 IOC 기반 탐지에서 TTPs기반 탐지로 변하는 추세로 진행되면서 각광 받게된 것 같다.

IOC 기반 탐지도 물론 중요하지만 요즘엔 제로데, APT 공격 등 단순 방어로만 할 수 없는 공격들이 많기 때문에 행동 기반인 MITRE ATT&CK를 많이 사용하고 참고하는 것 같다.