MITRE ATT&CK 프레임워크란?

Definition Matrix Cloud Matrix Cyber Kill Chain How to Use Resources Request a Demo

MITRE ATT&CK®는 MITRE 적대적 전술, 기법 및 상식(ATT&CK)의 약자입니다.. MITRE ATT&CK 프레임워크는 사이버 공격자 행동에 관한 선별된 기술 자료 및 모델로, 공격자 측 공격 수명 주기의 다양한 단계와 공격자가 표적으로 삼는 것으로 알려진 플랫폼의 정보를 반영합니다. 모델의 추상화된 전술과 기술은 사이버 보안의 공격과 방어 양측에서 이해하는 개별 공격자 행동의 공통 분류를 제공합니다. 또한 공격자 행동을 적절한 수준으로 분류하여 공격을 방어할 구체적인 방법을 제공합니다.

ATT&CK에서 제시하는 행동 모델은 다음 핵심 구성 요소로 구성됩니다.

공격 중의 단기적, 전술적 공격자 목표를 나타내는 전술(열)
공격자가 전술적 목표를 달성하는 수단을 나타내는 기술(개별 셀)
공격자의 기술 활용 및 기타 메타데이터에 대한 문서(기술과 연결) [1]

MITRE ATT&CK는 2013년에 연구자들이 원격 측정 감지 및 행동 분석을 통해 손상 후 위협 탐지를 개선하기 위해 공격자와 방어자의 행동을 모두 에뮬레이트한 MITRE의 Fort Meade Experiment(FMX)의 결과로 만들어졌습니다. 연구자들의 핵심 질문은 ‘문서화된 공격자 행동을 얼마나 잘 탐지하고 있는가?’였습니다. 그 질문에 답하기 위해 연구자들은 공격자 행동을 분류하는 도구로 사용되는 ATT&CK를 개발했습니다.

MITRE ATT&CK에는 현재 3가지 버전이 있습니다.

ATT&CK for Enterprise

ATT&CK for Mobile

ATT&CK for ICS

Windows, Mac, Linux, 클라우드 환경에서의 공격자 행동 중심입니다.

iOS 및 Android 운영 체제에서의 공격자 행동 중심입니다.

ICS 네트워크 내에서 활동하는 공격자가 취할 행동을 설명하는 데 중점을 둡니다.

MITRE ATT&CK는 전 세계에서 침입 탐지, 위협 추적, 보안 공학, 위협 인텔리전스, 레드팀, 위험 관리 등 다양한 분야에 사용됩니다. [2]

MITRE ATT&CK 매트릭스란?

MITRE ATT&CK 매트릭스에는 공격자가 특정 목표를 달성하기 위해 사용하는 기술 세트가 있습니다. ATT&CK 매트릭스에서 이러한 목표는 전술로 분류됩니다. 목표는 정찰 시점부터 최종 목표인 반출 또는 ‘영향’ 시점까지 선형으로 표현됩니다. Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, 네트워크, 컨테이너를 포함하는 가장 폭넓은 버전인 ATT&CK for Enterprise에서는 공격자 전술을 다음과 같이 분류합니다.

정찰: 향후의 공격자 작전을 계획하기 위한 정보를 수집합니다. 예: 표적 조직에 대한 정보
리소스 개발: 작전을 지원할 리소스를 구축합니다. 예: 명령 및 제어 인프라 설정
초기 액세스: 네트워크에 침입하려 시도합니다. 예: 스피어 피싱
실행: 악성 코드 실행을 시도합니다. 예: 원격 액세스 도구 실행
지속성: 침투 발판을 유지하려고 시도합니다. 예: 구성 변경
권한 상승: 더 높은 수준의 권한을 획득하려고 시도합니다. 예: 취약성을 활용해 액세스 권한 상승
방어 회피: 탐지를 피하려고 시도합니다. 예: 신뢰할 수 있는 프로세스를 통해 맬웨어 숨김
자격 증명 액세스: 계정 이름 및 암호를 도용합니다. 예: 키로깅
검색: 환경에 대한 정보를 수집합니다. 예: 무엇을 제어할 수 있는지 탐색
내부 확산: 환경 내에서 이동합니다. 예: 검증된 자격 증명으로 여러 시스템 간에 이동
수집: 공격자 목표의 관심 대상 데이터를 수집합니다. 예: 클라우드 저장소의 데이터에 액세스
명령 및 제어: 침입한 시스템과 통신하여 시스템을 제어합니다. 예: 정상 웹 트래픽을 모방해 피해 네트워크와 통신
반출: 데이터를 도용합니다. 예: 클라우드 계정으로 데이터 전송
영향: 시스템 및 데이터를 조작, 방해, 파괴합니다. 예: 랜섬웨어로 데이터 암호화

MITRE ATT&CK 매트릭스의 각 전술에는 공격자가 실제로 수행하는 활동을 정의하는 공격자 기술이 있습니다. 일부 기술에는 공격자가 해당 기술을 어떻게 수행하는지를 더 자세하게 설명하는 하위 기술이 있습니다. MITRE ATT&CK Navigator의 전체 ATT&CK Matrix for Enterprise는 아래와 같습니다.

MITRE ATT&CK for Enterprise, 2021

MITRE ATT&CK for Cloud 매트릭스의 차별점은 무엇입니까?

MITRE ATT&CK for Enterprise 매트릭스의 하위 섹션인 MITRE ATT&CK for Cloud 매트릭스는 더 큰 범주인 ATT&CK Enterprise 매트릭스의 전술과 기술 하위 세트를 포함합니다. 클라우드 공격에 사용되는 공격자 행동과 기술은 Windows, macOS, Linux 및 기타 엔터프라이즈 환경에 대한 공격에 사용되는 행동 및 기술과 다르므로 MITRE ATT&CK Cloud 매트릭스는 나머지 Enterprise 매트릭스와 다릅니다.

Windows, macOS, Linux 및 기타 연관 환경의 MITRE ATT&CK 기술은 일반적으로 맬웨어를 사용하여 표적 조직이 소유하고 운영하는 네트워크에 침입합니다.

AWS, Azure, Office 365 및 기타 연관 환경의 MITRE ATT&CK 기술은 일반적으로 맬웨어를 사용하지 않으며, Microsoft 또는 Amazon과 같은 제3자 클라우드 서비스 공급자가 소유하고 운영하는 환경을 표적으로 합니다. 피해자의 환경에 침입할 수 없는 공격자는 대개 CSP의 기본 기능을 활용해 표적 피해자의 계정에 침입하고, 권한을 상승시키며, 내부에서 확산하고, 데이터를 반출합니다. 다음 예시 기술 목록은 ATT&CK for Cloud 프레임워크를 사용한 공격자 행동을 보여줍니다.

기술

행동

초기 액세스

도용한 자격 증명을 사용해 새 계정을 생성

지속성

공격자가 스피어 피싱을 통해 피해자를 공격해 AWS 자격 증명을 획득

권한 상승

유효한 계정을 사용해 액세스 권한 변경

방어 회피

방화벽 규칙을 바이패스하기 위해 새 VM 인스턴스 생성

자격 증명 액세스

데이터베이스 액세스 토큰 도용

검색

표적 데이터베이스 발견

내부 확산

응용프로그램 액세스 토큰을 사용해 데이터베이스 액세스

수집

데이터베이스에서 정보 수집

반출

AWS 공격자 계정으로 반출

ATT&CK for Enterprise 매트릭스 전술 및 기술의 하위 세트인 ATT&CK for Cloud 매트릭스 전체를 아래에서 확인할 수 있습니다.

MITRE ATT&CK for Cloud, 2021

MITRE ATT&CK for Containers, 2021

MITRE ATT&CK vs. Cyber Kill Chain

Lockheed Martin Cyber Kill Chain® 또한 사이버 공격 시의 공격자 행동을 이해하기 위한 잘 알려진 프레임워크입니다. Kill Chain 모델은 다음 단계별 순서대로 구성됩니다.

정찰 – 이메일 주소, 회의 정보 등을 수집합니다.
무기화 – 익스플로잇과 백도어를 결합해 전달할 수 있는 페이로드를 만듭니다.
전달 – 무기화된 번들을 이메일, 웹, USB 등을 통해 피해자에게 전달합니다.
익스플로잇 – 피해자의 시스템에서 취약성을 익스플로잇하여 코드를 실행합니다.
설치 – 자산에 맬웨어를 설치합니다.
명령 및 제어(C2) – 원격 조작을 위한 명령 채널을 추가합니다.
목표 달성 활동 – 침입자가 ‘직접 키보드를 조작’해 액세스하며 기존 목표를 달성합니다.

Lockheed Martin이 제공한 이 이미지에서 Cyber Kill Chain 프레임워크에 대한 자세한 정보를 확인할 수 있습니다. [3]

MITRE ATT&CK와 Cyber Kill Chain에는 두 가지 주요 차이점이 있습니다.

첫째, MITRE ATT&CK 프레임워크는 ATT&CK 기술과 하위 기술을 통해 각 단계가 어떻게 수행되는지를 매우 자세히 설명합니다. MITRE ATT&CK는 최신 기술을 따라잡기 위해 업계의 정보를 토대로 정기적으로 업데이트하므로 방어자가 방어 수단과 공격 모델을 정기적으로 업데이트할 수 있습니다.
둘째, Cyber Kill Chain은 클라우드 기반 공격의 경우 위에서 언급했듯이 다른 전술 및 기술이 사용된다는 사실을 고려하지 않습니다. Cyber Kill Chain 프레임워크는 공격자가 맬웨어와 같은 페이로드를 표적 환경에 전달한다고 가정하지만, 이는 클라우드에서는 별로 사용되지 않는 방법입니다.

MITRE ATT&CK 매트릭스는 어떻게 사용하나요?

MITRE ATT&CK 프레임워크는 다양한 방법으로 조직에 도움이 될 수 있습니다. 일반적으로 MITRE ATT&CK를 적용하면 다음과 같은 이점을 얻을 수 있습니다.

공격자 에뮬레이션: 공격자와 공격자가 위협을 에뮬레이트하기 위해 활동하는 방식에 대한 인텔리전스를 적용해 보안을 평가합니다. 방어를 테스트하고 검증하기 위한 공격자 에뮬레이션 시나리오를 생성하기 위해서도 ATT&CK를 사용할 수 있습니다.
레드팀 운영: 레드팀은 공격자의 입장에서 침해의 영향을 보여주는 역할을 합니다. 레드팀을 수립하고 작전을 조직하기 위해 ATT&CK를 사용할 수 있습니다.
행동 분석 개발: 공격자 활동을 모니터링하기 위해 의심스러운 활동을 연결합니다. 악성 활동인지 의심스러운 활동의 패턴을 정리하고 간소화하는 데 ATT&CK를 사용할 수 있습니다.
방어 격차 평가: 기업의 방어 및/또는 가시성이 부족한 부분을 파악합니다. 기존 도구를 평가하거나 새 도구를 구매하기 전에 테스트를 거쳐서 보안 범위를 파악하고 투자의 우선순위를 결정하는 데 ATT&CK를 사용할 수 있습니다.
SOC 성숙도 평가: 방어 격차 평가와 유사하게 침해를 탐지, 분석, 대응하는 데 보안 운영 센터(SOC)가 얼마나 효과적인지 파악하는 데 ATT&CK를 사용할 수 있습니다.
사이버 위협 인텔리전스 강화: 위협 및 위협 행위자에 대한 정보를 향상합니다. ATT&CK를 통해 방어자는 특정 지능형 지속 가능 위협(ATP)과 여러 위협 행위자의 공통된 행동을 방어할 수 있는지 평가할 수 있습니다.

MITRE ATT&CK를 구현하려면 일반적으로 사이버 보안 도구와 수동으로 매핑하거나 통합해야 하며, 특히 일반적인 도구에는 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 클라우드 액세스 보안 브로커(CASB)가 있습니다.

MITRE ATT&CK를 SIEM과 함께 사용하려면 엔드포인트, 네트워크, 클라우드 서비스의 로그 데이터를 수집하고 위협을 식별해 MITRE ATT&CK에 매핑해야 합니다. 그런 다음 로그 데이터를 제공하는 보안 도구(EDR 또는 CASB 등)에서 보안 포스처가 변경됩니다.

MITRE ATT&CK를 EDR과 함께 사용하려면 방어자가 위협 이벤트의 단계를 파악하고, 연관 위험을 평가하고, 대응 우선순위를 결정할 수 있도록 엔드포인트 에이전트가 관찰한 이벤트를 매핑해야 합니다.

리소스

MITRE 평가

리소스

WizardSpider & Sandworm

적응형 가시성 - MITRE ATT&CK R4로 시뮬레이션된 랜섬웨어 공격의 너비와 깊이

MITRE를 사용해 Trellix 제품 강화하기

보호, 가시성 및 탐지가 뛰어난 Trellix

Trellix는 모든 MITRE ATT&CK 평가에 참여했습니다

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Awareness