MITER ATT & CK 프레임 워크

  • 전문가 팀으로부터
데모 받기

MITER ATT & CK 프레임 워크

  • 전문가 팀으로부터
데모 받기
둘러보기
차례

Rescale과 함께 비즈니스를 가속화하는 방법에 대해 알아보세요.

을 참조 Silverfort 플랫폼 작동 중

다른 기업이 할 수 없는 보안을 위해 최고 기업들이 우리를 신뢰하는 이유를 확인해 보세요.

데모 받기

MITRE ATT&CK 프레임워크는 사이버 보안 및 IT 전문가를 위한 모델로 등장하여 위협 행위자가 사이버 작전에서 사용하는 특정 전술, 기술 및 절차(TTP)를 분류하고 설명하는 포괄적인 매트릭스를 제공합니다.

이 프레임워크는 적의 행동에 대한 세부적인 이해를 제공하고 조직이 적의 행동을 더 잘 이해하고 이에 대한 보다 효과적인 방어를 준비할 수 있도록 만들어졌습니다.

사이버 보안에서 MITRE ATT&CK 프레임워크의 중요성은 아무리 강조해도 지나치지 않습니다. IT 전문가에게는 사이버 위협의 식별, 예방 및 완화에 도움이 되는 귀중한 참고 자료가 됩니다.

이 프레임워크는 적의 작전 방식에 대한 자세한 이해를 제공함으로써 방어자가 사이버 보안 조치에 있어 보다 적극적인 자세를 취할 수 있도록 지원합니다. 결과적으로 점점 더 정교해지는 공격으로부터 중요한 인프라와 민감한 데이터를 보호하는 능력이 향상됩니다.

MITRE ATT&CK 매트릭스: 프레임워크 구조 이해

MITRE ATT&CK 프레임워크의 핵심에는 적의 행동에 대한 세부적인 이해를 제공하는 구조화된 분류인 전술, 기술 및 절차(TTP)의 상세한 매트릭스가 있습니다. 이 섹션에서는 프레임워크의 구조를 설명하고 해당 구성 요소가 어떻게 상호 연결되어 사이버 위협에 대한 포괄적인 그림을 제공하는지에 대한 통찰력을 제공합니다.

전술

전술은 적의 행동의 "이유", 즉 공격 중 적의 목표를 나타냅니다. 프레임워크 내의 각 전술은 초기 액세스 확보, 명령 실행, 데이터 유출 등 공격자가 달성하려는 특정 목표에 해당합니다. 이러한 전술을 이해하면 사이버 보안 전문가는 공격자가 다음에 무엇을 할 것인지 예측하여 전략적 방어 조치를 알릴 수 있습니다.

MITRE ATT&CK 프레임워크는 이러한 목표를 일련의 범주로 구성하며, 각 범주는 공격 수명 주기의 단계를 나타냅니다. 초기 접근 및 실행부터 권한 에스컬레이션 그리고 유출 전술은 적의 의도를 볼 수 있는 렌즈를 제공합니다. 이러한 목표를 인식하는 것은 공격자의 계획을 좌절시키기 위한 표적 방어 전략의 개발을 안내하므로 방어자에게 중추적인 역할을 합니다.

  1. 정찰: 향후 공격을 계획하는 데 사용되는 정보 모음입니다. 여기에는 취약성을 식별하고 진입점을 계획하기 위해 대상의 인력, 인프라 및 디지털 존재에 대한 데이터를 수집하는 것이 포함됩니다.
  2. 자원 개발: 도메인명 획득, 악성코드 개발, 운영 인프라 구축 등 공격에 사용되는 자원을 생성 및 관리합니다.
  3. 초기 액세스: 공격자가 네트워크에 대한 진입점을 얻기 위해 사용하는 방법입니다. 이 전술에 사용되는 기술에는 피싱, 공개 애플리케이션 악용, 유효한 계정 사용 등이 포함됩니다.
  4. 실행: 악성 스크립트를 실행하거나 취약점을 악용하여 임의 코드를 실행하는 등 대상 시스템에서 작업을 수행하기 위한 코드 실행입니다.
  5. 고집: 공격자가 재부팅, 자격 증명 변경 및 액세스를 차단할 수 있는 기타 중단을 통해 네트워크 내에서 거점을 유지하기 위해 사용하는 기술입니다.
  6. 권한 에스컬레이션: 시스템이나 네트워크에서 더 높은 수준의 권한을 얻는 데 사용되는 방법입니다. 일반적인 기술에는 시스템 취약점 악용 및 액세스 토큰 조작이 포함됩니다.
  7. 방어 회피: 악성 코드 난독화, 보안 소프트웨어 비활성화, 암호화를 사용하여 명령 및 제어 트래픽을 숨기는 등의 보안 조치에 의한 탐지를 방지하도록 설계된 기술입니다.
  8. 자격 증명 액세스: 자격 증명 덤핑, 입력 캡처, 시스템 또는 서비스 취약점 악용을 포함하여 계정 이름과 비밀번호를 훔치는 데 사용되는 전략입니다.
  9. 발견: 시스템 및 내부 네트워크에 대한 지식을 얻기 위해 취하는 조치입니다. 공격자는 소프트웨어 설치 목록을 작성하고, 보안 정책을 이해하고, 시스템 및 네트워크 리소스를 열거할 수 있습니다.
  10. 측면 운동: 공격자가 네트워크를 통해 이동하여 추가 시스템에 액세스하여 원격 시스템을 제어할 수 있도록 하는 기술로, 종종 훔친 자격 증명을 사용합니다.
  11. 수집: 공격자의 목표에 관심 있는 데이터를 수집합니다. 여기에는 스크린샷 캡처, 키로깅 또는 클라우드에 저장된 데이터 수집이 포함될 수 있습니다.
  12. 명령 및 통제(C2): 공격자가 시스템을 원격으로 제어하고, 데이터를 유출하고, 추가 도구를 배포할 수 있도록 손상된 시스템과의 통신을 유지하는 데 사용되는 메커니즘입니다.
  13. 여과: 대상 네트워크에서 데이터를 훔치는 데 사용되는 방법입니다. 기술에는 명령 및 제어 채널을 통한 데이터 전송, 웹 서비스 사용 또는 물리적 수단이 포함될 수 있습니다.
  14. 영향: 대상의 작전에 영향을 미치기 위해 정보와 시스템을 교란, 파괴 또는 조작하는 것을 목표로 하는 전술입니다. 여기에는 데이터 파괴, 훼손, 서비스 거부 공격이 포함됩니다.

분석기법

기술은 적들이 목표를 달성하는 "방법"을 설명합니다. 각 전술에 대해 프레임워크는 공격자가 사용할 수 있는 다양한 기술을 나열합니다. 예를 들어, "초기 액세스" 전술에서는 스피어 피싱 이메일이나 공개 애플리케이션 악용 등의 기술이 포함될 수 있습니다. 이러한 기술을 분류함으로써 프레임워크는 잠재적인 공격 방법에 대한 플레이북을 제공하여 방어자가 가장 가능성이 높은 위협에 맞게 방어를 맞춤화할 수 있도록 합니다.

각 전술에는 공격자가 사용할 수 있는 다양한 도구와 방법을 반영하여 사용할 수 있는 다양한 기술이 있습니다. 이러한 기술을 이해하는 것은 사이버 보안 전문가에게 매우 중요합니다. 이를 통해 잠재적인 공격 벡터를 식별하고 적절한 보호 조치를 구현할 수 있습니다.

MITRE ATT&CK 프레임워크 광범위한 기술 목록을 작성합니다. 공격 라이프사이클 전반에 걸쳐 공격자가 목표를 달성하기 위해 사용하는 것입니다. 특정 기술의 관련성은 상황, 환경, 대상에 따라 달라질 수 있지만 광범위한 사고에서 자주 관찰되는 몇 가지 기술이 있습니다.

아래에서는 프레임워크에 자세히 설명된 가장 일반적인 기술 중 일부를 간략히 설명하고 이러한 기술의 광범위한 적용과 그에 대한 방어의 필요성을 강조합니다.

  • 피싱(T1566): 이메일과 같은 사기성 통신을 활용하여 사용자를 속여 중요한 정보를 제공하거나 악성 페이로드를 실행하도록 합니다.
  • 드라이브 바이 타협(T1189): 웹 브라우저의 취약점을 악용하여 손상된 웹 사이트를 방문하는 것만으로 코드를 실행합니다.
  • 명령 및 스크립팅 인터프리터(T1059): 작업을 실행하기 위해 스크립트나 명령을 사용합니다. PowerShell(T1059.001)은 강력한 기능과 Windows 환경과의 긴밀한 통합으로 인해 특히 널리 사용됩니다.
  • 사용자 실행(T1204): 악성 첨부 파일이나 링크를 열어 사용자를 속여 악성 코드를 실행하도록 하는 행위입니다.
  • 레지스트리 실행 키/시작 폴더(T1547.001): 시스템 시작 시 자동으로 악성코드를 실행하도록 레지스트리 키나 시작 폴더에 프로그램을 추가합니다.
  • 계정 조작(T1098): 수정 중 사용자 계정 도메인 계정에 자격 증명을 추가하는 등 액세스를 유지하기 위해
  • 권한 상승을 위한 악용(T1068): 더 높은 수준의 권한을 얻기 위해 소프트웨어 취약점을 활용합니다.
  • 유효한 계정(T1078): 적법한 자격 증명을 사용하여 액세스 권한을 얻습니다. 자격 증명이 더 많은 액세스 권한을 가진 사용자에게 속한 경우 권한이 높아지는 경우가 많습니다.
  • 난독화된 파일 또는 정보(T1027): 탐지를 회피하기 위해 파일 내에 악성 코드를 숨깁니다.
  • 보안 도구 비활성화(T1562): 악의적인 활동을 탐지하거나 예방할 수 있는 보안 소프트웨어 또는 서비스를 비활성화하기 위해 취해지는 조치입니다.
  • 자격 증명 덤핑(T1003): 종종 Mimikatz와 같은 도구를 통해 시스템에서 자격 증명을 추출합니다.
  • 입력 캡처(T1056): 자격 증명 및 기타 민감한 정보를 캡처하기 위해 키 로깅을 포함한 사용자 입력을 기록합니다.
  • 시스템 정보 검색(T1082): 소프트웨어 버전 및 구성과 같은 추가 작업을 알리기 위해 시스템에 대한 정보를 수집합니다.
  • 계정 검색(T1087): 환경 내에서 권한과 역할을 이해하기 위해 계정을 식별합니다.
  • 원격 서비스(T1021): RDP(원격 데스크톱 프로토콜), SSH(보안 셸) 등과 같은 원격 서비스를 사용하여 시스템 간에 이동합니다.
  • 티켓 전달(T1097): 도난당한 사용 Kerberos 일반 텍스트 비밀번호 없이 다른 사용자로 인증할 수 있는 티켓입니다.
  • 일반적으로 사용되는 포트(T1043): 일반적으로 인터넷 트래픽에 열려 있는 포트를 활용하여 제어된 시스템과 통신하여 합법적인 트래픽과 혼합되도록 돕습니다.
  • 표준 애플리케이션 계층 프로토콜(T1071): 명령 및 제어 통신을 용이하게 하기 위해 HTTP, HTTPS 또는 DNS와 같은 프로토콜을 사용하여 탐지를 더욱 어렵게 만듭니다.
  • 영향을 주기 위해 데이터 암호화(T1486): 데이터 사용을 방지하기 위해 데이터를 암호화하고 잠재적으로 몸값 요구에 활용합니다.
  • 명령 및 제어 채널을 통한 유출(T1041): 추가 네트워크 공간을 피하기 위해 명령 및 제어에 사용되는 동일한 채널을 통해 도난당한 데이터를 보냅니다.

이러한 기술은 공격자가 마음대로 사용할 수 있는 광범위한 옵션의 샘플일 뿐입니다. 효과적인 사이버 보안 관행에는 이러한 기술과 새로운 기술을 다루기 위한 지속적인 교육과 적응이 필요합니다. 이러한 일반적인 기술을 이해하고 준비함으로써 조직은 방어 태세를 강화하고 성공적인 사이버 공격의 위험을 줄일 수 있습니다.

안내

절차는 실제 위협 행위자가 기술을 구체적으로 구현한 것입니다. 이는 기술의 실제 적용을 나타내며 특정 적 그룹이 목표를 달성하기 위해 기술을 어떻게 활용할 수 있는지에 대한 예를 제공합니다. 이러한 세부 수준은 프레임워크에 깊이를 더해 다양한 상황에서 기술의 실제 사용을 보여줍니다.

이는 실제 시나리오에서 기술의 실제 실행을 나타내며, 공격자가 목표를 달성하기 위해 이러한 방법을 어떻게 적용하는지에 대한 세부적인 예를 제공합니다. 조직은 절차를 연구하여 특정 위협 행위자의 운영 모드에 대한 통찰력을 얻고 이에 따라 방어를 맞춤화할 수 있습니다.

프레임워크는 Windows, macOS, 클라우드 등과 같은 환경 전반에 걸쳐 사이버 위협의 고유한 특성을 인식하면서 다양한 플랫폼에 대한 매트릭스로 구성됩니다. 이러한 차별화는 프레임워크의 통찰력이 광범위한 IT 인프라 전반에 걸쳐 적절하고 실행 가능하도록 보장합니다.

실제 시나리오에 적용

실제 시나리오에서 MITRE ATT&CK 프레임워크를 실제로 적용하는 것은 사이버 보안 및 IT 전문가에게 그 가치를 강조합니다. 프레임워크는 적의 행동에 대한 자세한 이해를 제공함으로써 보안에 대한 사전 예방적 접근 방식을 촉진하고 사이버 위협을 예측, 감지 및 대응하는 조직의 역량을 향상시킵니다.

위협 인텔리전스 강화

  • 포괄적인 적대 프로필: 프레임워크는 특정 위협 행위자와 관련된 기술을 집계하고 분석함으로써 조직이 상세한 적대 프로필을 개발하는 데 도움을 주고 잠재적인 향후 공격에 대한 통찰력을 제공합니다.
  • 추세 분석: 프레임워크는 사이버 위협의 새로운 추세를 식별하는 데 도움을 주어 보안 팀이 진화하는 전술과 기술을 예상하여 방어를 조정할 수 있도록 지원합니다.

보안 운영 강화

  • 보안 상태 평가: 조직은 MITRE ATT&CK 프레임워크를 사용하여 보안 상태를 평가하고 방어의 잠재적 취약성을 식별하며 위협 환경과 가장 관련성이 높은 기술을 기반으로 교정 노력의 우선순위를 지정합니다.
  • 위협 사냥: 보안 전문가는 프레임워크를 활용하여 위협 사냥 활동을 안내하고, 알려진 전술과 기술을 손상 지표로 사용하여 환경 내에 잠재된 위협을 찾아냅니다.

사고 대응 알림

  • 탐지 및 대응 가속화: 사고 대응 팀은 프레임워크를 적용하여 공격에 사용된 전술과 기술을 신속하게 식별하여 침해에 대한 보다 빠르고 표적화된 대응을 촉진합니다.
  • 사고 후 분석: 사고 후 프레임워크를 사용하여 공격 체인을 분석하고 향후 공격에 대한 방어를 강화하는 데 사용할 수 있는 귀중한 교훈을 제공합니다.

MITRE 공격 프레임워크의 역사

MITRE ATT&CK 프레임워크의 기원은 2013년으로 거슬러 올라갑니다. MITRE는 연구와 혁신을 통해 중요한 공공 과제를 해결하기 위한 헌신으로 유명한 비영리 조직입니다. 지능형 지속 위협(APT)의 동작을 문서화하기 위해 MITRE 내의 프로젝트로 시작된 이 프레임워크는 이후 초기 범위를 뛰어넘어 전 세계적으로 인정받는 적의 전술 및 기술 백과사전으로 발전했습니다.

초기

ATT&CK의 시작은 사이버 공격자의 행동을 설명하고 분류하기 위한 표준화된 언어와 방법론의 필요성에 의해 추진되었습니다. ATT&CK 이전에는 사이버 보안 커뮤니티에는 위협이 어떻게 작동하는지에 대한 정보를 공유하기 위한 통합 프레임워크가 부족하여 일반적인 적에 대한 집단 방어를 구축하기가 어려웠습니다. 이러한 격차를 인식한 MITRE는 위협 행동에 대한 더 나은 이해를 촉진할 뿐만 아니라 사이버 보안 커뮤니티 내 협업을 촉진하는 도구를 만들기 시작했습니다.

확장과 진화

APT 캠페인에서 관찰된 작은 기술 모음으로 시작된 것은 전 세계 사이버 보안 전문가의 기여가 프레임워크를 강화하기 시작하면서 급속히 확장되었습니다. 이러한 공동 노력으로 프레임워크가 다양화되었으며 APT를 넘어 클라우드, 모바일, 네트워크 기반 시스템을 비롯한 다양한 환경에 걸쳐 광범위한 사이버 위협을 포괄하도록 적용 범위가 확장되었습니다.

주요 이정표

  • 2013: 처음에는 Windows 기반 위협에 초점을 맞춘 ATT&CK 프레임워크 출시.
  • 2015: 프레임워크의 포괄성 증가를 반영하여 macOS 및 Linux와 같은 다른 플랫폼에 대한 매트릭스를 도입합니다.
  • 2017: 모바일 위협을 포괄하는 확장으로 사이버 보안 문제의 진화하는 환경을 강조합니다.
  • 2018: 모든 주요 플랫폼 전반에 걸쳐 적의 전술과 기법에 대한 통찰력을 제공하는 엔터프라이즈용 ATT&CK 매트릭스 출시.
  • 2020 및 저쪽에: 지속적인 업데이트와 하위 기술 도입으로 적의 행동에 대한 더욱 세부적인 통찰력을 제공합니다.

ATT&CK의 발전은 개방성과 커뮤니티 참여에 대한 지속적인 노력으로 이루어졌습니다. MITRE는 전 세계 사이버 보안 실무자로부터 피드백과 기여를 요청함으로써 프레임워크가 관련성과 최신성을 유지하고 최신 적대적 전술을 반영하도록 보장했습니다.

사이버 보안에 미치는 영향

MITRE ATT&CK 프레임워크는 조직이 사이버 보안에 접근하는 방식을 근본적으로 변화시켰습니다. 적대 행위에 대한 포괄적인 세부 정보를 통해 사이버 위협 분석에 사용되는 용어를 표준화하여 업계 전반에 걸쳐 보다 효과적인 커뮤니케이션과 협업이 가능해졌습니다. 또한 프레임워크는 보안 운영, 위협 인텔리전스, 방어 전략을 위한 필수 도구가 되었으며, 조직이 보다 탄력적이고 사전 대응적인 사이버 보안 태세를 개발하도록 안내합니다.

MITRE ATT&CK 프레임워크의 역사는 집단 지식의 힘과 사이버 보안에 대한 통합 접근 방식의 중요성을 입증합니다. APT 행동을 문서화하려는 집중적인 노력에서 글로벌 사이버 위협에 대한 포괄적인 가이드로의 발전은 사이버 환경의 역동적인 특성과 지속적인 적응 및 협업의 필요성을 잘 보여줍니다.

용어집으로 돌아가기