MITRE ATT&CK(Adversarial Tactics, Techniques and Common Knowledge)은 조직이 자신들의 보안 태세를 파악하고 방어 취약점을 발견할 수 있도록 지원하기 위해 MITRE Corporation에서 개발한 프레임워크와 일련의 데이터 매트릭스, 평가 툴입니다.

2013년에 개발된 MITRE ATT&CK 프레임워크는 실제 관찰을 사용하여 특정 공격 방법, 전략 및 기술을 문서화합니다. 새로운 취약점과 공격 범위가 밝혀지면 ATT&CK 프레임워크에 추가되어 지속적으로 발전합니다. 지난 몇 년 동안 MITRE ATT&CK 프레임워크와 매트릭스는 공격자 행동에 관한 지식 및 교정 툴 모두에 대한 업계 표준으로 자리잡았습니다.

ATT&CK 매트릭스는 공격자 또는 경쟁업체 역할을 하는 레드팀, 위협 헌터, 보안 제품 개발 엔지니어, 위협 인텔리전스 팀, 리스크 관리 전문가를 비롯한 다양한 IT 및 보안 전문가에 의해 활용됩니다.

레드팀은 MITRE ATT&CK 프레임워크를 청사진으로 사용하여 기업 시스템 및 기기에서 공격 표면과 취약점을 발견할 뿐 아니라 정보를 학습하여 공격 발생 시의 완화 능력을 개선합니다. 여기에는 액세스 권한을 확보한 공격자, 영향을 받은 네트워크 내에서 공격자가 이동하는 방식, 탐지를 회피하기 위해 사용되는 방법이 포함됩니다. 이 툴 세트를 통해 조직은 전반적인 보안 태세를 더 잘 인식하고, 방어의 허점을 파악 및 테스트하고, 조직에 발생하는 리스크에 따라 잠재적인 보안 허점의 우선 순위를 지정할 수 있습니다.

위협 헌터는 ATT&CK 프레임워크를 사용하여 공격자가 방어에 대해 사용하는 특정 기술 간의 상관 관계를 찾고, 이 프레임워크를 사용하여 엔드포인트와 네트워크 경계 전반에서 방어를 대상으로 하는 공격의 가시성을 파악합니다.

보안 플랫폼 개발자와 엔지니어는 MITRE ATT&CK을 툴로 사용하여 제품의 효과를 평가하고, 이전에 알려지지 않은 취약점을 발견하고, 사이버 공격의 수명주기 동안 제품이 작동하는 방식을 모델링합니다.

MITRE ATT&CK은 MITRE Adversarial Tactics, Techniques, and Common Knowledge의 약자입니다. MITRE ATT&CK 프레임워크는 사이버 공격 동작에 대한 모델을 제공하는 매트릭스를 포함하는 선별된 저장소입니다. 일반적으로 프레임워크는 표 형식으로 표현되며, 이 표는 공격 기간 동안 사용된 전략(또는 원하는 결과)을 나타내는 열과 전략적 목표를 달성하기 위해 활용되는 기술을 나타내는 행으로 구성됩니다. 또한 이 프레임워크는 개별 기술과 연결된 기술 사용 및 기타 메타데이터를 문서화합니다.

MITRE ATT&CK 프레임워크는 공격자와 방어자를 모두 에뮬레이션한 MITRE의 실험 결과에서 도출한 것으로, 공격이 어떻게 발생하는지 이해하고 원격 측정 감지 및 동작 분석을 사용하여 침해 후의 탐지 기능을 개선합니다. 문서화된 적의 동작을 업계에서 얼마나 잘 탐지하고 있는지 보다 잘 파악하기 위해 MITRE는 ATT&CK 프레임워크를 툴로 만들어 이러한 동작을 분류했습니다.

현재 ATT&CK 프레임워크를 구성하는 네 가지 주요 매트릭스가 있습니다. Pre-ATT&CK과 ATT&CK for Enterprise는 모두 엔터프라이즈 인프라에 대한 공격을 다룹니다.

PRE-ATT&CK: 기업이 피해를 입기 전에 악의적인 행위자가 수행하는 활동(예: 정찰 및 리소스 개발)의 대부분은 일반적으로 조직의 가시성 범위 밖에서 수행되므로 이러한 사전 공격 전략과 기술은 해당 시점에 탐지하기가 매우 어렵습니다. 예를 들어 사이버 공격자는 인터넷에서 자유롭게 사용할 수 있는 정보, 해당 조직과 이미 피해를 입은 다른 조직과의 관계 또는 기타 방법을 활용하여 액세스를 시도할 수 있습니다. 방어 조직이 네트워크 경계 외부에서 발생하는 이러한 사전 공격 활동을 더 효과적으로 모니터링하고 파악할 수 있도록 지원하는 것이 PRE-ATT&CK입니다.

Enterprise ATT&CK: ATT&CK for Enterprise는 사이버 공격자가 엔터프라이즈 네트워크 내에서 피해를 입히고 활동을 실행하기 위해 취할 수 있는 작업을 자세히 설명하는 모델을 제공합니다. 매트릭스에는 Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, 네트워크, 컨테이너를 비롯한 다양한 플랫폼에 대한 구체적인 전력과 기술이 나와 있습니다. PRE-ATT&CK 매트릭스 또한 엔터프라이즈 인프라를 손상시키려는 시도에 중점을 두었기 때문에 원래는 ATT&CK for Enterprise의 일부였습니다. Enterprise 프레임워크를 사용하면 조직이 네트워크 방어의 우선 순위를 지정하여 특정 기업에 가장 큰 리스크를 야기하는 방어에 집중할 수 있습니다.

Mobile ATT&CK: Mobile ATT&CK 매트릭스는 iOS 및 Android 모바일 기기를 손상시키는 데 사용되는 전략과 기술을 설명합니다. 이를 위해 ATT&CK for Mobile은 NIST의 모바일 위협 카탈로그를 기반으로 작성되며, 이 문서가 작성된 시점을 기준으로 모바일 기기에 영향을 미치고 악의적인 행위자가 달성하고자 하는 모든 비도덕적인 목표를 달성하는 데 사용된 12가지 전략과 100가지 이상의 기술이 나열되어 있습니다. 또한 ATT&CK for Mobile에는 네트워크 기반 효과, 즉 실제 기기에 액세스하지 않고도 사용할 수 있는 전략과 기술이 나와 있습니다.

ICS ATT&CK: ATT&CK 제품군의 최신 매트릭스는 MITRE ATT&CK for Industrial Control Systems(ICS) 매트릭스로, 특별히 전력망, 공장, 재료 공장, 그리고 상호 연결된 기계, 기기, 센서 및 네트워크를 사용하는 기타 조직과 같은 산업 제어 시스템을 대상으로 한다는 점을 제외하면 Enterprise ATT&CK과 유사합니다.

각 매트릭스에는 적의 공격 수명주기, 자산 및 각 기술이 대상으로 하는 시스템을 통해 각 전략에 사용된 기술에 대한 자세한 기술 설명이 포함되어 있으며, 각각에 대한 완화 및 대응책 접근 방식, 기술을 파악하는 데 활용된 탐지 분석 및 실제 사용 예가 나와 있습니다.

매트릭스를 볼 때 전략은 정찰 지점에서 시작하여 최종 목표까지의 공격 수명주기를 설명하는 선형 방식으로 표시됩니다. 최종 목표가 정보 유출인지, 랜섬웨어 용도를 위한 파일 암호화인지, 혹은 둘 다인지, 기타 악의적인 작업인지 여부와 관계없이 선형 방식으로 표시됩니다.

ATT&CK 프레임워크의 주요 이점은 조직에서 공격자의 운영 방식을 이해하는 것과 더불어 공격자가 초기 액세스 권한을 확보하고, 데이터를 검색하며, 수평으로 이동하고, 데이터를 유출하기 위해 취할 수 있는 단계를 파악할 수 있다는 것입니다. 이를 통해 팀은 공격자의 관점에서 활동을 볼 수 있으므로 동기와 전략을 더 자세히 이해할 수 있습니다. 궁극적으로 조직은 이러한 이해와 지식을 활용하여 보안 태세의 격차를 식별하고, 팀이 공격자의 다음 행동을 예측하여 신속하게 교정할 수 있도록 지원함으로써 위협 탐지 및 대응을 개선할 수 있습니다. 스포츠에서는 흔히 최선의 공격이 곧 최선의 방어라고 말합니다. 사이버 보안 분야에서는 공격 시에 배포하는 내용을 이해하면 네트워크, 기기 및 사용자를 방어하는 데 큰 도움이 될 수 있습니다.

또한 사이버 보안에 관한 기술이 극도로 부족한 현재의 업무 환경에서 프레임워크는 MITRE ATT&CK 프레임워크 매트릭스에 기여한 과거의 모든 보안 전문가들이 제공한 집합적 지식을 활용하여 신입이나 직책이 낮은 보안 직원이 특정 위협에 신속하게 대처하는 데 필요한 지식과 연구 툴을 제공합니다.

ATT&CK 매트릭스는 각 매트릭스의 수와 규모가 계속 증가함에 따라 점점 복잡해지고 있습니다. 프레임워크 내에서 전략 및 기술의 조합과 순열의 수는 매우 엄격하게 통제되지만, 소화하고 처리해야 하는 데이터의 양이 너무 많기 때문에 감당하기 어려울 수 있습니다.

예를 들어, 현재 ATT&CK for Enterprise에 설명된 14가지 전략에는 400가지가 넘는 다양한 기술 또는 공격 패턴이 나와 있습니다. 이러한 기술 중 상당수에는 하위 기술도 포함되어 있어 순열의 수가 더욱 많아집니다. 이 모든 데이터를 현재의 보안 인프라에 매핑하는 작업을 자동화한 조직은 많지 않으며, 이는 상당한 양의 작업이 될 수 있습니다.

UC Berkely의 최근 연구에 따르면 거의 모든 조직이 프레임워크를 사용하여 다양한 보안 제품으로 네트워크 이벤트에 태그를 지정하고 있지만, 응답자 중에서 프레임워크에 지정된 보안 정책 변경을 자동화한 비율은 절반도 채 되지 않는 것으로 나타났습니다.

다른 당면 과제로는 클라우드 기반 및 온프레미스 이벤트의 상관 관계를 파악하는 데 겪는 어려움이나 모바일 기기 및 엔드포인트에서 발생하는 이벤트의 상관 관계를 파악할 수 없다는 점 등이 있습니다.

미국 CISA(사이버 보안 및 인프라 보안국) 센터의 최근 보고서는 조직에 MITRE ATT&CK 프레임워크를 활용하여 공격을 교정 및 보호 기술에 매핑하는 데 도움이 되는 모범 사례 목록을 제공합니다. 이 연구에 따르면 대기업 조직이 프레임워크를 도입하고 있지만, 대다수의 사용자는 현재 사용 중인 보안 제품이 인프라와 관련된 ATT&CK 매트릭스의 알려진 위협을 전부 탐지할 수 있다고 생각하지는 않는 것으로 드러났습니다.