MITRE ATT&CK이란?
MITRE ATT&CK(Adversarial Tactics, Techniques and Common Knowledge)은 조직이 자신들의 보안 태세를 파악하고 방어 취약점을 발견할 수 있도록 지원하기 위해 MITRE Corporation에서 개발한 프레임워크와 일련의 데이터 매트릭스, 평가 툴입니다.
2013년에 개발된 MITRE ATT&CK 프레임워크는 실제 관찰을 사용하여 특정 공격 방법, 전략 및 기술을 문서화합니다. 새로운 취약점과 공격 범위가 밝혀지면 ATT&CK 프레임워크에 추가되어 지속적으로 발전합니다. 지난 몇 년 동안 MITRE ATT&CK 프레임워크와 매트릭스는 공격자 행동에 관한 지식 및 교정 툴 모두에 대한 업계 표준으로 자리잡았습니다.

최신 MITRE Engenuity ATT&CK® Evaluation에서 포괄적인 엔드포인트 및 네트워크 가시성을 제공하는 것으로 평가된 VMware

MITRE ATT&CK 워크북
MITRE ATT&CK의 사용자와 사용 이유
ATT&CK 매트릭스는 공격자 또는 경쟁업체 역할을 하는 레드팀, 위협 헌터, 보안 제품 개발 엔지니어, 위협 인텔리전스 팀, 리스크 관리 전문가를 비롯한 다양한 IT 및 보안 전문가에 의해 활용됩니다.
레드팀은 MITRE ATT&CK 프레임워크를 청사진으로 사용하여 기업 시스템 및 기기에서 공격 표면과 취약점을 발견할 뿐 아니라 정보를 학습하여 공격 발생 시의 완화 능력을 개선합니다. 여기에는 액세스 권한을 확보한 공격자, 영향을 받은 네트워크 내에서 공격자가 이동하는 방식, 탐지를 회피하기 위해 사용되는 방법이 포함됩니다. 이 툴 세트를 통해 조직은 전반적인 보안 태세를 더 잘 인식하고, 방어의 허점을 파악 및 테스트하고, 조직에 발생하는 리스크에 따라 잠재적인 보안 허점의 우선 순위를 지정할 수 있습니다.
위협 헌터는 ATT&CK 프레임워크를 사용하여 공격자가 방어에 대해 사용하는 특정 기술 간의 상관 관계를 찾고, 이 프레임워크를 사용하여 엔드포인트와 네트워크 경계 전반에서 방어를 대상으로 하는 공격의 가시성을 파악합니다.
보안 플랫폼 개발자와 엔지니어는 MITRE ATT&CK을 툴로 사용하여 제품의 효과를 평가하고, 이전에 알려지지 않은 취약점을 발견하고, 사이버 공격의 수명주기 동안 제품이 작동하는 방식을 모델링합니다.
MITRE ATT&CK 프레임워크란 무엇입니까?
MITRE ATT&CK은 MITRE Adversarial Tactics, Techniques, and Common Knowledge의 약자입니다. MITRE ATT&CK 프레임워크는 사이버 공격 동작에 대한 모델을 제공하는 매트릭스를 포함하는 선별된 저장소입니다. 일반적으로 프레임워크는 표 형식으로 표현되며, 이 표는 공격 기간 동안 사용된 전략(또는 원하는 결과)을 나타내는 열과 전략적 목표를 달성하기 위해 활용되는 기술을 나타내는 행으로 구성됩니다. 또한 이 프레임워크는 개별 기술과 연결된 기술 사용 및 기타 메타데이터를 문서화합니다.
MITRE ATT&CK 프레임워크는 공격자와 방어자를 모두 에뮬레이션한 MITRE의 실험 결과에서 도출한 것으로, 공격이 어떻게 발생하는지 이해하고 원격 측정 감지 및 동작 분석을 사용하여 침해 후의 탐지 기능을 개선합니다. 문서화된 적의 동작을 업계에서 얼마나 잘 탐지하고 있는지 보다 잘 파악하기 위해 MITRE는 ATT&CK 프레임워크를 툴로 만들어 이러한 동작을 분류했습니다.
MITRE ATT&CK 매트릭스의 내용은 무엇입니까?
현재 ATT&CK 프레임워크를 구성하는 네 가지 주요 매트릭스가 있습니다. Pre-ATT&CK과 ATT&CK for Enterprise는 모두 엔터프라이즈 인프라에 대한 공격을 다룹니다.
PRE-ATT&CK: 기업이 피해를 입기 전에 악의적인 행위자가 수행하는 활동(예: 정찰 및 리소스 개발)의 대부분은 일반적으로 조직의 가시성 범위 밖에서 수행되므로 이러한 사전 공격 전략과 기술은 해당 시점에 탐지하기가 매우 어렵습니다. 예를 들어 사이버 공격자는 인터넷에서 자유롭게 사용할 수 있는 정보, 해당 조직과 이미 피해를 입은 다른 조직과의 관계 또는 기타 방법을 활용하여 액세스를 시도할 수 있습니다. 방어 조직이 네트워크 경계 외부에서 발생하는 이러한 사전 공격 활동을 더 효과적으로 모니터링하고 파악할 수 있도록 지원하는 것이 PRE-ATT&CK입니다.
Enterprise ATT&CK: ATT&CK for Enterprise는 사이버 공격자가 엔터프라이즈 네트워크 내에서 피해를 입히고 활동을 실행하기 위해 취할 수 있는 작업을 자세히 설명하는 모델을 제공합니다. 매트릭스에는 Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, 네트워크, 컨테이너를 비롯한 다양한 플랫폼에 대한 구체적인 전력과 기술이 나와 있습니다. PRE-ATT&CK 매트릭스 또한 엔터프라이즈 인프라를 손상시키려는 시도에 중점을 두었기 때문에 원래는 ATT&CK for Enterprise의 일부였습니다. Enterprise 프레임워크를 사용하면 조직이 네트워크 방어의 우선 순위를 지정하여 특정 기업에 가장 큰 리스크를 야기하는 방어에 집중할 수 있습니다.
Mobile ATT&CK: Mobile ATT&CK 매트릭스는 iOS 및 Android 모바일 기기를 손상시키는 데 사용되는 전략과 기술을 설명합니다. 이를 위해 ATT&CK for Mobile은 NIST의 모바일 위협 카탈로그를 기반으로 작성되며, 이 문서가 작성된 시점을 기준으로 모바일 기기에 영향을 미치고 악의적인 행위자가 달성하고자 하는 모든 비도덕적인 목표를 달성하는 데 사용된 12가지 전략과 100가지 이상의 기술이 나열되어 있습니다. 또한 ATT&CK for Mobile에는 네트워크 기반 효과, 즉 실제 기기에 액세스하지 않고도 사용할 수 있는 전략과 기술이 나와 있습니다.
ICS ATT&CK: ATT&CK 제품군의 최신 매트릭스는 MITRE ATT&CK for Industrial Control Systems(ICS) 매트릭스로, 특별히 전력망, 공장, 재료 공장, 그리고 상호 연결된 기계, 기기, 센서 및 네트워크를 사용하는 기타 조직과 같은 산업 제어 시스템을 대상으로 한다는 점을 제외하면 Enterprise ATT&CK과 유사합니다.
각 매트릭스에는 적의 공격 수명주기, 자산 및 각 기술이 대상으로 하는 시스템을 통해 각 전략에 사용된 기술에 대한 자세한 기술 설명이 포함되어 있으며, 각각에 대한 완화 및 대응책 접근 방식, 기술을 파악하는 데 활용된 탐지 분석 및 실제 사용 예가 나와 있습니다.
매트릭스를 볼 때 전략은 정찰 지점에서 시작하여 최종 목표까지의 공격 수명주기를 설명하는 선형 방식으로 표시됩니다. 최종 목표가 정보 유출인지, 랜섬웨어 용도를 위한 파일 암호화인지, 혹은 둘 다인지, 기타 악의적인 작업인지 여부와 관계없이 선형 방식으로 표시됩니다.
MITRE ATT&CK 프레임워크의 이점은 무엇입니까?
ATT&CK 프레임워크의 주요 이점은 조직에서 공격자의 운영 방식을 이해하는 것과 더불어 공격자가 초기 액세스 권한을 확보하고, 데이터를 검색하며, 수평으로 이동하고, 데이터를 유출하기 위해 취할 수 있는 단계를 파악할 수 있다는 것입니다. 이를 통해 팀은 공격자의 관점에서 활동을 볼 수 있으므로 동기와 전략을 더 자세히 이해할 수 있습니다. 궁극적으로 조직은 이러한 이해와 지식을 활용하여 보안 태세의 격차를 식별하고, 팀이 공격자의 다음 행동을 예측하여 신속하게 교정할 수 있도록 지원함으로써 위협 탐지 및 대응을 개선할 수 있습니다. 스포츠에서는 흔히 최선의 공격이 곧 최선의 방어라고 말합니다. 사이버 보안 분야에서는 공격 시에 배포하는 내용을 이해하면 네트워크, 기기 및 사용자를 방어하는 데 큰 도움이 될 수 있습니다.
또한 사이버 보안에 관한 기술이 극도로 부족한 현재의 업무 환경에서 프레임워크는 MITRE ATT&CK 프레임워크 매트릭스에 기여한 과거의 모든 보안 전문가들이 제공한 집합적 지식을 활용하여 신입이나 직책이 낮은 보안 직원이 특정 위협에 신속하게 대처하는 데 필요한 지식과 연구 툴을 제공합니다.
MITRE ATT&CK 프레임워크를 사용할 때의 당면 과제는 무엇입니까?
ATT&CK 매트릭스는 각 매트릭스의 수와 규모가 계속 증가함에 따라 점점 복잡해지고 있습니다. 프레임워크 내에서 전략 및 기술의 조합과 순열의 수는 매우 엄격하게 통제되지만, 소화하고 처리해야 하는 데이터의 양이 너무 많기 때문에 감당하기 어려울 수 있습니다.
예를 들어, 현재 ATT&CK for Enterprise에 설명된 14가지 전략에는 400가지가 넘는 다양한 기술 또는 공격 패턴이 나와 있습니다. 이러한 기술 중 상당수에는 하위 기술도 포함되어 있어 순열의 수가 더욱 많아집니다. 이 모든 데이터를 현재의 보안 인프라에 매핑하는 작업을 자동화한 조직은 많지 않으며, 이는 상당한 양의 작업이 될 수 있습니다.
UC Berkely의 최근 연구에 따르면 거의 모든 조직이 프레임워크를 사용하여 다양한 보안 제품으로 네트워크 이벤트에 태그를 지정하고 있지만, 응답자 중에서 프레임워크에 지정된 보안 정책 변경을 자동화한 비율은 절반도 채 되지 않는 것으로 나타났습니다.
다른 당면 과제로는 클라우드 기반 및 온프레미스 이벤트의 상관 관계를 파악하는 데 겪는 어려움이나 모바일 기기 및 엔드포인트에서 발생하는 이벤트의 상관 관계를 파악할 수 없다는 점 등이 있습니다.
MITRE ATT&CK 프레임워크는 어떻게 사용합니까?
미국 CISA(사이버 보안 및 인프라 보안국) 센터의 최근 보고서는 조직에 MITRE ATT&CK 프레임워크를 활용하여 공격을 교정 및 보호 기술에 매핑하는 데 도움이 되는 모범 사례 목록을 제공합니다. 이 연구에 따르면 대기업 조직이 프레임워크를 도입하고 있지만, 대다수의 사용자는 현재 사용 중인 보안 제품이 인프라와 관련된 ATT&CK 매트릭스의 알려진 위협을 전부 탐지할 수 있다고 생각하지는 않는 것으로 드러났습니다.
VMware는 MITRE ATT&CK 프레임워크를 어떻게 활용합니까?
클라우드의 확장성과 경제성은 오늘날의 기업에 큰 도움이 되었습니다. 그러나 애플리케이션과 데이터를 데이터 센터에서 멀티 클라우드 환경으로 이전하면 위협 노출 범위가 크게 확대되어 기업은 랜섬웨어 공격이 야기하는 대대적인 파괴라는 위험을 떠안게 됩니다. 또한 최신 애플리케이션은 수만 개의 구성 요소로 이루어져 있습니다. 오늘날 점점 더 정교하고 파괴적인 방향으로 진화하는 랜섬웨어 공격을 방어하기 위해 조직은 데이터 센터 내부의 세분화와 경계에 있는 기존의 차세대 방화벽을 넘어서는 대책을 마련해야 합니다. 이 세션에 참석하여 MITRE ATT&CK 프레임워크에 따른 실제 랜섬웨어 공격에 대해 살펴보고, 클라우드 내에서의 VMware 혁신이 클라우드 간 보안과 결합하여 업계에서 가장 강력한 방어 기능을 제공하는 방법을 확인하십시오. - 오늘날의 멀티 클라우드 환경을 위한 랜섬웨어 방어의 혁신
조직은 네트워크 보안 제어를 MITRE ATT&CK에 매핑하여 방어에서 허점을 찾고 네트워크 위협을 예방, 탐지, 대응하는 능력을 개선하고 있습니다. 이 세션에서는 조직이 네트워크 보안 제어를 MITRE ATT&CK에 매핑하여 얻을 수 있는 이점을 간략하게 설명합니다. MITRE ATT&CK 전략 및 기술 전반에서 네트워크 보안 제어를 적의 움직임에 매핑하는 방법에 대한 개요를 살펴보고, NSX 정의 방화벽, 침입 방지 시스템, 네트워크 Sandbox 및 네트워크 트래픽 분석을 다루는 MITRE ATT&CK의 주요 차이점을 집중 조명합니다. - MITRE ATT&CK 프레임워크에 NSX 방화벽 제어 매핑 MITRE ATT&CK 프레임워크에 NSX 방화벽 제어 매핑
MITRE ATT&CK 매트릭스를 사용하여 공격자가 공격하기 전에 보안 허점을 찾는 방법을 알아보십시오. 보다 효과적인 위협 헌팅을 위한 일련의 시작점을 개발하고 궁극적으로 보안 태세를 강화하는 방법을 확인할 수 있습니다. MITRE의 최신 Carbanak+FIN7 평가와 더불어 VMware Carbon Black Cloud 및 VMware NSX Advanced Threat Prevention을 통해 위협 헌팅 프로그램을 개선하는 기본 단계에 대해서도 살펴봅니다. - MITRE ATT&CK 프레임워크를 통해 SOC를 개선하는 방법 - MITRE ATT&CK 프레임워크를 통해 SOC를 개선하는 방법
관련 솔루션 및 제품
NSX Network Detection and Response
여러 탐지 엔진에서 AI 기반 이벤트 상관관계 파악
Carbon Black Cloud
필요에 따라 조정되는 지능형 엔드포인트 및 워크로드 보호 기능을 통해 보안 혁신
NSX Distributed Firewall
레이어 7 내부 방화벽