MITRE ATT&CK 기초 학습 (1)

MITRE ATT&CK 프레임워크 이해

 

mitre att&ck은 2013년도에 등장 + (EDR)

2018년도 이후 관심을 받게 됨

 

mitre att&ck이 관심을 받게 된 이유는?

- 사전에 위협을 식별하고 이를 제거하기 위해

- 제거되지 못한 위협에 대한 리스크는 접근 통제 등의 보안 매커니즘을 활용하여 제어

- 차단 및 보호 중심의 보안 기술 및 정책은 여전히 중요하지만 그것만으로는 직면한 모든 위협에 완벽하게 대응하기 어려움

> 차단과 보호에 상당한 자원을 투입하고 노력을 기울였음에도 침해사고를 경험하게 된 많은 사례들이 존재

> 차단 및 보호 매커니즘은 상당수가 reactive 한 속성을 지님

> 비즈니스 목적 상 외부와의 접점을 더 이상 제한하기가 어려움

> 차단 및 보호 매커니즘을 우회하여 내부망에 침투하기 위한 다양한 공격 전략이 개발됨

 

※ 차단이 완벽할 수 없기 때문에 탐지를 통해 적극적으로 대응을 해야 한다.

---

사이버 킬체인을 통해 공격자가 공격하는 방법(단계

 

1. 초기침투

2. 교두보 확보

3. 권한 상승

4. 내부정찰 (레터럴무브먼트)

5. 목적 행위 수행

 

기회 : 사이버 위협 그룹이 가지는 결정적 약점

* 내부망 내 시스템에 침투한 후 내부망 환경을 파악하기 위해 일정 기간에 걸쳐 정보 수집이 필요함

* 레터럴 무브먼트를 통해 최종 목표 시스템에 도달하기까지 어느 정도의 시간이 소요됨

* 내부망에 침투하는 것을 차단하는데 실패하더라도 실질적 피해가 발생하기 전에 위협을 찾아 제거할 수 있는 기회가 존재

 

 

Dwell time : 공격자가 내부에 침투한 이후에 침투한 시간으로부터 발견되기까지의 시간

 

 

 

고통의 피라미드

TTP : Tough : 새로운 테크닉이나 프로시저를 고안해야 하는 등 상당한 수준의 비용과 시간이 필요함

툴 : Challenging : 상당한 수준의 코드 수정이나 새로운 코드 개발이 필요함

네트워크/호스트 아티팩트 : annonying : 간단한 코드 수정, 아티팩트 제거 등의 노력이 필요함

도메인 네임 : simple : 간단한 노력만으로도 사용하는 도메인을 변경할 수 있음

ip 어드레스 : easy : 간단한 노력만으로도 사용하는 IP 어드레스를 변경할 수 있음

해시값 : trivial : 가벼운 수준의 코드 수정만으로도 우회가 가능함