일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- Los
- 불법유통근절
- MITRE ATT&CK
- 화학물질
- UKPT
- Service
- 12기
- 프로젝트
- suninatas
- 국가기록원
- 화학물질안전원
- 기타정보
- 도구모음
- 경기팀
- 화학물질불법유통온라인감시단
- 대외활동
- 정보보안
- 웹 해킹 입문
- 연구모임
- UKPT level
- codeup
- PHP
- 국정원
- 국가정보원
- nurisec
- 불법유통
- 여행
- HTML
- 파이썬
- webhacking
- Today
- Total
agencies
MITRE ATT&CK 기초 학습 (4) 본문
MITRE ATT&CK 프레임워크의 이해
1958년에 설립된 미국의 비영리 민간 연구 기관
- 미국의 정부 기관과 협력하여 국방, 보안, 헬스케어 등의 분야에서 전문적인 연구를 수행
대표적인 프로젝트 : CVE / CWE / CAPEC / STIX / TAXII / MAEC / ATT&CK / D3FEND
- CVE -
과거에는 서로 취약점마다 부르는 내용이 달랐다. (의사소통 부재)
CVE 프로젝트를 통해 이름을 붙일 가치가 있는 익스플로잇에게 공식적인 이름을 만들게 되었다.
- CWE -
잘 알려진 여러가지 공격 기술들을 수집하고 분류함
- CAPEC -
공격자들의 행위를 분류한 것
많은 업체들이 인텔리전스를 생성하고 있는데 서로 인텔리전스와 관련된 정보를 통일하자!
- STIX -
위협 정보를 표현하기 위한 표준
- TAXII -
STIX에서 표현된 위협 정보들을 교환하기 위한 일종의 프로토콜로 사용
- MAEC -
악성코드
ATT&CK (adversarial tactics techniques & connon knowledge)
- 공개된 침해사고분석 보고서 악성코드 분석 보고서 위협 그룹에 대한 정보를 분석하여 공격자들의 TTPs를 집대성하고 체계적으로 정리한 공개된 지식 베이스
- 특히 post-exploitation 과정에서 사용되는 위협 행위들을 일관되고 명확한 방식으로 분석 및 분류
- 공격자들의 TTPs 각 TTPs 들을 탐지하기 위해 필요한 데이터소스와 데이터 컴포넌트 및 탐지 전략, 미티게이션 방법,
위협 그룹에 대한 일반적인 정보와 사용된 소프트웨어 등의 정보로 구성됨
- OSINT를 통해 확인된 TTPs들을 망라하고 있으나 탐지/차단의 관점에서 중요도나 관찰 빈도에 대한 정보는 반영하지 않음
- 여전히 블라인드 스팟은 존재하지만 지속적으로 업데이트되고 있음
Tactics (전술) | 설명 |
reconnaissance (정찰) | 공격을 계획하는데 사용할 수 있는 정보를 수집 |
resource development (리소스 개발) | 공격에 사용할 인프라와 서비스, 악성코드 등 필요한 기능을 개발/구매/탈취 |
initial access (초기 접근) | 네트워크에 침입하여 초기 거점을 확보 |
execution (실행) | 악성 행위 수행을 위한 코드를 실행 더 광범위한 목표를 달성하기 위해 다른 전술의 테크닉들과 결합됨 |
persistence (퍼시스턴스) | 시스템 재시작 크레덴셜 변경 등에도 시스템으로의 접근이 지속될 수 있도록 하여 확보한 거점을 유지 |
privilege escalation (권한 상승) | 공격 중 시스템 또는 네트워크에서 보다 높은 수준의 권한을 획득 |
defense evasion (방어 우회) | 공격 중 탐지 및 차단 등 방어 체계를 우회 |
credential access (크레덴셜 접근) | 자격 증명을 위한 인증 정보 (계정 이름과 패스워드 등)를 탈취 |
discovery (디스커버리) | 타킷 네트워크에 침투한 이후 행동 방법과 이후 행동 방법과 공격 전략을 수립하기 전 시스템 및 네트워크 환경을 관찰하고 정보를 수집 |
lateral movement (레터럴 무브먼트) | 최종 목표 시스템으로의 접근을 위해 타깃 네트워크 내부의 다른 시스템들에 침투하고 권한을 확장 |
collection (데이터 수집) | 공격을 통해 탈취하고자 한 데이터를 수집함 |
command and control (c&c, c2) | 침투에 성공한 시스템과 통신하고 제어함 |
exfiltration (유출) | 데이터를 타깃 네트워크 외부로 반출 |
impact (임팩트) | 시스템 또는 데이터를 조작 방해 파괴함 |
cyber kill chain과의 차이점
사이버킬체인
- 공격시 절차와 단계를 모델화 (대체로 이렇게 공격 단계를 수행해야 한다는 관점)
절차는 정의되어 있지만 각 절차에서 사용하는 구체적인 테크닉은 다루지 않음
- 사이버 킬 체인 상의 각 단계별로 대응 전략을 수립하여 위협 요소를 제거하거나 완화
MITRE ATT&CK
- 공격 수행에 필요한 절차보다는 공격자들의 TTPs(행위)를 집대성하는데 주안을 둠
- 각 TTPs에 대한 및 대응 현황을 분석(AS-IS)하고 TO-BE 전략을 수립하는데 활용
사이버 킬체인 : 공격절차
MITRE ATT&CK : 각 단계에서 사용할 수 있는 기술
'Ⅲ. 정보보안' 카테고리의 다른 글
MITRE ATT&CK 기초 학습 (6) (2) | 2024.03.13 |
---|---|
MITRE ATT&CK 기초 학습 (5) (0) | 2024.03.13 |
MITRE ATT&CK 기초 학습 (3) (0) | 2024.03.13 |
MITRE ATT&CK 기초 학습 (2) (0) | 2024.03.13 |
MITRE ATT&CK 기초 학습 (1) (0) | 2024.03.13 |