[보안용어] MITRE ATT&CK
(Adversarial Tactics, Techniques and Common Knowledge)
📌 개요
우선, MITRE ATT&CK는 조직에서 보안 태세를 파악하고 방어 취약점을 발견하도록 하기 위해서 MITRE라는 기업에서 개발한 프레임워크와 일련의 데이터 매트릭스, 평가 툴
* MITRE : 미국 연방정부의 지원을 받아 국가안보관련 업무를 수행하던 비영리 연구개발 단체
ATT&CK Framework를 이해하기 위해서는 Cyber Kill Chain이라는 용어를 이해해야한다.
📌 Cyber Kill Chain
Cyber Kill Chain(사이버 킬 체인)은 군사용어인 Kill Chain(킬체인)이란 타격순환체계에서 비롯되었는데, 발사된 미사일을 요격하는 것이 아니라 선제적으로 미사일 발사 자체를 저지하겠다는 개념으로 사이버공간에 적용한 것이 바로 Cyber Kill Chain(사이버 킬 체인)이다.
즉, 사이버 공격이 5단계를 거쳐서 진행되는데 각 단계별 위협요소를 제거하기 위한 활동으로 공격자 입장에서 공격 분성르 통해 단계별 연결고리(Chain)을 사전에 끊어 피해를 최소화 하는 것이 전략의 목표이다.
사이버 보안에서 '킬체인'이라는 용어를 처음 사용한 것은 미국 군수업체인 록히드마틴 (Lockheed Martin Corporation)이다.
- 단계별 사이버 킬 체인 예시
| 1단계 | 정찰(Reconnaissance) | 공격대상 인프라에 침투해 거점을 확보하고 오랫동안 정찰 수행 |
| 2단계 | 무기화 및 전달 (Weponization and Delivery) | 공격 목표를 달성하기 위해 정보를 수집하고 권한을 획득 |
| 3단계 | 익스플로잇/설치 (Exploit and Installation) | 공격용 악성코드를 만들어 설치 |
| 4단계 | 명령/제어 (Command and Control, C&C) | 원격에서 명령 실행 |
| 5단계 | 행동 및 탈출 (Action and Exfiltration) | 정보유출 혹은 시스템 파괴 후 공격자는 증거 삭제 |
📌 MITRE ATT&CK
마이터 어택은 공격자들의 최신 공격 기술 정보가 담긴 저장소
MITRE ATT&CK은 Adversarial Tatics, Techniques and Common Konwledge의 약자
👉 Adversary behaviors : 악위적행위
👉 Tatics : 공격방법
👉 Techniques : 기술
👉 즉, 악의적인 행위에 대해서 공격방식과 기술에 대한 정보를 분류해 목록해 놓은 것
ATT&CK는 MITRE에서 윈도우 기업 네트워크 환경에 사용되는 해킹 공격에 대해서 방법(Tatics), 기술(Techniques), 절차(Procedures) 등 TTPs를 문서화 하는 것부터 시작되었음. 이후 공격 행동 패턴 분석을 기반으로 TTPs 정보를 매핑하여 공격자 행위를 식별할 수 있는 프레임워크로 발전.
MITRE ATT&CK 홈페이지에 있는 화면
- ATT&CK Matrix 예시
- Reconnaissance : 정찰
- Resource Development : 자원개발
- Initial Access : 최초 침투
- Execution : 실행
- Persistence : 지속성 유지
- Privilege Escalation : 권한 상승
- Defense Evasion : 방어 회피
- Credential Access : 계정정보 접근
- Discovery : 탐색
- Collection : 정보 수집
- Lateral Movement : 시스템 내부 이동
- Command and Control : 명령제어
- Exfiltration : 정보 유출
- Impact : 시스템 충격
📌 MITRE ATT&CK의 이점
1. 조직에서 공격자의 운영 방식을 이해
2. 공격자가 초기 액세스 권한을 확보하고, 데이터를 검색하며, 수평으로 이동하고, 데이터를 유출하기 위해 취하는 단계 파악 가능
👉 공격자의 관점에서 볼 수 있어 동기와 전력이해가 쉬움
3. 보안 태세의 격차를 식별하고 공격자의 다음 행동을 예측하여 신속하게 교정하도록 지원하여 위협 탐지와 대응 개선이 가능
✔ Refrence
이글루시큐리티, MITRE ATT&CK Framework 이해하기, https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/
MITRE ATT&CK Framework 이해하기
01. 개요 지금도 사이버 공간을 위협하려는 공격 시도는 계속되고 있다. 디도스, 랜섬웨어 등 사이버 공격은 갈수록 지능화·고도화 되어가고 있으며 따라서 여전히 많은 이들이 지속적 위협
www.igloo.co.kr
What Is MITRE ATT CK - Definition | VMware Glossary
MITRE ATT CK is a framework, set of data matrices, and assessment tool developed by MITRE Corporation to help organizations understand their security readiness.
www.vmware.com
MITRE 홈페이지, https://attack.mitre.org/
MITRE ATT&CK®
MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private se
attack.mitre.org
