본문 바로가기

Work & Study/Audit

ATT&CK for Enterprise 소개 (feat. Cyber Kill Chain)

ATT&CK for Enterprise는 기업의 네트워크 내에서 공격자가 침입시도를 할 때 발생하는 행위들을 설명하기 위한 공격 모델링 프레임워크이다. 이 모델은 공격자의 행동을 구체적으로 설명하기 위해 사용될 수 있다. 또한 방어자의 지식을 향상시키고, 사이버 위협 발생시 공격자들이 내부 네트워크에서 타겟에 접근하고 공격을 실행하는데 사용하는 전술, 기술, 절차(TTPs : Tatics, Techniques, Procedures)를 상세히 기술함으로써 네트워크 방어 우선순위를 정하는 데 도움이 된다.

ATT&CK for Enterprise는 MITRE의 연구를 통해 수집된 사이버 공격에 대한 정보와 침투 테스트와 레드팀 구성과 같은 여러 분야의 정보를 통합하여 공격자들이 네트워크 침입시 나타나는 특징들을 정보화한다. 초기 단계에서 발생하는expolit에 대해서는 많은 정보들이 있는 반면, 접근 권한을 획득한 후 이루어지는 공격행위들에 대한 핵심정보는 미비한 상황이다. ATT&CK for Enterprise는 공격자들이 의사결정을 내리고, 네트워크를 장악하고, 그들의 목표를 실행하는 데 사용하는 TTP에 중점을 두고 있다. ATT&CK® for Enterprise플랫폼 전체에 걸쳐 공격자들이 수행하는 단계를 광범위하고 상세히 기술하되, 기술적으로도 유용할 만큼 충분한 세부내용들을 포함하고 있다.

Enterprise-pre-lifecycle



ATT&CK for Enterprise 에서 정의하는 11개 전술 범주는 7단계 사이버 공격 라이프사이클(록히드마틴이 사이버 킬 체인에서 처음 설명함)의 후속 단계(Exploit, Control, Execute, Maintain)에서 도출되었다. 이 내용들은 침입 과정에서 발생는 일들에 대해 더 깊고 상세하게 설명한다. 

각 항목에는 공격자가 침입에 사용할 수 있는 기술들이 포함되어 있다. 기법들은 기술적 설명, 지표, 효과적인 방어를 위한 탐지 데이터, 탐지와 분석 및 피해경감 등으로 세분화 되어있다. 데이터를 적용하면 활동 그룹 전체에 걸쳐 일반적으로 사용되는 기법들에 대한 중점 방어부문을 찾아내고 현재 보안 수준을 식별하는 데 도움이 된다. 방어자와 의사결정자는 ATT&CK for Enterprise의 정보를 특정 공격 기법의 체크리스트로만 사용할 수 있는 것이 아니라 다양한 목적으로 사용할 수 있다.

Purpose

ATT&CK for Enterprise는 계속해서 증가하는 기업 네트워크 침입 시도에서 어떤 행동들이 보일 수 있는지에 대한 주의사항을 높이는데 필요한 자료이다. ATT&CK for Enterprise 공통적인 기업 공격 모델에 대한 CND(Computer Network Defense) 기술, 프로세스, 정책의 종합적인 평가를 가능하게 한다.  

방어도구나 정책의 개발자는 ATT&CK for Enterprise 모델로 자신이 추구하는 중점사항과 강점을 확인할 수 있다. 

사이버 보안 연구에서는 연구의 기준점으로 ATT&CK for Enterprise를 사용할 수 있다.

 

ATT&CK for Enterprise Use Case

 

- CND 기능을 위한 개발시 우선순위 선정
- CND 기능 간의 대안 분석 수행
- CND 기능 집합의 "범위" 결정
- 공격시도에서 발생하는 모든 침입 이벤트에 대한 설명
- 공격자들이 생성하는 데이터들에 대한 식별
- 피해경감, 취약점에 의해 발생할 수 있는 공격포인트 식별