What is MITRE ATT&CK Framework?

MITRE ATT&CK 프레임워크

MITRE ATT&CK 프레임워크는 사이버 공격의 작동 방식에 대한 인식과 이해를 구축하도록 설계되었습니다. 이를 위해 정보를 다음과 같은 계층 구조로 구성합니다.

• 전술: MITRE ATT&CK 전술은 사이버 공격 중에 공격자가 달성하고자 할 수 있는 높은 수준의 목표입니다. 여기에는 시스템에 대한 초기 액세스 권한 획득, 사용자 계정 손상, 네트워크를 통한 측면 이동과 같은 공격 단계가 포함됩니다.
• 기술을: 각 고급 전술에 대해 MITRE ATT&CK은 목표 달성을 위한 여러 기술을 정의합니다. 예를 들어 공격자는 무차별 암호 대입 공격, 운영 체제에서 자격 증명 훔치기 및 기타 방법을 통해 사용자 자격 증명에 대한 액세스 권한을 얻을 수 있습니다.
• 하위 기술: 일부 MITRE ATT&CK 기법은 다양한 다른 방법(하위 기법이라고 함)으로 달성할 수 있습니다. 예를 들어, 무차별 암호 대입 공격은 암호 해시, 자격 증명 스터핑 또는 기타 수단을 크래킹하여 수행할 수 있습니다.

MITRE ATT&CK의 전술, 기술 및 하위 기술은 공격자가 목표를 달성할 수 있는 특정 방법을 드릴다운합니다. 이러한 각 기술에 대해 MITRE ATT&CK에는 공격에 대한 설명과 함께 다음이 포함됩니다.

• 절차: 절차에서는 기술 사용의 구체적인 예를 설명합니다. 여기에는 멀웨어, 해킹 도구 및 특정 기술을 사용하는 것으로 알려진 위협 행위자가 포함됩니다.
• 탐지: 주어진 기법에 대해 MITRE ATT&CK은 기법을 검출하는 방법을 권장합니다. 이 섹션은 특정 공격을 탐지하기 위해 수집해야 하는 정보 유형을 간략하게 설명하기 때문에 사이버 보안 방어를 설계하는 데 매우 중요합니다.
• 완화: 완화 섹션에서는 조직이 특정 기술의 영향을 방지하거나 줄이기 위해 수행할 수 있는 단계를 설명합니다. 예를 들어 다중 인증(MFA)을 사용하는 것은 사용자 계정에 대한 액세스를 달성하도록 설계된 기술에 대한 일반적인 완화입니다.

사이버 방어를 위한 MITRE ATT&CK의 활용

MITRE ATT&CK 프레임워크는 단순한 정보 저장소가 아닌 도구로 설계되었습니다. 보안 운영 센터 (SOC) 팀은 다음과 같은 다양한 방법으로 MITRE ATT&CK 매트릭스를 운영할 수 있습니다.

• 방어 설계 : MITRE ATT&Ck 프레임워크는 다양한 사이버 공격 기술을 탐지하고 완화하는 방법을 간략하게 설명합니다. 이 정보는 조직이 올바른 방어 체계를 갖추고 특정 위협을 탐지하는 데 필요한 정보를 수집하도록 하는 데 사용할 수 있습니다. 위협 인텔리전스 는 조직이 집중하는 기술의 우선 순위를 지정하는 데 사용할 수 있습니다.
• 인시던트 감지: MITRE ATT&CK 프레임워크는 특정 위협을 탐지할 수 있는 방법을 설명합니다. 이 정보는 보안 정보 및 이벤트 관리(보안 정보 및 이벤트 관리(SIEM)) 솔루션, NGFW(차세대 방화벽) 및 기타 보안 솔루션에서 검색 규칙을 개발하는 데 사용해야 합니다.
• 인시던트 조사: MITRE ATT&CK 프레임워크는 특정 공격의 작동 방식과 특정 기술을 사용하는 멀웨어를 설명합니다. 이 정보는 조사자가 사용 중인 MITRE ATT&CK 기술을 식별하고 프레임워크에서 제공하는 추가 데이터를 활용할 수 있도록 하기 때문에 인시던트 조사에 매우 중요합니다.
• 감염 치료: MITRE ATT&CK 프레임워크는 특정 기술이 수행되는 방법과 다양한 멀웨어 샘플 및 위협 행위자의 기능을 설명합니다. 이렇게 하면 공격자가 수행한 작업과 감염을 제거하기 위해 실행 취소해야 하는 작업을 간략하게 설명하므로 치료 작업에 도움이 될 수 있습니다.
• 보고: MITRE ATT&CK 프레임워크는 용어를 표준화하여 보고를 더 간단하게 만듭니다. 도구와 분석가는 프레임워크의 특정 기술을 참조하는 보고서를 생성할 수 있으며, 필요한 경우 추가 세부 정보 및 완화 단계를 제공합니다.
• Threat Hunting에 추가합니다. MITRE ATT&CK에서 제공하는 설명 및 탐지 정보는 위협 헌팅에 매우 유용할 수 있습니다. MITRE ATT&CK 평가를 수행하고 프레임워크에 설명된 각 기술을 통해 위협 헌터는 특정 기술을 사용하여 공격자의 표적이 되었는지 여부와 기존 보안 솔루션이 이러한 공격을 탐지하고 방지할 수 있는지 여부를 확인할 수 있습니다.

체크 포인트 및 MITRE ATT&CK

The MITRE ATT&CK framework is a valuable tool for improving communication and understanding of cyberattacks. CheckPoint has integrated MITRE ATT&CK’s taxonomy into its entire solution portfolio, including Infinity SOC and Infinity XDR. Mappings to MITRE ATT&CK techniques are included in forensic reports, malware capability descriptions, and more.

이는 SOC 분석가에게 여러 가지 이점을 제공합니다. 특정 공격을 분석할 때 MITRE ATT&CK을 사용하면 각 단계에서 근본 원인, 공격 흐름 및 공격자의 의도를 쉽게 이해할 수 있습니다. 공격자가 달성하려는 목표와 방법을 이해함으로써 SOC 팀은 공격의 범위, 필요한 수정 및 향후 방어를 개선하는 방법을 쉽게 이해할 수 있습니다.

By integrating MITRE ATT&CK, Check Point Infinity SOC makes cyberattacks more transparent and comprehensible. To see for yourself, check out this demo video. You’re also welcome to sign up for a free trial to see how Check Point and MITRE ATT&CK can simplify and optimize incident detection and response.