당신은 주제를 찾고 있습니까 “마이 터 어택 – MITRE ATT\u0026CK기반의 알려지지 않은 타깃 공격 대응“? 다음 카테고리의 웹사이트 ppa.maxfit.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://ppa.maxfit.vn/blog. 바로 아래에서 답을 찾을 수 있습니다. 작성자 Trend Micro AMEA 이(가) 작성한 기사에는 조회수 204회 및 좋아요 1개 개의 좋아요가 있습니다.
마이 터 어택 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 MITRE ATT\u0026CK기반의 알려지지 않은 타깃 공격 대응 – 마이 터 어택 주제에 대한 세부정보를 참조하세요
MITRE ATT\u0026CK 프레임워크를 적용한 트렌드마이크로 차세대 EDR Apex One™을 통하여 기업의 알려지지 않은(Unknown) 타킷 공격(Target Attack)에 대한 선제적 대응 방법을 소개합니다
마이 터 어택 주제에 대한 자세한 내용은 여기를 참조하세요.
마이터 어택(MITRE ATT&CK) 프레임워크를 이해하고 활용하는 …
우리에게 그 기초는 MITER ATT&CK입니다. MITER ATT&CK는 알려진 적대적 전술, 기술 및 절차(TTPs)의 전 세계적으로 사용 가능한 무료 개방형 프레임워크 …
Source: blog.naver.com
Date Published: 10/21/2021
View: 6337
“공격 방식과 도구를 분석해 방어한다” 마이터의 ATT&CK …
마이터(MITRE Corp)가 개발한 ATT&CK 프레임워크는 만들어진 지 5년이 되었고, 기업 네트워크에 가해지는 수백만 건의 공격으로부터 관찰된 위협 전략 …
Source: www.itworld.co.kr
Date Published: 6/13/2021
View: 559
MITRE ATT&CK Framework 이해하기 – 이글루
마이터 어택은 공격자들의 최신 공격 기술 정보가 담긴 저장소. MITRE ATT&CK은 Adversarial Tactics, Techniques, and Common Knowledge의 약어이며, …
Source: www.igloo.co.kr
Date Published: 8/28/2021
View: 7885
마이터 어택 프레임워크로 이해하는 ‘위협 인텔리전스’ – 데이터넷
EPP, EDR을 통해 엔드포인트를 노리는 위협에 대응하는 한편, 위협헌팅을 통해 진행중이거나 완료된 공격을 탐지·분석하고 있다. 마이터 어택·OSINT 등을 …
Source: www.datanet.co.kr
Date Published: 1/30/2022
View: 4843
마이터 어택, EDR의 수준을 끌어올리다. – 소만사
마이터 어택, EDR의 수준을 끌어올리다. [칼럼] | 2019-11-25. MITRE ATT&CK 등장. 미국 연방정부의 지원을 받는 비영리 연구개발 단체인 ‘MITRE(마이터)’는.
Source: www.somansa.com
Date Published: 6/25/2022
View: 7033
MITRE ATT&CK App for Splunk으로 보안 위협 탐지하기 (1)
여러분은 MITRE(마이터) 라는 곳에 대해 알고 계신가요? 아마 IT 분야에 종사하시는 분들이라면 잘 알고 계시겠습니다만, MITRE는 미국 정부의 지원을 받아 항공, …
Source: blog.sckcloud.co.kr
Date Published: 3/7/2022
View: 8515
마이터어택 평가 성적 우수, AhnLab EPP 활용 방안은
마이터 엔제뉴이티(MITRE Engenuity)가 실시하는 어택 평가(ATT&CK Evaluation)는 주요 위협 그룹들의 공격 시나리오를 에뮬레이션(emulation)하여, …
Source: m.ahnlab.com
Date Published: 12/10/2022
View: 4838
주제와 관련된 이미지 마이 터 어택
주제와 관련된 더 많은 사진을 참조하십시오 MITRE ATT\u0026CK기반의 알려지지 않은 타깃 공격 대응. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 마이 터 어택
- Author: Trend Micro AMEA
- Views: 조회수 204회
- Likes: 좋아요 1개
- Date Published: 2020. 9. 14.
- Video Url link: https://www.youtube.com/watch?v=cIFHUGFm8fE
“공격 방식과 도구를 분석해 방어한다” 마이터의 ATT&CK 프레임워크란 무엇인가
Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
MITRE ATT&CK Framework 이해하기
MITRE ATT&CK Framework 이해하기
01. 개요
지금도 사이버 공간을 위협하려는 공격 시도는 계속되고 있다. 디도스, 랜섬웨어 등 사이버 공격은 갈수록 지능화·고도화 되어가고 있으며 따라서 여전히 많은 이들이 지속적 위협에 노출되고 있다.
본래 미국 연방정부의 지원을 받으며 국가안보관련 업무를 수행하던 비영리 연구개발 단체인 MITRE(마이터)는 국가간에도 사이버 공격의 영향력이 커지고 피해가 늘어나면서 자연스럽게 해당 부분에 대한 연구를 시작하게 되었는데 그렇게 만들어진 것이 ATT&CK(어택) Framework 이다.
02. 사이버 킬체인
1) Cyber Kill Chain 이란?
ATT&CK Framework는 MITRE에서 실제 공격 사례를 바탕으로 킬 체인(Cyber Kill Chain)의 단계를 자체적으로 개발하여 정리한 것으로, 먼저 사이버 킬체인에 대한 이해가 필요하다.
사이버 킬체인은 사이버 공격을 분석하기 위한 가장 널리 알려진 모델로 기존 군사용어인 킬체인 (Kill Chain, 타격순환체계)에서 비롯되었으며 발사된 미사일을 요격하는 것이 아닌, 선제 공격을 통해 미사일 발사 자체를 저지하겠다는 것으로서 그 개념을 사이버 공간상으로 가져와 적용한 것이다.
다양한 사이버 공격을 분석해보면 일반적으로 아래의 5가지 단계를 거치게 된다. 사이버 킬체인은 각 단계별 위협요소를 제거하기 위한 일렬의 활동으로 모든 공격을 다 막아낼 수는 없기 때문에 공격자 입장에서의 공격 분석을 통해 단계별 연결고리(Chain)를 사전에 끊어 피해를 최소화 하자는 것이 이 전략의 목표라고 할 수 있다.
[그림 1] 단계별 사이버 킬체인2) 록히드마틴의 Cyber Kill Chain
사이버 보안 분야에서 ‘킬체인’이란 용어를 처음 사용한 것은 미국 군수업체인 록히드마틴 (Lockheed Martin Corporation)이다. 고도화된 공격(APT)에 대응하기 위해 제시한 방법으로, 공격자가 표적을 공격할 때 거쳐야 하는 과정을 △정찰 △무기화 △전달 △공격 △설치 △명령 및 제어 △목표 장악 등 총 7단계로 나눈 후 각 단계에서 공격을 탐지ㆍ차단ㆍ대응하는 방어 전략이다. 사이버 공격은 시작부터 종단까지 각 단계들이 모두 성공해야만 최종 목적을 달성할 수 있는데 이러한 특징이 잘 나타나 있는 통합된 프로세스를 보여주고 있다.
[그림 2] 록히드마틴의 단계별 사이버 킬체인 (출처 : 록히드마틴)3) Cyber Kill Chain의 한계
사이버 킬체인은 각 단계에 따른 공격자의 행위를 시간의 흐름에 따라 묘사하여 나열한 것이지, 단계별로 어떤 기술들이 사용되고 관련된 공격 도구나 해킹그룹 등에 대한 정보와의 연결고리가 없다는 한계가 존재한다. 즉, 공격자의 행동이 전술적 공격 목표와 각 행동의 연관성을 표현하고 전달하기에는 효과적이지 않다는 것이다. 또한 외부 침입자 대한 방어를 위주로 한 전략이라 공격자가 이미 침투했거나 내부자에 의한 공격 등 내부 보안에 대한 전략은 전무하다. 이는 사이버 킬체인에 새로운 전략 혹은 단계의 추가 적용이 필요함을 의미한다.
03. MITRE ATT&CK Framework
1) MITRE ATT&CK 란?
마이터 어택은 공격자들의 최신 공격 기술 정보가 담긴 저장소
MITRE ATT&CK은 Adversarial Tactics, Techniques, and Common Knowledge의 약어이며, 실제 사이버 공격 사례를 관찰한 후 공격자가 사용한 악의적 행위(Adversary behaviors)에 대해서 공격방법(Tactics)과 기술(Techniques)의 관점으로 분석하여 다양한 공격그룹의 공격기법 들에 대한 정보를 분류해 목록화 해 놓은 표준적인 데이터 들이다.
전통적인 사이버 킬체인의 개념과는 약간 관점을 달리하여 지능화된 공격의 탐지를 향상시키기 위해 위협적인 전술과 기술을 체계화(패턴화)한 것인데, 원래 ATT&CK는 MITRE에서 윈도우 기업 네트워크 환경에 사용되는 해킹 공격에 대해서 방법(Tactics), 기술(Techniques), 절차(Procedures) 등 TTPs를 문서화하는 것으로 시작되었으며 이후 공격자로부터 발생한 일관된 공격 행동 패턴에 대한 분석을 기반으로 TTPs 정보를 매핑하여 공격자의 행위를 식별해 줄 수 있는 프레임워크로 발전하였다.
먼저 홈페이지를 방문하여 MITRE ATT&CK Framework 대한 정보를 자세히 살펴보도록 하겠다.
– MITRE ATT&CK 홈페이지 : https://attack.mitre.org
[그림 3] MITRE ATT&CK 홈페이지 2) MITRE ATT&CK Framework 구성
MITRE ATT&CK 홈페이지에서는 Matrices Mitigations, Groups, Software 등 다양한 카테고리의 정보를 제공하고 있으며, 이를 통해 해당 시스템의 Tactics와 Techniques에 관련된 공격정보 및 대응방법을 확인할 수 있다.
ㆍ 2 018년 1월 ATT&CK v1 처음 발표되었으며, 최근 2021년 4월 ATT&CK v9 가 업데이트 됨
Matrices (표 정보)
ㆍ 공격 기술인 Tactic, Technique 개념과 관계를 시각화한 것
ㆍ Tactic 에는 다양한 Technique 가 포함됨
ㆍ 각 Tactic 는 공격 목표에 따라 다양하게 활용됨
– MITRE ATT&CK Matrix는 Enterprise(기업), Mobile(모바일), ICS(산업제어시스템) 버전으로 제공함
[그림 4] MITRE ATT&CK Matrix 정보Tactics (공격 전술 정보)
ㆍ Tactics 는 공격자의 공격 목표에 따른 행동을 나타냄.
ㆍ 상황에 따른 각각의 Techniques 에 대한 범주 역할
ㆍ 공격 목적에 따라 지속성, 정보탐색, 실행, 파일 추출 등 다양하게 분류
▷ 총 40개 Tactics 제공 (Enterprise : 14, Mobile : 14, ICS : 12)
Techniques (공격 기술 정보)
ㆍ 공격자가 목표에 대한 Tactic 을 달성하기 위한 방법을 나타냄
ㆍ 공격자의 공격(Technique)을 통해 발생하는 결과(피해)를 명시
ㆍ 앞서 분류된 Tactics에 따라 다양한 Techniques 들이 존재할 수 있음
▷ 총 392개 Techniques 제공 (Enterprise : 185(Sub-Tech : 367), Mobile : 118, ICS : 89)
– 공격자의 목표 전술들이 나열돼 있으며 이를 선택할 경우, 실제 공격에 사용된 세부 기술 확인 가능
[그림 5] MITRE ATT&CK Tactics 및 Techniques 정보Mitigations (공격 완화 정보)
ㆍ 방어자(관리자)가 공격을 예방하고 탐지하기 위해 취할 수 있는 행동(Techniques)을 의미
ㆍ 여러 Techniques 에 대한 범주 역할을 하고 보안의 목적과 시스템 상황에 따라 중복 적용 가능
ㆍ 과거 유사 사례에서의 대응책 정보를 활용, 새로 탐지된 공격에 대한 해결방안 제시 가능
▷ 총 106개의 Mitigations 제공 (Enterprise : 42개, Mobile : 13, ICS : 51개)
[그림 6] MITRE ATT&CK Mitigations 정보Groups (공격 단체/조직 정보)
ㆍ 공개적으로 명칭이 부여된 해킹단체에 대한 정보와 공격 기법을 분석하여 정리
ㆍ 주로 사용된 공격 방법과 활동 분석, 공식 문서 등을 바탕으로 해킹조직을 특정하여 정의
ㆍ 공격에 사용된 Technique과 Software 목록을 포함하고 있으며 이와 매핑하여 해킹그룹이 즐겨 사용하는 공격 형태를 제공 → 새로운 공격 발생 시, 기존 Matrix를 활용, 비교 가능
ㆍ 각 그룹과 관련된 또 다른 그룹을 함께 표시하고 공격에 대상과 특징을 함께 설명
→ 탐지된 공격을 즐겨 사용하는 해킹그룹이나 공격의 이유/목적 등 추측 가능
▷ 총 131개의 Groups 정보 제공 (Enterprise/Mobile : 122, ICS : 9)
[그림 7] MITRE ATT&CK Groups 정보Software (공격 도구 정보)
ㆍ 공격자가 목표 대상을 공격할 때 사용된 공격코드 또는 운영체제(OS)에 포함된 기본 도구나 공개적으로 사용 가능한 도구(Open-Source S/W) 등을 목록화하여 정리함
ㆍ 공격에 사용되는 “다양한 도구의 모음”을 총칭하여 정리한 것으로 동일한 도구의 모음이지만 해킹 조직마다 다른 이름으로 사용될 수 있으며 이로 인해 일부는 같은 도구일지라도 여러가지 이름을 가질 수 있음
▷ 총 604개의 공격 도구 정보를 제공 (Enterprise/Mobile : 585개, ICS 19개)
[그림 8] MITRE ATT&CK Software 정보3) MITRE ATT&CK Matrix 살펴보기
MITRE ATT&CK Matrix는 Enterprise(기업), Mobile(모바일), ICS(산업제어시스템) 버전으로 제작되었으며 공격자의 행위를 직관적인 표 형태의 구조(Matrix)로 정보를 제공하고 있으며 이 중 ATT&CK for Enterprise 와 ATT&CK for ICS를 살펴보도록 하겠다.
ATT&CK for Enterprise
Enterprise 버전은 범용적인 기업환경에 적용되는 네트워크 및 다양한 OS 및 플랫폼에 대해 2013년 9월부터 기업 시스템 침해 행위를 세부적으로 모델링하기 위해 만들어진 프레임워크이다.
기존 사이버 킬체인을 단계적으로 재구성한 것으로 공격자의 TTP와 네트워크 공격 활동 특징을 기반으로 작성되었으며, 네트워크 침입 방어(CND) 기술과 프로세스 및 정책 등을 종합적으로 평가할 수 있다.
[그림 9] ATT&CK for EnterpriseATT&CK for Enterprise 버전은 Tactics 14개, Techniques 185개, Sub-Techniques 367개의 정보를 제공(2021년 4월 기준)하고 있다.
ㆍ 2020년 7월, 기존의 266개로 구성된 기술(Techniques)을 256개로 통합하고 기존에 없던 새로운 272개의 하위 기술(Sub-Techniques)을 추가하는 등 대대적으로 재구성 함.
ㆍ 기존 기술의 경우, 하나의 광범위한 행위로만 기술할 수 있어 정의의 범위(Scope)가 불균형 하다는 단점이 존재했는데 구체적인 행동을 정의하기 위한 하위 기술을 추가해 보다 세밀하게 구분하였다.
ㆍ 이로 인해 프레임워크내 위협 정보의 특수성이 전반적으로 개선되었으며, 최종 결과 도출 시, 보다 세분화된 공격 기술의 정의가 가능하게 되었다.
ID 이름 설명 TA0043 정찰 (Reconnaissance) 내부정찰단계로 다른 시스템으로 이동하기 위해 탐구하는 단계 TA0042 자원 개발 (Resource Development) 다른 시스템으로 이동하기 위한 정보로 계정 등을 확보하는 단계 TA0001 초기 접근 단계 (Initial Access) 네트워크 진입을 위해 사용자 환경에 대한 정보를 취득하는 것을 목적으로 함 TA0002 실행 (Execution) 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 행동 TA0003 지속 (Persistence) 공격 기반을 유지하고 시스템에 지속적으로 접근하기 위한 행동 TA0004 권한 상승 (Privilege Escalation) 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 행동 TA0005 방어 회피 (Defense Evasion) 공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위한 행동 TA0006 접속 자격 증명 (Credential Access) 시스템, 도메인 서비스, 자격증명 등을 접근하거나 제어하기 위한 행동 TA0007 탐색 (Discovery) 시스템 및 내부 네트워크의 정보를 얻기 위한 행동 TA0008 내부 확산 (Lateral Movement) 네트워크 상의 원격 시스템에 접근한 후 이를 제어하기 위한 행동 TA0009 수집 (Collection) 공격 목적이나 관련 정보가 포함된 데이터를 수집하기 위한 행동 TA0011 명령 및 제어 (Command And Control) 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위한 행동 TA0010 유출 (Exfiltration) 공격자가 네트워크에서 데이터를 훔치기 위한 행동 TA0040 임팩트 (Impact) 공격 목표의 가용성과 무결성을 손상시키기 위한 행동
[표 1] ATT&CK for Enterprise TacticsATT&CK for ICS
ATT&CK for ICS 버전은 Tactics 12개, Techniques 89개의 정보(2021년 4월 기준)를 포함하고 있으며 ICS의 경우, 별도의 홈페이지를 통해 정보를 제공하고 있다.
– URL : https://collaborate.mitre.org/attackics/index.php/Main_Page
산업제어시스템(ICS)에 적용되는 모델은 관련 네트워크와 산업 생산 영역에서 설비의 운영을 제어·관리하는 시스템을 대상으로 한 공격 유형과 과정 등의 정보를 포함하고 있다. 논문이나 정보기관의 실제 보안사고를 바탕으로 산업제어시스템의 Tactics와 Techniques를 재정의하여 정형화 한 것으로 2020년 1월, 처음 발표되었으며, 현재 지속적으로 업데이트 중이다.
[그림 10] ATT&CK for ICS (Industrial Control Systems)산업제어시스템에서 사용되는 퍼듀 모델(Purdue Model)을 기반으로 OT(Operration Technology)의 영역을 Level 0~2로 구분하고 각각의 Level에 맞는 시스템으로 자산을 분류하였다.
구분 설명 Level 0 – I/O 네트워크 물리적 장비 및 프로세스에 연결된 센서 및 엑츄에이터로 구성 Level 1 – 제어 네트워크 프로세스 감지 및 제어, PLC, RTU, 안전 계장·분산제어 시스템으로 구성 Level 2 – 감시 제어 LAN 모니터링 및 제어, HMI 및 콘솔 등을 포함하여 구성
[표 2] ATT&CK for ICS Level이기종 장치 및 네트워크(프로토콜), 제어시스템과 센서, 유닛 중점의 위협 정보로 구성되어 있으며, 산업제어 시스템의 특성상 발생할 수 있는 재산적, 인적 피해가 고려되었고 가용성 측면을 중점으로 작성되었다. 또한, ATT&CK for Enterprise와 비교해 산업제어시스템 환경에 맞는 시스템 제어와 관련된 단계 추가 및 데이터 유출, 권한, 인증에 대한 Tactics가 축소되었으며, 장치에 직접적인 운영·제어와 관련된 공격, 실시간 데이터·메시지 전송, 가동 중단·파괴가 목적인 Techniques가 포함되어 있다.
이름 설명 수집 (Collection) 목표 대상의 데이터 및 시스템에 대한 정보를 수집하기 위한 전술 명령 및 제어 (Command and Control) ICS환경에 침입하여 장악한 시스템, 컨트롤러 및 플랫폼에 대해 통신과 제어하려는 전술 탐색 (Discovery) ICS의 원격 시스템에 접근한 후 이를 제어하기 위해 사용되는 전술 회피 (Evasion) 공격자가 침입한 시간동안 탐지 당하는 것을 피하기 위해 사용되는 전술 실행 (Execution) 악성코드나 프로그램을 임의로 실행 임팩트 (Impact) ICS에 대해 데이터 조작, 시스템 중단 및 파괴하려는 전술 제어권 손상 (Impair Process Control) 물리적 제어 절차를 비활성화하거나 손상하려는 전술 응답 거절 (Inhibit Response Function) 안전과 관련된 기능에 대해 응답하지 못하도록 하는 전술 초기 접근 (Initial Access) ICS 환경에 접근하기 위한 전술 내부 확산 (Lateral Movement) ICS의 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술 지속 (Persistence) 침입한 ICS네트워크 환경에 대해 저속적으로 접속 유지를 위한 전술 권한 상승 (Privilege Escalation) ICS환경에 침입하여 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술
[표 3] ATT&CK for ICS Tactics4) MITRE ATT&CK 활용 사례
MITRE ATT&CK Framework를 특정 보안사건들에 매핑(대입)하여 활용해 볼 수 있다. 예를 들면 한국수력원자력을 공격했던 사건이나, Stuxnet 이용한 이란 원자력 발전소 해킹사건 등을 매핑하여 도식화 할 수 있다.
[그림 11] ATT&CK for Enterprise 를 활용, 한수원 해킹 사건을 도식화 (출처 : 정부합동수사단 자료) [그림 12] ATT&CK for ICS 를 활용, 이란 원자력발전소 해킹 사건을 도식화 (출처 : 안랩)그리고, MITRE ATT&CK 홈페이지에서 별도로 제공하는 네비게이터(Navigator) 기능을 이용해 다양한 방식으로 시각화 하여 비교가 가능하다.
– ATT&CK® Navigator : https://mitre-attack.github.io/attack-navigator/
북한 해킹조직으로 알려진 김수키(Kimsuky)와 라자루스(Lazarus) 그룹에서 사용한 공격전술(Tactics)과 기술(Techniques)들을 도식화 하여 비교해보면 아래와 같다.
[그림 13] 네비게이터(Navigator) 기능을 이용, 해킹그룹간 공격 비교 (Kimsuky / Lazarus)5) MITRE ATT&CK 관련 프로젝트
또한, MITRE 의 ATT&CK 외에도 관련된 다수의 프로젝트가 진행되고 있는데 CALDERA, METTA, Atomic Red Team 등과 같은 공격 에뮬레이션(Adversary Emulation) 도구들이 대표적이다. 해킹 그룹의 공격 기술을 재현하고 테스트하기 위해 제작된 도구(Framework)들로 현재의 보안수준 및 대응방안을 도출하는 것을 목표로 하며 MITRE ATT&CK Framework의 정보(Tactics, Techniques)를 활용하여 자동으로 공격 계획을 수립하고 공격을 수행하는 방법들을 구현하기 위해 꾸준히 발전해왔다.
– Gartner 에서는 BAS(Breach and Attack Simulation)라는 새로운 보안 제품군으로 정의하고 있으며, 이미 다양한 상용 솔루션 및 공개 도구들이 개발되고 있다.
▷ CALDERA : MITRE에서 개발한 것으로 2016부터 시작된 프로젝트로 다양한 플러그인을 통한 공격행위를 시뮬레이션 할 수 있다.
[그림 14] CALDERA – Automating Adversary Emulation (출처 : 쏘마 기술 블로그)▷ METTA : 우버 택시 서비스에서 공개한 오픈소스 도구로, YAML파일을 읽어 필요한 가상머신 환경을 구성해 공격행위를 수행하며, 다수의 공격 기술을 시뮬레이션 할 수 있다.
[그림 15] METTA – Adversarial Simulation Tool (출처 : 쏘마 기술 블로그)▷ Atomic Red Team : 현재 가장 활발히 개발되고 있는 도구로 MITRE ATT&CK을 기준으로 공격 데이터가 구성되어 있으며, 공격 테크닉 파일 데이터도 가장 많다.
[그림 16] Atomic Red Team – Detection Testing Tool (출처 : 쏘마 기술 블로그)04. 결론
보안 기술이 발달함에 따라 방어 기법도 강화되면서 공격자도 자신의 공격 기법을 끊임없이 발전시키고 있다. 공격자들은 매우 은밀하고 다양한 방법을 활용해 침투를 시도하고, 기존의 보안 체계를 무력화하고 있는 것이다.
이런 상황에서 조직의 보안을 지키고 각종 보안 위협에 대응하기 위해서는 그들의 공격 기술과 공격 과정에 대한 이해가 선행되어야 하며, 이를 통해 항상 최신의 기술들을 습득하고 반영해야 할 필요가 있다.
MITRE ATT&CK Framework는 기존의 Cyber Kill Chain과 같은 모델에서 공격의 흐름과 프로세스 관점에서 개념의 단계로만 기술되었던 부분을 TTP로의 매핑을 통해 실용성을 높였고, 실제 공격 사례를 제공하여 현재의 침해사고대응에 적용하기 용이한 모델로 발전한 것으로 기존의 추상적이던 개념의 정보들을 실제 사례를 기반으로 한 현실적인 사이버 위협 정보로 한단계 끌어 올린 훌륭한 참고자료이다.
사이버 공격을 방어하는 보안 담당자들은 MITRE ATT&CK Framework에서 제공하는 정보들을 잘 활용하여 실제 상황에서 발생한 내용들을 토대로 그들이 더 이상의 공격 전술을 펼치지 못하도록 적극적으로 탐지하고 대응해야 할 것이다.
05. 참고자료
[1] MITRE ATT&CK® 홈페이지 : https://attack.mitre.org [2] MITRE ATT&CK® for Industrial Control Systems : https://collaborate.mitre.org/attackics/index.php/Main_Page [3] MITRE ATT&CK® Navigator : https://mitre-attack.github.io/attack-navigator/ [5] 사이버 위협 동향 보고서(2020년 4분기) : https://krcert.or.kr/data/reportView.do?bulletin_writing_sequence=35866 [6] 사이버킬체인(Cyber Kill Chain)모델을 통한 SIEM의 활용 : http://www.igloosec.co.kr/BLOG_사이버킬체인(Cyber Kill Chain)모델을 통한 SIEM의 활용?searchItem=&searchWord=&bbsCateId=17&gotoPage=1 [8] MITRE ATT&CK 프레임워크 : https://10th-doctrine.tistory.com/351 [9] APT 시뮬레이터와 CHEIRON 소개 – ㈜쏘마 기술블로그 : https://tech.somma.kr/APT-Emulators/ [10] 마이터 어택, EDR의 수준을 끌어올리다. : https:// www.somansa.com/introduce/newsevent/마이터-어택-edr의-수준을-끌어올리다/ [11] Cyber Attack Life Cycle (FireEYE) : https:// www.iacpcybercenter.org/resource-center/what-is-cyber-crime/cyber-attack-lifecycle/ [12] ‘ATT&CK for Enterprise Introduction’, MITRE, accessed April 06, 2020. : https://attack.mitre.org/resources/enterprise-introduction/ [13] What is the MITRE ATT&CK Framework? : https:// www.mcafee.com/enterprise/ko-kr/security-awareness/cybersecurity/what-is-mitre-attack-framework.html [14] Launching ATT&CK for ICS : https://medium.com/mitre-attack/launching-attack-for-ics-2be4d2fb9b8 [15] MITRE ATT&CK® for Industrial Control Systems: Design and Philosophy :https://collaborate.mitre.org/attackics/img_auth.php/3/37/ATT%26CK_for_ICS_-_Philosophy_Paper.pdf
[16] Filling the gap with MITRE ATT&CK for ICS : https://airbus-cyber-security.com/mitre-attck-for-ics-everything-you-need-to-know/ [17] Identifying UNC2452-Related Techniques for ATT&CK : https://medium.com/mitre-attack/identifying-unc2452-related-techniques-9f7b6c7f3714 [18] 4 open-source Mitre ATT&CK test tools compared : https:// www.csoonline.com/article/3268545/4-open-source-mitre-attandck-test-tools-compared.html [19] How to use the MITRE ATT&CK Navigator : https:// www.youtube.com/watch?v=78RIsFqo9pM
마이터 어택 프레임워크로 이해하는 ‘위협 인텔리전스’
실제 공격 정보 활용해 위협 대응…정보공유로 위협 대응 효율성 높여
EPP·EDR·위협헌팅·마이터 어택·OSINT로 피해 가능성 낮춰
<김봉필 이스트시큐리티 EP사업본부 본부장>
[데이터넷] 사이버 위협이 고도화되면서 대응 기술도 빠르게 진화하고 있다. EPP, EDR을 통해 엔드포인트를 노리는 위협에 대응하는 한편, 위협헌팅을 통해 진행중이거나 완료된 공격을 탐지·분석하고 있다. 마이터 어택·OSINT 등을 이용해 이전에 발생한 공격 유형과 새롭게 발견된 공격을 비교·분석해 효과적인 대응 방안을 찾으면서 보안을 강화하고 있다. 진화하는 위협 탐지와 대응기술을 알아본다.KISA 랜섬웨어 최신 동향 분석 보고서에 따르면, 2018년부터 2020년까지 랜섬웨어 관련 침해사고가 전체 침해사고 사례 중 약 60%를 차지하고 있다. 최근 랜섬웨어 추이를 보더라도 54%~60%로 꾸준하게 높은 비율을 유지하고 있고, 악성코드까지 포함하면 전체 침해사고 중 약 92%가 엔드포인트 관련 사고다.
랜섬웨어 감염을 위한 대표적인 공격 방법은 악성메일, SNS 등을 이용하는 것이다. 예를 들면, 업무 관련 이메일 등으로 위장해서 첨부파일을 보내고, 담당자가 이메일 첨부파일을 확인하는 순간 감염되도록 하는 방법이다. 또 SNS를 이용해서 링크를 걸어놓고 사용자가 링크에 접속하면 악성코드에 감염되도록 하는 경우가 있다.
이력서를 사칭해서 첨부파일 형태로 HR 담당자에 메일을 발송하거나, 인보이스를 가장 및 공공기관을 사칭해 회계 담당자에게 메일을 발송하는 등 다양한 악성 이메일이 존재한다.
2019년부터 2020년까지 악성 이메일 통계를 보면, 전체 메일 중 50%가 넘는 메일이 악성 이메일로 분류된다. 그 중 첨부파일을 통한 공격이 전체 악성 이메일 중 86%를 차지하고 있다. 이러한 악성 이메일은 엔드포인트를 감염시켜 초기 침투를 시도하기 때문에 엔드포인트 안티바이러스(AV)가 악성메일 대응을 위해 사용돼 왔다.
AV 우회공격이 많아지면서 2010년 초 중반부터는 AV 기능 외에 DLP, 방화벽 등 엔드포인트 보호 기능을 통합한‘엔드포인트 보안 플랫폼(EPP)’이 등장했다.
2015년 중반부터 알려지지 않은 파일 대응을 위해 위협 사냥(Threat Hunting)의 필요성이 대두됐으며, 이 기능을 탑재한 ‘엔드포인트 위협 탐지 및 대응(EDR)’도 등장했다.
위협 탐지와 대응을 위해 사용하는 구체적인 기술을 소개하면 다음과 같다.
위협 사냥
기존의 단위 보안솔루션에서 탐지된 이벤트를 SIEM 등에 수집한 후 상관관계와 알림 분석을 통해 침해인지 아닌지 판단하고 대응하는 일련의 활동을 위협 탐지(Threat Detection)라고 한다. 위협 사냥은 내부 위협 및 취약점 여부에 대해 시나리오 기반으로 가설을 수집하고, 기존 보안 솔루션에서 탐지 및 분석이 가능한지 판단하기 위해 로그를 생성함으로써 탐지·대응을 반복 수행하는 것을 말한다.
EDR
위협 사냥을 수행할 때 가장 많이 이용되는 보안 솔루션으로 EDR이 있으며, EDR은 특정 악성코드로 의심되는 파일이 탐지되었을 경우 해당 프로세스가 어떤 행위를 했는지, 의심스러운 악성행위로 판별되는지 등 분석 및 대응할 수 있도록 가시성을 제공한다. 뿐만 아니라 위협 인텔리전스 플랫폼(TIP)과 연동해 EDR에서 탐지된 악성파일이 악성 IP인지 URL인지 해시 기반인지 등 세부 정보를 확인할 수 있다.
위협 인텔리전스
위협 인텔리전스는 EDR에서 탐지한 정보를 기반으로 용이한 분석을 할 수 있다. TIP는 증거를 기반으로 정보를 제공·공유하고 의심스러운 행위를 판단할 수 있도록 해준다. 최근 위협 인텔리전스 분야에서 전략, 전술, 프로세스(TTP)를 강조하고 있는데, TTP란 공격자가 사용하는 전술과 기술적인 기법, 절차의 특징을 정리한 것을 말한다. TTP를 설명하기 위해서는 ‘고통의 피라미드’를 이해해야 한다.
고통의 피라미드 제일 하단에서 MD5와 같은 해시 정보는 공격자 입장에서 제일 변경하기 쉬운 정보다. 벤더 입장에서도 모든 해시 정보를 다 수집해서 대응할 수 없다. 그 위의 IP와 도메인 같은 경우에는 유효 기간이 너무 짧은 경향이 있다.
공격자 입장에서 공격에 성공할 경우 IP나 도메인은 변경하기에 간단하고, 벤더 입장에서는 대응하기가 쉽지 않다. 네트워크/호스트의 아티팩트는 흔적을 찾아야 하기 때문에 대응하기에 어려운 부분이 있고, 툴이나 TTPs는 난이도가 높아 공격자가 공격하기에도 어려움이 있다.
결국 공격 기법 등에 대한 표준화가 필요하고, 이 표준화에 가장 적합하다고 보는 판단 기준이 마이터 어택(MITREATT@CK) 프레임워크다.
마이터 어택 프레임워크
마이터(MITRE)는 미국 비영리단체로, 공격자의 전술, 전략, 프로세스와 공격 및 대응 관련 인텔리전스를 결합한 ‘어택(ATT@CK)’ 프레임워크를 제공한다. 최근 마이터 어택 프레임워크는 하위 기술 ID(Sub-TID)까지 반영된 프레임워크 매트릭스를 공개했다. 마이터 어택 매트릭스는 기본적으로 윈도우 기반 환경을 설명하고 있지만, 최근에는 맥, 리눅스 클라우드, 모바일, ICS까지 확장돼 각 영역별로 점검 세분화를 제공한다.
<그림 2>는 특정 TID를 선택할 때 보여지는 화면으로, 공격자가 어떠한 공격 방법과 기법을 사용해 공격하는지에 대한 설명과 어떤 행위 유형으로 분류하는지 보여준다. 뿐만 아니라 공격을 어떻게 탐지하고 완화할 수 있는지에 대한 설명까지도 함께 제공하고 있다.
TID를 효율적으로 활용하기 위해서는 고객사별로 해당 TID를 탐지할 수 있는 장비가 존재하는지, 장비 로그는 어떤식으로 생성되는지, 해당 로그를 어떻게 관제에 활용할 지 등을 보면 위협 대응에 있어서 더 좋은 효과를 볼 수 있을 것이다. 나아가 공격자별로 사용하는 소프트웨어와 TID 기법에관한 유사도 분석을 통해서 분석을 더 용이하게 할 수 있을 것으로 판단된다.
OSINT(Open Source Intelligence)
기존에는 위협 정보를 공개하지 않고, 폐쇄하는 측면이 있지만, 최근에는 오픈 소스 형태로 확장되면서 공유하는 형태로 바뀌었다. 참고할만한 OSINT 레퍼런스는 다음과 같다.
– URL haus: URL haus는 최근 악성코드 URL 정보를 제공하고, 온·오프라인 상태 정보도 제공한다.
– 트위터: 트위터에서는 IOC 정보 공유가 상당히 많이 이뤄지고 있으며, 대표적으로 멀웨어헌터팀(Malwawe HunterTeam) 같은 경우에는 바이러스 토탈에서도 검색이 되지 않는 해시 정보를 자주 제공하고 있다.
– 피시(Phish), 멀웨어 리포트(Malware Report): 그 외에 피싱 아카이브나 글로벌 EPP 벤더들이 발행하는 위협보고서를 주기적으로 취합해 Github에 업로드하는 사이트도 존재한다. 최근에는 벤더들도 악성코드 위협보고서를 발행할 경우 해당 보고서에 관련된 IOC 정보를 공개하는 추세로 가고 있어, 참고용으로 좋은 소스가 될 수 있다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
마이터 어택, EDR의 수준을 끌어올리다.
MITRE는 각 전술에 사용된 기법들을 일목요연하게 정리했다.
더 나아가 피해를 경감할 수 있는 방법, 해당 악성행위를 사용하는 공격그룹,
프로그램 샘플까지 제공하고 있다.
‘ATT&CK’ 공개 후 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다.
대응체계 구성이 가능해지니 EDR의 완성도가 높아졌다.
수많은 사례와 기술에 대해 학습한 결과, 변종 악성코드와 공격 예측이 가능해진 것이다.
사전에 예견하고 대책을 세울 수 있게 되어 ‘Response’의 기능이 대폭 향상되었다.
만일 최초의 공격으로 이미 악성행위를 받은 상태라면
‘피해경감 기법’을 참고해 피해를 확산시키지 않고 최소화할 수 있게 되었다.
매일매일 바뀌는 공격기법 속에서 ‘ATT&CK’은
지속적으로 보안기술과 보안위협에 대해 업데이트 하고 있다.
지난 7월에만 해도 485개의 전술기법, 91개의 해킹그룹, 397개의 악성코드에 대해 업데이트 했다.
뿐만 아니라 더 이상 사용하지 않는 전술과 기법에 대해서도 별도로 정리하기 때문에
항상 최신형상 유지와 동시에
‘죽은 기법의 변종 등장’에 대해서도 꾸준히 대응책을 마련할 수 있게 되었다.
대응에 중점을 둔 EDR, 이제 어떻게 진화할까
탐지(Detection)는 가능하되
대응(Response)에서는 확실한 해법을 내세우지 못하던 ‘EDR’ 이었지만
‘ATT&CK’의 공개는 흐름을 바꿔 놓았다.
EDR 기업들은 해당 프레임워크를 활용하기 시작했고,
그 결과 EDR은 높은 수준의 악성행위 대응전략을 사용자들에게 보장할 수 있게 되었다.
다시 말하면 모두가 일정 수준의 대응방식을 취할 수 있게 되었다
TI(Threat Intelligence: 위협 인텔리전스) 연동의 경우
EDR 기업 모두 정확도를 높이기 위해 타사의 DB를 구매/공유하므로 큰 차이가 없다.
해쉬차단 역시 서로 공유하는 구조이기 때문에 데이터의 품질은 동일하다.
머신러닝, 딥러닝은 현재 모두 같은 출발 선상에 있기에 비교하기에는 무리가 있다.
어떻게 보면 또 다른 경쟁시장이 등장했다.
독보적인 강점을 가진 EDR로 살아남아야 하는 시대가 온 것이다.
EDR은 인수합병 중
엔드포인트 보안의 흐름이 EDR로 굳혀진지는 오래됐다.
실제 환경에서 정보 탈취행위, 악성코드 주입, 데이터 파괴/암호화 행위 등
보안위협이 발견되면 빠르게 대응해 정보자산을 보호하고,
확산을 막는 방식이 가장 효과적임을 알게 된 것이다.
보안 기업들은 자신의 강점에 EDR을 결합하는 방식을 취하고 있다.
글로벌 보안기업 중 일부는 EDR 기업의 인수를 진행하고 있다.
포티넷은 ‘엔실로’를 인수했다.
엘라스틱은 ‘엔드게임’을 인수했다.
VM웨어는 ‘카본 블랙’을 인수했다.
SIEM이나 클라우드 보안 등 자신의 강점을 내세운 EDR이 출시될 것이다.
DLP와 EDR
질문을 던져 본다.
“왜 회사에서는 악성코드, 랜섬웨어 감염을 막기 위해 노력할까?”
컴퓨터가 느려지니까? 업무에 방해가 되니까? 업무효율을 따지면 맞는 말이긴 하다.
가장 중요한 것은 악성코드/랜섬웨어 감염으로 인하여
내부에 보관된 정보가 탈취되거나 변조되어 발생하는 후폭풍을
사전에 차단하기 위해서 일 것이다.
내부정보의 유출/변조 시
브랜드 이미지 하락, 신뢰도 하락, 고객이탈, 소송, 형사처벌 등
겪어야 할 풍파가 끊임없이 밀려올 테니까 말이다.
앞서 이야기했지만 최초의 공격은 아무도 막을 수 없다.
그저 가능한 효과적으로 신속하게 대응하는 것이 유일한 방법이다.
대응에 우선순위를 두어야 한다.
중요한 정보가 우선 보호되어야 한다는 의미이다.
MITRE ATT&CK App for Splunk으로 보안 위협 탐지하기 (1)
안녕하세요, SCK Splunk 사업팀입니다.
여러분은 MITRE(마이터) 라는 곳에 대해 알고 계신가요? 아마 IT 분야에 종사하시는 분들이라면 잘 알고 계시겠습니다만, MITRE는 미국 정부의 지원을 받아 항공, 국방 및 사이버 보안 등을 연구하는 기관으로, 사이버 공격 전술 및 기술에 대한 정보를 기반으로 하는 보안 프레임워크를 제공하기 때문에 IT 보안 분야에 종사하시는 분들께는 더욱 친숙하실 것 같습니다.
오늘은 Splunk 에서 무상으로 제공하는 MITRE ATT&CK App for Splunk을 활용하여 보안 위협을 탐지하는 방법에 대해 알아보고자 합니다.
아래 내용에 대해 관심이 있는 분들께서는 [email protected] 로 문의주시면 Splunk 전문가의 컨설팅을 받아보실 수 있습니다.
MITRE ATT&CK 이란?
MITRE ATT&CK은 실세계의 관찰을 기반으로하는 전세계적으로 액세스 가능한 지식 기반의 적(해커)의 전술(tactics) 및 기술(techniques)을 나열한 것 입니다. ATT&CK 지식 기반은 민간, 정부 등 사이버 보안 제품과 서비스 커뮤니티에서 특정 위협 모델 및 방법론 개발을 위한 프레임워크 및 참조 포인트로 사용됩니다.
ATT&CK의 생성으로 MITRE는 보다 효과적인 사이버 보안을 개발하기 위해 커뮤니티를 한데 모아 안전한 세상을 위한 문제를 해결한다는 사명을 완수하고 있습니다. ATT&CK는 누구나 무료로 사용할 수 있도록 개방되어 있습니다.
[그림 1] MITRE ATT&CK Enterprise Framework (https://attack.mitre.org/)MITRE ATT&CK 이란?
Adversary Emulation 특정 적에 대한 사이버 위협 인텔리전스를 적용하여 기술 도메인의 보안을 평가하는 과정과 그 위협을 모방하기 위해 그들이 어떻게 운용하는지를 평가합니다. Adversary Emulation 은 조직 라이프사이클의 모든 해당 지점에서 적대적인 활동의 탐지 및 완화를 검증하는 능력에 초점을 맞춥니다. ATT&CK 는 Adversary Emulation 시나리오를 만들어 공통적인 기술에 대한 방어를 테스트하고 검증하는 도구로 사용될 수 있습니다.
Red Teaming 공개된 위협 인텔리전스를 사용하지 않고 조직의 적대적인 사고방식을 가지고 연습을 진행합니다. ATT&CK 은 네트워크 내에서 발생할 수 있는 특정 방어 수단을 우회하기 위해 red team 계획을 세우고 작전을 짜는 것으로 운영을 구성하는 도구로 사용될 수 있으며, 또한 탐지되지 않을 수 있는 새로운 공격 방법을 개발하기 위한 연구 로드맵으로도 사용될 수 있습니다.
Behavioral Analytics Development 기존의 침해지표(IoC)나 악의적인 활동의 시그니처(Signature)를 넘어, 적대적인 도구와 지표에 대한 사전 지식에 의존하지 않을 수 있는 시스템이나 네트워크 내에서 잠재적으로 악의적인 활동을 식별하기 위해 행동 탐지 분석을 사용할 수 있습니다. Behavioral Analytics Development 는 공격자가 특정 플랫폼을 활용하여 접속하여 의심스러운 활동을 식별하고 확인합니다.
Defensive Gap Assessment Defensive Gap Assessment 를 통해 조직은 기업의 어떤 부분에 방어 또는 가시성이 부족한지 판단할 수 있습니다. 이러한 부분이 부족하면 적에게 탐지되거나 제한되지 않은 네트워크의 연결로 사각지대가 되어 잠재적으로 이용할 수 있습니다.
SOC Maturity Assessment 조직의 SOC(Security Operations Center)는 네트워크에 대한 능동적 위협을 지속적으로 모니터링하는 기업 네트워크의 중요한 구성 요소입니다.
Cyber Threat Intelligence Enrichment 사이버 위협 인텔리전스는 사이버 위협 및 사이버 보안에 영향을 주는 공격자 그룹에 대한 지식과 멀웨어, 시그니처 등과 관련된 정보가 포함된다.
MITRE ATT&CK 프레임워크에 대해서
사이버 보안 산업 내에서 MITRE ATT&CK Framework은 다양한 벤더사로부터 높은 인기와 보안 위협을 탐지, 조사, 분석, 대응하는데 많이 사용됩니다.
프레임워크는 위의 유스케이스를 기반으로 사이버 보안 관련 문제에 접근하는 방법에 대한 훌륭한 지침을 제공합니다.
[그림 2] MITRE ATT&CK 매트릭스1. 위협 인텔리전스
2. 탐지 및 분석
3. 적(해커) 에뮬레이션 및 레드팀 구성
4. 평가 및 엔지니어링
우리는 위협을 탐지, 조사, 분석, 대응하는데 도움이 되는 해커(적)의 행동에 대한 지식 기반(MITRE ATT&CK)과 분석 기반 플랫폼(Splunk)을 보유하고 있습니다. 더 나은 감지 메커니즘을 위해 이러한 기능을 결합하는 것이 가장 좋습니다.
MITRE ATT&CK 프레임워크가 중요한 이유
MITRE ATT&CK은 가장 방대하게 나열된 공격 기술 자료로서 깊이 있는 기술과 탐지 절차를 제공합니다. MITRE는 기본적으로 킬 체인을 제공할 뿐만 아니라 확장된 다양한 전술을 포함하고 있으며, 상세한 대응 기술 방법을 제공하고 있습니다. 이렇게 잘 조직화된 접근 방식은 보안 컨트롤을 검증하는데 필요한 공격 방법을 체계적으로 선택하고 보안 컨트롤 세트를 합리적으로 확장하기 위해 격차를 파악하는데 도움이 됩니다.
MITRE ATT&CK은 해커 행동의 가장 심도 있고 조직적이고 강력하게 뒷받침되는 지식 기반입니다. 보안 컨트롤을 정밀하게 검증하고 보안 틈새에 대한 가시성을 확보할 수 있습니다. 보안 관리는 해결이 필요한 중대한 문제를 신속하고 쉽게 식별할 수 있습니다. 이 객관적인 평가는 사이버 보안 프로그램 및 예산의 우선 순위를 정하고 규모를 확장하기 위한 데이터 중심의 접근 방식을 제공합니다.
Splunk ES 및 ESCU(Enterprise Security Content Update) 정보
Splunk 는 사용자가 모든 소스의 머신 데이터를 모니터링하고 분석할 수 있는 유연한 플랫폼입니다.
Splunk Enterprise Security 는 Splunk Enterprise를 기반으로 구축된 SIEM(보안 정보 및 이벤트 관리) 솔루션입니다.
Splunk ESCU(Content Update)는 Analytic Stories(분석 가이드)와 함께 미리 패키징된 보안 콘텐츠를 제공합니다. 여기에는 공격 기술/전술과 관련된 보안 컨텍스트 및 위험에 대한 지침과 상관관계 룰(시나리오)을 제공하고 있습니다.
[그림 3] Splunk ESCUSplunk의 노터블 이벤트(Notable Event) 및 인시던트 검토 대시보드에 대해 어느 정도 익숙해야 합니다.
노터블 이벤트(notable event): 상관관계 룰에 의해 경고(alert)로 생성된 이벤트로 노터블 이벤트에는 경고 조건(alert condition)에 대한 조사를 지원하고 이벤트에 대한 복구과정을 추적하기 위한 여러 사용자 지정 메타데이터 필드가 포함됩니다.
인시던트 검토(Incident Review) 대시보드: 모든 노터블 이벤트를 표시하고 문제를 신속하게 분류(triage), 할당(assign) 및 추적(track)할 수 있도록 보안 위협이 잠재적으로 높은 가능성이 있는 심각도(severity)를 바탕으로 분류합니다.
마이터어택 평가 성적 우수, AhnLab EPP 활용 방안은?
마이터 엔제뉴이티(MITRE Engenuity)가 실시하는 어택 평가(ATT&CK Evaluation)는 주요 위협 그룹들의 공격 시나리오를 에뮬레이션(emulation)하여, 사이버보안 솔루션에 대한 독립적인 평가를 수행한다. 안랩은 최근 진행된 어택 평가에서 AhnLab EPP와 AhnLab EDR이 우수한 성적을 거두며 탁월한 기술 경쟁력을 입증했다.
이번 글에서는 지난 월간안 3월호에 이어, 세계적인 수준의 보안 역량을 갖춘 AhnLab EPP의 다양한 운영사례들을 살펴본다.
위협 관리 및 대응 관점의 차세대 엔드포인트 보안 플랫폼(Endpoint Protection Platform) AhnLab EPP(이하 EPP)는 기존 포인트 보안 솔루션 중심의 단순한 보안 관리를 넘어 유기적인 엔드포인트 보안 관리 및 운영을 통해 더 강력하고 효율적인 위협 대응을 역량을 제공한다.
다시보는 AhnLab EPP 구성
지난 월간안 3월호 ‘보안 복잡성을 해결하는 AhnLab EPP 활용법’에서 살펴본 EPP 구성 솔루션들을 복기해보면 아래와 같다.
[그림 1] AhnLab EPP 구조도1. V3: 안티 멀웨어
V3는 다양한 경로를 통해 유입되는 악성코드를 원천 차단한다. 다차원 분석 플랫폼을 바탕으로 여러 보안 위협으로부터 컴퓨팅 환경을 안전하게 보호하며, 사전 방역 기능을 제공해 견고한 보안 구축에 기여한다.
2. EPP Privacy Management(EPrM): 개인정보 유출 방지
개인정보 파일이 이동하는 주요 경로를 지속적으로 모니터링하며 개인정보 유출로 의심되는 행위를 원천 차단한다. 개인정보보호 관련 규정에 명시된 기술적 보호 조치를 쉽고 간편하게 수행할 수 있으며, 기업의 개인정보 관련 규제 준수 및 대외 신뢰도 향상에 기여한다.
3. EPP Patch Management(EPM): OS/보안 패치 관리
조직 내 다양한 시스템의 각종 보안 패치에 대한 실시간 중앙 관리 뿐만 아니라 권고 또는 금지 소프트웨어에 대한 설치 및 관리 기능을 제공한다. 운영체제(OS) 뿐만 아니라 기업 및 기관에서 주로 사용하는 소프트웨어 10여 종에 대한 패치까지 지원한다.
4. EPP Security Assessment(ESA): 취약 PC 점검 및 조치
업무용 PC의 보안 상태를 점검 및 감사하고 자동 조치를 통해 전반적인 엔드포인트 보안 수준을 강화한다. 국내 최대 수준인 75 개 점검 항목부터 자동 조치, 백그라운드 조치 등 다양한 기능을 제공해 보안 관리자 뿐만 아니라 일반 임직원들도 간편하게 보안 조치를 수행할 수 있다.
5. EDR: 위협 탐지 & 대응
엔드포인트 영역에 대한 지속적인 모니터링을 통해 위협을 탐지 및 분석하고 최적화된 대응 역량을 제공한다. 차별화된 위협 가시성을 바탕으로 위협의 잠복기(dwell time)를 최소화하고, 알려지지 않은 위협에도 사전 대응할 수 있다.
이번 글에서 다룰 AhnLab EPP 운영사례들은 크게 V3와 EPM, ESA를 활용한 ▲취약 PC 대응 ▲계정 탈취 대응, V3와 EPM, ESA, EPrM을 통한 ▲보안 취약 PC 정보유출 대응 ▲정보유출 의심 시스템 대응으로 요약된다.
AhnLab EPP 운영 사례: 취약 PC 대응 체계 구성
먼저, V3, EPM, ESA를 활용하여 취약 PC에 대응하는 방법을 알아보자. 이 사례에서는 조직이 전사 보안 강화를 위해 필수적으로 운영해야 하는 정기 보안점검을 통해 확인되는 취약 PC에 효과적으로 대응하기 위한 방법을 제시한다.
먼저, PC 취약점 점검 결과 사내권고 보안규정에 미달하는 PC에 대해 효과적인 관리 및 대응 체계를 구성할 필요가 있다. 이 때, EPP를 통해 전사 임직원 PC를 자동 검사하고 이슈 발생 PC를 탐지하여 안정적인 관리 체계 구성이 가능하다.
취약 PC 대응 체계 구성을 위해서는 다음과 같은 운영 조건을 갖춰야 한다. 먼저, EPP 콘솔을 통해 사용자 PC의 ESA 점검 정책이 정상 적용 중인지, 주기적인 PC 보안 점검이 수행되는지 확인이 필요하다. 또, PC 보안 점검 점수가 사내 보안 기준 미달인 사용자 PC를 탐지하고 최근 검사 이력 확인을 통해 설정된 조건에 부합하는 PC 확인 시 연계 규칙을 바탕으로 탐지 및 대응한다.
연계 정책은 EPP 콘솔에서 다음과 같이 세팅한다. 우선, 취약 PC 탐지를 위해 ESA 보안 점검 점수를 특정 점수 이하(예: 50점)로 설정한다. 이후, 대응 정책으로 EPP를 통해 사내 PC 보안권고 점수인 80점까지 올려야 한다는 공지사항을 발송한다. 이어서 ESA의 PC 보안 점검을 실행해 최신 점수를 재확인하고, PC 보안 점검 항목에 대해 모든 조치를 수행하면 조직 내 모든 취약 PC를 효과적으로 관리 및 대응할 수 있다.
AhnLab EPP 운영 사례: 계정 탈취 대응
실제 비즈니스를 운영하다 보면, 임직원 PC 대상 윈도우 패스워드 탈취 악성코드 감염이 발생하여, 전사 보안 강화 및 방역 체계 구성이 필요한 경우가 있다. 해당 사례에서, V3, EPM, ESA를 통해 사용자 계정 탈취 의도가 의심되는 행위 발생 시 제어하는 방법을 알아본다.
이와 같은 상황에서는 EPP 콘솔을 통해 패치 금지/허용 시간, 패치 적용 범위 설정이 정상 적용 중임을 확인해야 한다. 그리고, PC 보안 점검 점수가 기준 미달이며 특정 취약점을 보완하는 보안 패치가 미적용된 PC를 탐지해야 한다. 최근 검사 이력을 확인하여 설정된 조건에 부합하는 사용자 PC를 탐지하고, 해당 규칙에 부합한다면 연계 규칙을 통한 탐지 & 대응이 가능하다.
설정되어야 하는 연계 정책은 다음과 같다. 먼저, 탐지를 위해 V3에서 악성코드 유출 행위로 의심되는 악성코드 명을 입력하고, EPM에서 악성코드 취약점으로 확인되는 보안 패치명을 등록한다. ESA로는 PC 보안 점수의 사내 보안 정책 기준점을 입력한다.
이후, 대응 관점에서 악성코드 확산 방지를 위해 모든 공유 폴더를 해제하고 대상자들에게 취약점 관련 공지사항을 전달한 뒤 EPM을 통한 미적용 패치를 수행한다. 이어서, V3를 통한 악성코드 검사와 ESA를 활용한 PC 보안 점검 정책을 설정한다.
위 내용을 바탕으로 계정 탈취 대응 프로세스를 정리하면 다음과 같다. 먼저, 공지사항을 배포해 사내에 보안 위협을 알린다. 이후, 악성코드 확산 방지를 위해 공유 폴더 해제, 네트워크 차단 및 보안 패치 적용을 수행한다. 최종적으로 악성코드 검사를 통해 숙주를 제거하고 PC 보안 요구 점수를 상향시켜 보안을 강화한다.
AhnLab EPP 운영 사례: 보안 취약 PC 정보유출 대응
기업에서는 악성코드 감염 이슈가 확인되는 내부 사용자 PC에 정보유출 의심 행위가 발생하여 보안 강화를 위한 대응 체계 구성이 필요한 경우가 있다. 이 때, V3, ESA, EPrM, EPM을 활용하면 효과적인 대응이 가능하다.
해당 사례의 대응 체계 구성을 위해서는 다음의 조건들을 충족해야 한다. 개인정보 실시간 탐지 및 대응을 위해 뉴런 검사(실시간 감시)를 사용하고, ▲악성코드 및 평판 기반 탐지 횟수가 다수인 PC ▲ 개인 정보 유출이 의심되는 PC ▲사내 필수 혹은 권장 소프트웨어인 DRM(문서보안 솔루션)이 미 설치된 사용자 PC를 탐지해야 한다. 이후, 다른 사례들과 마찬가지로 설정된 조건에 부합하는 사용자 PC 확인 시 연계 규칙을 통해 탐지 및 대응한다.
연계 규칙 조건은 다음과 같이 설정한다. 먼저 탐지를 위해 V3와 EPrM을 통해 각각 악성코드 및 평판 기반 탐지 횟수와 개인정보 유출 의심 탐지 횟수가 ‘3분에 10건 이상’ 발생하는지 확인한 뒤, EPM을 통해 DRM 미설치 여부를 탐지한다. 이후 대응 관점에서, EPP를 통해 공지사항을 전달하고 모든 공유 폴더를 해제해 악성코드의 네트워크 전파를 차단한다. 이후 EPM의 소프트웨어 설치 점검으로 DRM 솔루션을 강제 설치한 뒤, EPrM을 통해 개인정보 현황을 공지하면 된다.
AhnLab EPP 운영 사례: 정보유출 의심 시스템 대응
마지막으로, 정보유출이 가능한 사용자 시스템 및 개인 정보 처리 취약 사용자에 대한 탐지 및 대응도 필요하다. 이에 대해, 위 사례와 마찬가지로 V3, ESA, EPrM, EPM을 활용한 대응 방안을 소개한다.
기본적으로 ▲정보 유출 행위를 하는 악성코드의 감염 이력이 있는 PC ▲처리되지 않은 개인정보 파일을 보유중인 PC ▲PC 보안 점검 점수가 사내 보안 기준 미달인 PC ▲보안 패치 적용률이 사내 권장 설정 이하인 PC를 포괄적으로 탐지해야 한다.
이를 위한 연계 규칙 조건은 다음과 같이 설정한다. 먼저 V3에서 의심되는 악성코드 진단명을 ‘Like’ 검색어로 등록한다. 그리고, EPrM에서 개인정보 미처리 파일 보유 개수가 10건 이상, ESA에서 PC 보안 점검 점수가 80점 미만, EPM에서 권장 보안 패치율이 50% 이하인 사용자를 탐지한다.
이후, EPP를 통해 공지사항을 전달하여 보안 점검이 필요함을 고지하고 공유 폴더 해제를 통해 악성코드 네트워크 전파를 차단한다. ESA와 EPrM은 PC보안 점검과 패치를 수행하여 사용자 PC의 패치 적용률을 향상시키고, EPrM은 사용자가 PC 개인정보 현황을 확인할 수 있도록 알림 캠페인 ‘Privacy Day’ 실행하도록 설정한다. 이를 통해 기준을 상회하는 높은 PC 보안 권고점수, 보안 패치 적용률 상승 및 캠페인을 통한 직원들의 보안 현황 인식 제고를 바탕으로 사내 보안 체계를 강화할 수 있다.
위에서 다룬 EPP 운영사례들은 아래 웨비나 영상들을 통해서도 확인할 수 있다.
►AhnLab EPP 운영 사례 웨비나 바로가기(2)
►AhnLab EPP 운영 사례 웨비나 바로가기(3)
마이터어택 평가에서 고도화된 위협 & 탐지 대응 역량 입증
이처럼 다양한 케이스에 걸쳐 기업의 보안 체계를 강화하는 AhnLab EPP는 최근 마이터 엔제뉴이티(MITRE Engenuity)가 실시한 어택 평가(ATT&CK Evaluation)에서 우수한 성적을 거뒀다. 이번 평가에는 총 30개 글로벌 보안 기업들이 참가했으며, 안랩은 AhnLab EPP와 위협 탐지 & 대응 솔루션 ‘AhnLab EDR(Endpoint Detection and Response)’로 평가에 임했다.
올해로 4회차를 맞은 어택 평가는 위협 그룹 위자드 스파이더(Wizard Spider)와 샌드웜(Sandworm)을 시뮬레이션했다. 위자드 스파이더는 금전 탈취를 목적으로 하며, 지난 2018년 8월부터 대기업, 병원 등 다양한 조직들을 대상으로 랜섬웨어 공격을 펼쳐오고 있다. 러시아 공격 그룹인 샌드웜은 2015년과 2016년 우크라이나 전력망 공격과 2017년 낫페트야(NotPetya) 공격 등을 감행하며 전 세계에 이름을 알렸다.
지난해에 이어 2년 연속 어택 평가에 참가한 안랩은 엔드포인트 통합 보안 플랫폼 전반에 걸쳐 비약적인 발전을 이뤄냈다. 특히, AhnLab EPP와 AhnLab EDR은 마이터의 공격 전술 및 기법 지식 기반 ‘어택 프레임워크(ATT&CK Framework)’를 적극 반영해온 결과, 이번 평가에서 세계적인 수준의 위협 탐지 및 대응 역량을 선보였다.
[그림 2] MITRE ATT&CK Evaluation Round 4 참가 인증 뱃지총 19개 단계로 구성된 탐지(Detection) 평가에서 AhnLab EPP와 AhnLab EDR은 최초 침해(Initial Compromise)부터 감염(Impact)까지 공격의 전체적인 흐름을 쉽게 파악할 수 있도록 체계적인 ‘맥락’을 제공했다. 이를 통해, 다양한 공격 전략(Techniques), 전술(Tactics) 및 기법(Procedures)을 활용하는 최신 위협에 맞서 직관적이고 심도 있는 탐지 역량을 입증했다.
또한, 대응 관점에서도 실용적이고 쉽게 적용 가능한 위협 알림을 제공하며 차별화된 가용성을 선보였다. 점점 더 많은 기업들이 보안 복잡성과 위협 알림으로 인한 피로감으로 고심하는 가운데, 안랩은 이번 평가에서 좋은 결과를 얻으며 그간 중점을 두었던 강력한 보안과 가용성 간 균형의 가치를 재확인했다.
애쉬윈 라다크리슈난 (Ashwin Radhakrishnan) 마이터 엔제뉴이티 어택 평가 총괄 매니저는 “이번 평가를 통해 참가 벤더들의 제품에 괄목할만한 성장이 있었음을 확인했다. 또한, 위협 정보에 기반한 보안 역량에 더욱 중점을 두는 모습을 보이고 있으며, 이로 인해 어택 프레임워크의 중요성도 높아지고 있다.” 고 말했다.
안랩 전성학 연구소장은 “고객들을 위해 더 나은 보안 플랫폼을 만들고자 꾸준히 기울여왔던 노력이 이번 평가 결과를 통해 나타나게 되어 굉장히 기쁘게 생각한다. 앞으로도, 고도화된 위협에 대한 보안 역량을 검증하는 어택 평가에 지속적으로 참여하여 글로벌 기준에 부합하는 대응 체계를 갖추고 자사 보안 플랫폼을 발전시켜 나가겠다.”고 밝혔다.
AhnLab EPP 구성 솔루션으로 이번 어택 평가에 함께 참여한 안랩의 위협 탐지 & 대응 솔루션 ‘AhnLab EDR’의 운영사례는 다음 문서를 참고하면 된다.
►AhnLab EDR 운영사례 바로가기
키워드에 대한 정보 마이 터 어택
다음은 Bing에서 마이 터 어택 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 MITRE ATT\u0026CK기반의 알려지지 않은 타깃 공격 대응
- internet
- security
- cybersecurity
- antivirus
- scam alert
- Trend Micro
MITRE #ATT\u0026CK기반의 #알려지지 #않은 #타깃 #공격 #대응
YouTube에서 마이 터 어택 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 MITRE ATT\u0026CK기반의 알려지지 않은 타깃 공격 대응 | 마이 터 어택, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.