MITRE ATT&CK 매트릭스를 사용하여 위협 범위 파악
이 문서에서는 Google Security Operations에서 MITRE ATT&CK 매트릭스 대시보드를 사용하는 방법을 설명합니다. 이 매트릭스를 사용하면 MITRE ATT&CK 프레임워크에 대한 조직의 보안 상황을 파악할 수 있습니다. 또한 위협 범위의 격차를 파악하고 보안 작업의 우선순위를 지정하는 데도 도움이 됩니다.
전술 및 기법 이해
MITRE ATT&CK 프레임워크에서 전술과 기법은 공격자 행동을 분류하는 데 사용되는 두 가지 기본 개념입니다.
전술: 공격자가 달성하려고 하는 대략적인 목표입니다. 예를 들어 일반적인 전술에는
Initial Access(네트워크 침입),Persistence(네트워크 내 유지),Exfiltration(데이터 도용)이 있습니다.기법: 전술을 달성하는 데 사용되는 구체적인 방법입니다. 예를 들어 공격자는
Phishing기법을 사용하여Initial Access전술을 얻을 수 있습니다. 각 전술에는 공격자가 사용할 수 있는 다양한 기술이 있습니다.
MITRE ATT&CK 매트릭스에는 다음 전략이 표시됩니다.
| MITRE ATT&CK 전술 | 설명 |
|---|---|
| 컬렉션 | 데이터를 수집합니다. |
| 명령 및 제어 | 제어된 시스템에 연결합니다. |
| 사용자 인증 정보 액세스 | 로그인 및 비밀번호 정보를 도용합니다. |
| 방어 회피 | 탐지를 피합니다. |
| 탐색 | 환경을 파악합니다. |
| 실행 | 악성 코드를 실행합니다. |
| 유출 | 데이터를 훔칩니다. |
| 영향 | 시스템과 데이터를 조작, 방해 또는 파괴합니다. |
| 초기 액세스 | 환경에 액세스합니다. |
| 측면 이동 | 환경을 이동합니다. |
| 지속성 | 거점 유지 |
| 권한 에스컬레이션 | 상위 수준 권한을 획득합니다. |
| 정찰 | 향후 악성 작업에 사용할 정보를 수집합니다.
이 전술은 사용자 환경설정에서 PRE 플랫폼을 선택한 경우에만 매트릭스에 표시됩니다.
|
| 리소스 개발 | 악성 작업을 지원하기 위한 리소스를 설정합니다.
이 전략은 사용자 환경설정에서 PRE 플랫폼을 선택한 경우에만 매트릭스에 표시됩니다.
|
일반 사용 사례
이 섹션에서는 MITRE ATT&CK 매트릭스를 사용하는 몇 가지 일반적인 사용 사례를 나열합니다.
새 위협 권고에 대응하기
시나리오: 사이버 보안 및 인프라 보안국 (CISA)에서 업계를 공격하는 새로운 랜섬웨어에 관한 알림을 발행합니다.
사용자 목표: 탐지 엔지니어가 현재 보안 규칙으로 이 새로운 위협이 사용하는 특정 전술, 기법, 절차(TTP)를 탐지할 수 있는지 알아야 합니다.
단계:
엔지니어가 MITRE ATT&CK 매트릭스를 엽니다.
CISA 알림에 언급된 기법 (예:
T1486: Data Encrypted for Impact,T1059.001: PowerShell)을 강조하기 위해 매트릭스를 필터링합니다.매트릭스에
PowerShell는 잘 다루어져 있지만Data Encrypted for Impact는 '커버리지 없음'으로 표시된 심각한 격차로 표시됩니다.
결과: 엔지니어가 방어에 우선순위가 높은 격차가 있음을 발견합니다. 이제 랜섬웨어 동작을 포괄하는 새로운 탐지 규칙을 만들 수 있습니다.
기존 감지 조정 및 개선
시나리오: 최근 보안 사고 후 보안 엔지니어가 트리거된 감지의 품질을 개선해야 합니다.
사용자 목표: 엔지니어가 특정 기법의 모든 데이터 포인트를 확인하려고 합니다. 이를 통해 기존 규칙에서 최적의 데이터 소스와 로직을 사용하고 있는지 판단할 수 있습니다.
단계:
엔지니어가 매트릭스를 열고 기법
T1003: OS Credential Dumping을 클릭합니다.세부정보 뷰에는 이 기법에 대한 두 가지 규칙이 표시됩니다.
두 규칙 모두 이전 명령줄 로그를 사용하고 있습니다. 하지만 데이터 소스 위젯을 보면 새 EDR 도구가 이 기법에 대해 더 높은 충실도의 데이터를 제공하는 것으로 나타납니다.
결과: 엔지니어가 감지 품질을 개선할 명확한 방법을 찾습니다. 이제 EDR 데이터를 사용하여 더 강력한 새 규칙을 만들 수 있습니다. 이렇게 하면 거짓양성이 줄어들고 복잡한 사용자 인증 정보 덤프 공격을 포착할 가능성이 높아집니다.
시작하기 전에
맞춤 규칙이 매트릭스에 표시되고 위협 범위에 포함되려면 하나 이상의 MITRE ATT&CK 기법에 매핑해야 합니다.
이렇게 하려면 규칙의 metadata 섹션에 technique 키를 추가합니다. 값은 유효한 MITRE ATT&CK 기법 ID 또는 쉼표로 구분된 문자열로 된 여러 ID여야 합니다.
예시: metadata: technique="T1548,T1134.001"
새 규칙은 몇 분 이내에 매트릭스에 표시됩니다.
MITRE ATT&CK 매트릭스에 액세스
MITRE ATT&CK 매트릭스에 액세스하려면 다음 단계를 따르세요.
탐색 메뉴에서 감지 > 규칙 및 감지를 클릭합니다.
MITRE ATT&CK 매트릭스 탭으로 이동합니다.
MITRE ATT&CK 매트릭스가 표시됩니다.
MITRE ATT&CK 매트릭스 사용
매트릭스에는 MITRE ATT&CK 전략이 열로 표시되고 기법이 해당 열 내에 카드로 표시됩니다. 각 기법 카드에는 해당 기법의 현재 상태와 감지 범위의 깊이를 나타내는 색상이 지정되어 있습니다.
커버리지 계산 개선
규칙 유형, 실시간 상태, 알림 상태 목록을 사용하여 커버리지 계산을 조정할 수 있습니다.
기법 검색
검색창을 사용하여 이름 (예: Windows Command Shell) 또는 ID (예: T1059.003), 로그 유형, MITRE 데이터 소스를 기준으로 특정 기법을 찾습니다.
기법 세부정보 및 로그 소스 보기
기법 카드 중 하나를 클릭하여 기법 세부정보 측면 패널을 엽니다. 이 패널은 기법과 조직의 기법 감지 능력에 관한 정보를 제공합니다.
패널에는 다음 정보가 포함됩니다.
MITRE 설명: MITRE ATT&CK 프레임워크의 공식 기법 설명입니다.
연결된 규칙: 해당 기법과 연결된 모든 규칙의 목록입니다.
로그 소스: 지난 30일 동안 활발하게 데이터를 전송한 기법의 MITRE 데이터 소스에 해당하는 로그 소스입니다.
데이터 내보내기
내보내기를 클릭하여 현재 매트릭스 보기를 JSON 파일로 다운로드합니다. 이 파일은 추가 분석을 위해 공식 MITRE ATT&CK 탐색기 도구와 호환됩니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.