MITER Engenuity ATT&CK의 네 번째 라운드 평가 결과 발표가 가까이 다가왔습니다.MITER Engenuity는 ‘승자’를 선언하는 보고서가 아닙니다. 즉, 참가 벤더와 사이버 보안의 기술에 대해, 전체적인 스코어나 랭킹의 평가를 실시하지 않는 점을 명확하게 하고 있습니다. 그리고 이러한 점수와 순위를 대신해 사이버 공격 단계에서 각 회사의 보안 제품과 서비스가 어떤 위협 탐지를 수행했는지 매우 투명한 보고서를 공개하고 있습니다. 보고서는 가시성 및 위협 감지에 대해 네 가지 범주를 기반으로 평가 결과를 발표합니다.
그런데 각 벤더가 스스로를 ‘승리자’로 홍보하려고 독자적인 해석이나 위치설정 블로그나 보도자료를 실시하고 있기 때문에 공개된 결과를 제대로 확인하고 파악하는 것은 어려워지고 있습니다. 각 공급업체의 고유한 위치 지정은 보안 팀에게는 정말 필요한 정보가 될 수 없습니다. MITER Engenuity 리포트는 어디까지나 보안 목표를 진행시키기 위한 정보입니다.
이 블로그에서는 최신 MITRE Engenuity ATT & CK 평가에 대해 알아야 할 사항, 평가가 비즈니스에 무엇을 의미하는지, 보안 도구를보다 잘 이해하고 활용하기 위해 어떻게 구현해야하는지 설명합니다
ATT&CK 프레임워크
MITRE는 EDR(Endpoint Detection and Response) 의 공통 언어가 되었으며 SOC에 실행 가능한 정보를 제공하는 제품의 능력을 평가하는 실질적인 방법입니다. 현재 3년 동안 MITRE Engenuity는 업계와 정부 기관이 보안 위협에 대처하고 위협 탐지 기능을 개선하기 위해 더 나은 결정을 내릴 수 있도록 사이버 보안 제품에 대한 독립적인 평가를 수행했습니다. 평가는 ATT&CK 프레임워크를 활용하여 ATT&CK 프레임워크 컨텍스트 내에서 실제 사이버 공격을 자동으로 감지하고 대응하는 능력에 대해 다양한 벤더를 평가합니다.
MITER Engenuity ATT & CK Enterprise 네 번째 테스트
최근의 평가를 ‘Enterprise 4’ 평가라고 합니다. MITRE ATT&CK ®지식 기반의 관점에서 MITRE Engenuity는 Enterprise 4 평가를 Wizard Spider와 Sandworm이라는 두 가지 위협 행위자에 집중했습니다. 이 두 위협 행위자는 복잡성, 시장과의 관련성, MITRE Engenuity 스태프가 적대자를 얼마나 잘 모방할 수 있는지에 따라 선택되었습니다.
- Wizard Spider는 2018년 8월부터 주요 기업에서 병원에 이르기까지 다양한 조직을 대상으로 랜섬웨어 캠페인을 수행해 온 금전적 동기를 지닌 범죄 그룹입니다.
- Sandworm은 2015년과 2016년 우크라이나 전기 회사를 대상으로 한 공격과 2017년 NotPetya 공격과 같은 주목할만한 공격을 수행하는 것으로 알려진 파괴적인 러시아 위협 그룹입니다.
Evals 팀은 Impact (T1486) 기술을 위해 암호화된 데이터를 남용하는 두 개의 위협 그룹을 에뮬레이트하기로 결정했습니다. Wizard Spider의 경우 널리 알려진 Ryuk 악성코드(S0446)를 비롯한 랜섬웨어에 대한 데이터 암호화를 활용했습니다. 반면에 Sandworm은 암호화를 활용하여 데이터를 파괴했으며, 특히 랜섬웨어로 위장한 NotPetya 멀웨어(S0368)를 사용했습니다. 올해 평가의 공통된 내용은 “Impact를 위해 암호화된 데이터”이지만 두 그룹 모두 광범위한 취약점 공격후 거래에 대해 상당한 보고를 했습니다.
Enterprise 4 평가 기술의 범위
Wizard Spider 및 Sandworm 평가부터 각 하위 단계에는 해당 하위 단계에 대한 모든 탐지에서 분석가에게 제공되는 최고 수준의 컨텍스트를 나타내는 단일 탐지 범주가 있습니다. 벤더가 탐지 범주 내에서 가장 높은 컨텍스트인 ‘technique’를 수상하면 ‘tactic’, ‘general’ 또는 기타 탐지도 주장할 수 없습니다. 이것은 그들이 받은 ‘number detections’’에 대한 벤더 주장을 난독화하고 단순화하는 데 도움이 됩니다.
이 평가에는 보호 평가도 포함되어 있습니다. 이 평가는 핵심 기술과 전술을 식별하고 기록하는 것이 아니라 차단하는 공급업체의 능력을 결정하기 위해 마지막 평가에서 도입되었습니다. 악의적인 활동을 탐지하는 기능도 중요하지만 오늘날 사이버 위협의 정교함과 장기간에 걸친 100% 예방이 지속 가능하지 않다는 인식을 고려할 때 차단이 선호되는 경우가 많습니다.
조직의 보안 목표를 추진하기 위한 MITRE Engenuity ATT&CK 평가 구현
조직의 보안 목표를 향상시키기 위한 MITRE Engenuity ATT&CK 평가 실행
ATT&CK 프레임워크는 이해 관계자, 사이버 방어자 및 공급업체에게 공통 언어를 제공하여 사이버 보안 운영에 인텔리전스를 적용하는 데 도움이 됩니다. CISO 및 보안 팀은 다음 ATT&CK 프레임워크 모범 사례를 사용하여 보안 태세를 개선할 수 있습니다.
- 사이버 보안 전략 계획
ATT&CK를 사용하여 사이버 보안 전략을 계획하세요. 귀하의 조직 유형에 대해 사용되는 것으로 알려진 기술에 대응하기 위한 방어 체계를 구축하고 네트워크에서 ATT&CK 기술의 증거를 탐지하기 위한 보안 모니터링을 갖추세요.
- 적대적 에뮬레이션 계획 실행
ATT&CK를 에뮬레이션 계획에 사용하여 Red 팀 성능을 향상시키십시오. Red 팀은 특정 위협의 전술과 기술을 정의하기 위해 일관되고 고도로 조직화된 접근 방식을 개발 및 배포한 다음, 방어가 예상대로 작동하는지 확인하기 위해 환경을 논리적으로 평가할 수 있습니다.
- 방어의 틈새 식별
ATT&CK 매트릭스는 Blue 팀이 잠재적 또는 진행 중인 사이버 공격의 구성 요소를 더 잘 이해하여 방어의 격차를 식별하고 이러한 격차에 대한 솔루션을 구현하는 데 도움이 될 수 있습니다. ATT&CK 문서에서는 권장되는 교정조치 및 사용자가 더 잘 적응하는 기술에 대한 제어에 대해 설명합니다.
- 위협 인텔리전스 통합
ATT&CK는 위협 인텔리전스를 사이버 방어 작전에 효과적으로 통합할 수 있습니다. 위협을 특정 공격자 기술에 매핑하여 격차가 존재하는지 이해하고 위험을 결정하며 이를 해결하기 위한 구현 계획을 개발할 수 있습니다.
결과 해석 및 이해를 위해 벤더 FUD 살펴보기
데이터에 대한 실용적인 접근 방식은 과장된 광고를 줄이고 조직의 보안에 대해 정보에 입각한 결정을 내리는 데 도움이 됩니다. MITRE Engenuity는 “승자”를 선언하지 않고 벤더 또는 사이버 보안 기술에 전체 점수, 순위 또는 등급을 할당하지 않는다는 점을 분명히 합니다. 그 대신 매우 투명하며 다른 조직에서 분석 및 해석을 제공할 수 있도록 가시성 및 탐지의 4가지 개별적이지만 관련된 범주를 기반으로 평가 결과를 제시합니다. 이는 벤더 제품을 유리한 관점에서 제시하기 위한 노력의 일환으로 데이터에서 파생된 매우 창의적인 통계보다 선호됩니다. ATT&CK Evals와 관련하여 의심스러운 몇 가지 흥미로운 주장을 보았습니다. 여기에 초점을 맞추는 대신 집중해야 하는 몇 가지 솔루션 기능에 대한 관점이 있습니다.
- 가시성은 우수한 EDR 및 XDR 솔루션의 기초입니다.
뛰어난 EDR 및 XDR 솔루션의 기반은 클라우드의 힘을 활용하여 경제적인 방식으로 대규모 데이터를 소비하고 상호 연관시키는 능력에 있습니다. SecOps 팀에 폭넓은 가시성을 제공하려면 모든 관련 데이터를 놓치지 않고 캡처해야 합니다. 특히 모든 이벤트를 캡처하는 데이터는 EDR의 빌딩 블록이며 테이블 지분 및 주요 MITRE Engenuity 메트릭으로 간주되어야 합니다.
- 자동화된 컨텍스트 및 상관 관계는 경쟁 공격 스토리를 이해하는 데 중요합니다.
상관관계는 원자 데이터 포인트 간의 관계를 구축하는 과정입니다. 상관 관계는 기계에 의해 빠른 속도로 수행되므로 분석가는 수동으로 데이터를 연결하고 귀중한 시간을 낭비할 필요가 없습니다. 또한, 이 상관 관계는 필요할 경우를 대비하여 오랜 기간 동안 원래 컨텍스트에서 액세스할 수 있어야 합니다.
- 경고 통합은 SOC 팀의 부담을 줄이는 데 중요합니다.
더 많은 신호, 더 적은 잡음은 정보 과부하에 직면한 SOC 및 현대 IR 팀의 과제입니다. 인시던트 내의 모든 원격 측정에 대해 경고를 받고 이미 부담을 받은 SOC 팀을 지치게 하는 대신 솔루션이 자동으로 데이터 포인트를 통합 경고로 그룹화하는지 확인하십시오. 이상적으로는 솔루션이 관련 활동을 통합 알림과 연관시켜 캠페인 수준의 통찰력을 제공할 수 있습니다. 이를 통해 필요한 수작업의 양을 줄이고 경보 피로도를 낮추고 경보에 응답하는 스킬셋 장벽을 크게 낮춥니다. 이 모든 것은 더 짧은 봉쇄 시간과 응답 시간의 전반적인 감소의 형태로 SOC에 대한 더 나은 결과로 이어집니다.
- 경고 감지의 지연은 공격자의 물질적 공격을 최대화할 수 있습니다.
공격을 탐지하든, 무력화하든 시간은 중요한 요소입니다. 한 시간에 얼마나 많은 데이터가 유출될 수 있는지 자문해야 합니다. 평가 중 탐지가 지연된다는 것은 EDR 솔루션이 자체적으로 수행할 수 없기 때문에 사람 분석가가 의심스러운 활동을 수동으로 확인해야 함을 의미합니다. 솔루션은 일반적으로 분석 팀이나 샌드박스와 같은 타사 서비스에 데이터를 보내야 하며, 샌드박스는 차례로 데이터를 분석하고 필요한 경우 고객에게 경고합니다. 그러나 이 프로세스의 많은 중요한 부분이 수동으로 수행되므로 공격자가 실제 피해를 입힐 수 있는 기회가 생깁니다. 빠르게 행동하는 공격자들은 인간의 느림에 영향을 받지 않는 기계 속도 자동화로 대응해야 합니다.
향후 전망
SentinelOne은 MITRE Engenuity의 공통 사이버 보안 언어 확장에 열렬한 지원을 하고 있습니다. ATT&CK Evaluations는 돈을 요구하고, 혼란을 일으키고, 인생을 훔치려는 적들로부터 인프라와 자산을 끊임없이 방어하는 보안 최전선에서 사람들을 위한 통합자이자 힘을 증폭시키는 역할을 하기 때문에 중요합니다.
SentinelOne의 4차 MITRE Engenuity ATT&CK® 기업 평가 참여에 대한 세부 정보를 발표하게 되어 기쁘게 생각하며 결과를 게시할 예정입니다. 그동안 SentinelOne Singularity 플랫폼이 조직이 이러한 목표를 달성하는 데 어떻게 도움이 되는지 자세히 알아보려면 무료 데모를 요청하거나 아래의 MITRE 평가 웨비나에 등록해주세요.