올해도 드디어 기다리던 Engenuity ATT & CK Evaluations 2021의 테스트 결과가 곧 발표됩니다. 전세계 보안 전문가가 이 신뢰할 만한 결과를 오랜시간 기다리고 있었습니다. SentinelOne은 지속적으로 MITER Engenuity에 최선을 다해 응하고 있으며, 또 악의적인 위협에 대해 공통의 사이버 대응책을 정의하고 지속적으로 확장 해 나갈 것입니다. ATT&CK Evaluations 이야말로 보안의 최전선에 있는 담당자가 인프라 및 IT 자산을 악의적인 위협으로부터 철저하게 방어하기 위한 유니 파이어 (군사 용어 : 공통 식별자)이며, 포스 멀티 플라이어 ( 군사 용어 : 전력 증강 요소)입니다. 단기간에 걸쳐 혼란을 유발하거나 장기적인 절취 시도에 대해 공격자로부터 보호하기 위한 방어 체계는 계속해서 개발되어 왔습니다. 공급 업체는 ATT&CK 평가 결과만을 단순 이용하기보다는 오히려 평가 체계의 일부로 완전히 채택해야만 , 향후 완벽한 방어 체계 수립과 사고 대응을 더 쉽게, 더 빨리 더 효과적으로 할 수 있습니다.
본 블로그는 CISO와 SOC 분석가, 아키텍트 위해 SentinelOne이 ATT&CK Evaluations 2021를 내부 절차 중 하나로 채택한 상세를 설명하려 합니다. 이를 통해 테스트 결과가 조직에 어떤 의미가 있는지, 보안 도구를 잘 이해하고 사용하기 위해서는 어떻게 해야할 지 이해하실 것입니다.
ATT&CK 프레임 워크 란?
체스에서는 오프닝, 미들 게임, 엔드 게임의 3 가지 전술 게임 단계가 있습니다. 각 게임 단계에는 한 단계에서 다음 단계로 진행하기 위한 여러 전술적 움직임들이 있습니다. 다양한 레벨의 플레이어가 마지막에 도달하기 위해서는 역시 다양한 고급 수준의 기법들을 활용할 수 있습니다.
현실 세계에서는 적에게 대항하기 위해 반드시 도구를 사용하여 약간 다르게 체스 게임을하고 있습니다. 도구가 목적에 대한 방법론과 접근 방식을 제공하고 있기 때문입니다. 정상적인 행동과 비정상적인 행동이 각각 어떤 의미를 가질까를 포함 해 다양한 공격 패턴을 패키지로 묶어두고 있습니다.
이와 같이 ATT&CK 평가를 통해 공격자가 무엇을 어떻게 왜 하는지 다양한 방법을 함께 설명 할 수 있습니다. ATT&CK Evaluations 프레임 워크는 “공격 사이클의 다양한 단계와 사이버 공격자의 행동에 관한 고도의 정교한 기술 자료와 모델”입니다. 목적은 무수한 조합으로 구성 요소가 사용되는 위협 행위자가 향후 어떻게 행동할 것인지에 대한 방법을 예측하기 위해 공통 된 언어 형태로 제공하는 것입니다.
그럼 먼저 설명하는 중요한 개념 단계 입니다. 위협 행위자는 목적을 달성하기 위해 여러 단계를 수행합니다. 일반적인 예는 다음과 같습니다.
초기 액세스 → 발견 → 가로 이동 → 수집 → 추출
직설적으로, 적대자의 궁극적인 전략 (목표)은 데이터를 절취하는 것입니다. 공격 방법은 5 개의 전술 단계로 설명 할 수 있습니다. 처음 액세스 될 1 단계에서 추출 5단계 까지입니다. MITRE Engenuity ATT&CK Evaluations 프레임 워크는 현재 엔터프라이즈 네비게이터 도구의 X 축에 표시되는 14개의 전술로 구성되어 있습니다. ([새 레이어를 만들고, 하나씩 기업 순서로 시도하는 것입니다).
그 중 두 번째로 중요한 개념은 행동 입니다. 행동은 공격자가 공격의 각 단계에서 실시하고 있는 운동입니다. 동작은 각 전술 단계에서 사용되는 방법입니다. 예를 들어, 첫 번째 액세스 (위의 전술 # 1)를 달성하기 위해 공격자는 패치가 적용되지 않은 브라우저의 결함을 이용하거나 침해 된 Web 사이트에 대한 링크를 포함 피싱 메일을 전송할 수 있습니다. ATT&CK 프레임 워크는 현재 14개의 전술에서 편성된 200 개 이상의 기술 (네비게이터 도구의 Y 축)으로 구성되어 있습니다.
최종 목표를 달성하기 위해 여러 기술을 사용한 최초의 전술이 필요하며, 그 목적이 달성 될 때까지 또 다른 전술이 계속됩니다. 특정 단계에 이르기까지의 일반적인 전술을 계층화하여 TTP (전술, 기술, 프로세스)을 접근하고 있습니다.
MITRE Engenuity ATT&CK 평가가 왜 중요합니까?
MITER Engenuity ATT & CK Evaluations 에뮬레이션은 적의 알려진 TTP를 모방하여 구축하고, 이를 관리된 실험실 환경에서 실행되는 것으로, 각 참가 업체 제품의 유효성이 충분히 확인됩니다. MITER Engenuity에 따르면,
“( ATT & CK ) 평가에서는 공격자의 에뮬레이션을 사용하여 테스트합니다. 이렇게 하면 관련 기술의 하위 경우의 수를 모두 검증할 수 있습니다. 에뮬레이션 계획을 생성하기 위해 공개 위협 인텔리전스 보고서를 사용하여 그것을 ATT&CK 에 매핑하고 행동을 복제하는 방법도 결정합니다. “
첫 번째 침해 공격의 지속 행위로서 “가로 이동”이 있습니다. 데이터 유출 등 종합적이고 성공 가능성이 높은 공격의 모든 단계를 포괄하는 완전한 논리적인 공격 수법을 정리하는 것이 그 목적입니다.
ATT&CK 프레임 워크라면 사이버 공격을 방어하는자는 공급 업체에 공통 용어를 제공하고 사이버 보안 운영에 인텔리전스를 가져올 수 있습니다.
다음의 3 가지 장점이 있습니다.
- 전술과 기술의 조합의 관점에서 적의 계획에 대한 통찰력을 얻을 수 있습니다.
- 위협의 정확한 성격을 명확하게 전달하고 깊은 통찰력에 보다 신속하게 대응할 수 있습니다.
- 보편적인 적이 누구이며 그들이 어떻게 우리를 공격하는지 이해함으로써 공격을 둔화시키기 위한 적극적인 방어 체계를 설계 할 수 있습니다.
MITER Engenuity, 이것은 “보통 수준의 공격자 모델”이라고 정의하고 있습니다. 즉, 일반화된 공격 행위들을 목적으로 합니다. Lockheed Martin Cyber KillChain® 같은 높은 수준의 모델에서도 공격자의 목표를 보여줄수 있습니다만, 목표를 어떻게 달성되는지에 대해서는 구체적으로 확인하지 않습니다. 반대로, 익스플로잇 데이터베이스 및 악성 코드 데이터베이스는 거대한 퍼즐에서 IoC의 ‘퍼즐 조각’을 구체적으로 정의하고 있습니다. 그러나 공격자가 그들을 어떻게 사용하는 지 와는 관계 없이 일반적으로 공격자가 누구인지를 특정 할 수는 없습니다.
2021 년 ATT&CK 평가
MITRE Engenuity는 평가시 공급 업체와 협력하기 위해 실질적인 레드 팀과 함께 과제를 수행합니다. 그리고 MITRE Engenuity에 위협 탐지 및 사고 대응을 실시하는 블루 팀도 있습니다. 그 결과 침입자가 실제 공격에 사용할 수 있는 다양한 종류의 접근법을 실제로 알려진 TTP에 따라 에뮬레이트함으로써 보안 제어를 실시간으로 테스트 할 수 있는 ‘바이올렛 팀」을 실현할 수 있게 됩니다.
ATT&CK Evaluation 2019 (시험의 첫 해)는 APT3 (Gothic Panda)를 기반으로하며, ATT & CK Evaluation 2020 APT29 (Cozy Bear) 관련 TTP에 초점을 맞추고 있었지만,
올해 평가 는 금융 위협 그룹 Carbanak과 FIN7 에뮬레이션에 초점을 맞추고 있습니다.
Carbanak과 FIN7 모두 광범위한 영향을 충분히 문서화 한 경험을 가지고 있습니다. Carbanak는 은행과 1,000 명 이상의 개인 고객에 대해 누적 9 억 달러 이상의 도난 사례를 인지하고 있습니다. FIN7 는 전세계의 피해자에서 1,500 만 건을 넘는 고객의 신용 카드 기록의 도난에 관여하는 것으로 알려져 있습니다. 그 악의적인 활동의 뒤에 주요 목표는 직불 카드 정보 등의 기업에서 금융 자산을 훔치거나 또는 재무 부서 직원의 컴퓨터를 통해 금융 데이터에 액세스하고 해외 계좌로 송금 할 수 있는 위협들입니다.
이러한 것들은 알려진 숫자에 불과합니다. 보고되지 않은 많은 문제들은 포함되어 있지 않습니다.
위협 탐지의 품질
ATT & CK는 공급 업체의 성능을 평가하지 않습니다. 대신, 평가는 각 테스트가 그 단계를 진행하면 위협 탐지가 어떻게 발생했는지에 초점을 맞추고 있습니다. SentinelOne은 몇 년간 MITRE Engenuity이 평가 가이드 에 나와 있는 내용에 중점을 두고 왔습니다. 모든 위협 탐지가 같은 수준의 품질인 것은 없습니다. “원격 측정”감지가 적대자의 행동에 대한 최소한의 처리 데이터입니다. 이에 대해 품질 스펙트럼의 반대편인 “기술” 감지가 정보가 풍부하고, 애널리스트를 한 눈에 방향 짓는 수 있는 것은 분명합니다. 일관성있는 기술로 구성된 위협 탐지가 더욱 도구로서 유용합니다.
위협 탐지 유형에 대한 자세한 자료:
- 전술과 테크닉 : 이 도구에서 생성 된 최고 품질의 위협을 감지합니다. 전술 은 (왜 공격자가 그런 행동을하는지? 무엇을 달성하려고하는지?) “활동의 의도”에 대한 정보를 애널리스트에게 제공합니다. 기술 은 “액션이 어떻게 실행되는지”, “무엇이 일어 났는지”를 파악할 수있는 정보를 애널리스트에게 제공합니다.
- General & Telemetry : 이들은 품질 스케일을 더욱 낮춘 본질적으로 더 단순한 위협들을 탐지합니다. 일반적인 위협 탐지 및 텔레 감지 는 그것 뿐이라고 분석가에게 제공하는 컨텍스트가 적기 때문에 RAW 데이터하다고 생각할 수 있습니다. 공급 업체에 기술 이 제공되면 종종 텔레 제공된다는 점에 유의하십시오. 그러나 (도구가 충분한 데이터 포인트를 상호 연결할 수 없기 때문에) 간단한 텔레 만 제공되는 경우는 고급 기술 을 파악할 수 없습니다.
구성 변경 및 지연 : 구성 변경 은 벤더가 테스트 도중 구성을 “미세 조정”한 것을 나타냅니다. 지연 은 처리 지연으로 인해 시험 감독관이 위협 탐지를 즉시하지 못했음을 나타냅니다.
환경에서의 테스트와 보호 테스트의 추가라는 두 가지 중요한 변화도 가져 왔습니다 .
최종 결과는 2021 년 4 월 20 일에 발표 될 예정입니다. 체스 게임의 승자는 누가 될 것인가? 그때까지 기다리고 있습니다.
공급 업체의 위치를 파악하고 CISO 가 결과를 이해하려면?
사실, CISO가 다양한 공급 업체의 위치를 파악하는 것이 중요 과제가 될 가능성이 있습니다. 여기에서는 중요한 지침을 하나 소개합니다.
- 과도한 지연 및 구성 변경 등 많은 위협을 간과하는 업체는 물론 없습니다. 지연이 많은 업체는 일반적으로 도구의 일반적인 워크 플로우의 범위가 아닌 다른 수단을 사용하여 위협 탐지 평가점을 취득하고 있습니다. 즉, 최종 사용자가 동일한 작업을 할 필요가 있습니다. 구성 변경이 많은 업체는 테스트 도중 위협 탐지 기능을 변경할 필요가 있다고 생각됩니다. 변경된 이유와 테스트에서 실제로 게임을 제대로 플레이 할 수 있었는지 여부를 이해하고 있어야합니다.
- 텔레메트리 수가 많은데 기법의 종류 가 적은 업체
사용하는 기술 의 종류가 적은데, 텔레메트리 수가 많다는 것을 과신하고있는 벤더는 이벤트 상관 관계 분석이 자동화되지 않은 도구일 가능성이 있습니다. 점과 점을 연결해서 선으로 보려고 할 때 사고 대응의 지연으로 이어져 더 많은 위험에 연결됩니다.
- 자신의 점수 체계
많은 업체가 실제로 좋지 않았던 결과를 통계 수치를 사용하여 모양을 좋게하고 수정하고 있지만 실질적으로 전혀 의미가 없습니다. “경고마다의 컨텍스트」나 「100 % 감지”(분명히 감지 누락이 있을 경우) 등의 통계도 있습니다. 테스트 보고서 자체를 보아야 합니다.
그러면 제품을 중심으로 인지한 결론이야말로 MITRE Engenuity의 목적에 따라 있다는 것을. CISO 여러분이 이해하실 것입니다.
- EDR 의 가시성 및 범위
뛰어난 EDR 솔루션의 기반이 되는 것은 클라우드의 힘을 활용하여 경제적인 방법으로 데이터를 대규모로 활용 상관 분석 할 수있는 능력입니다. SecOps 팀에 폭 넓은 가시성을 제공하기 위해 관련된 모든 데이터를 (실수가 전혀 없는 상태에서) 캡처해야합니다. 특히 모든 이벤트를 캡처하는 데이터는 EDR의 구성 요소이며, 필수 조건이며, 주요 MITRE Engenuity 지표라고 보고 되어야합니다.
- 시스템 수준에서 구축 된 문맥과 상관 관계 분석은 데이터 포인트 사이의 관계를 구축하는 과정입니다. 상관 분석 시스템에 의해 기계의 속도로 실행되면 애널리스트는 수동으로 데이터를 조합하는 귀중한 시간을 낭비 할 필요가 없습니다. 또한 이 상관 관계 분석은 필요에 따라 원래의 문맥 상태로 장기간 액세스 할 수 있도록 해야 합니다.
- 콘솔 경보 통합 신호가 많아 지는것은 정보 과부하에 직면한 SOC 및 최신 IR 팀에 대한 도전입니다. 사건의 모든 텔레메트리에서 경고를 받고 이미 부담이 걸려있는 SOC 팀을 지치게하는 것이 아니라 솔루션이 스스로 데이터 포인트를 통합하여 자동으로 경보를 그룹화 할 수 있습니다. 이상적인 솔루션은 관련 활동을 통합 경보에 관련된 캠페인 그룹 수준의 통찰력으로 제공 할 수 있습니다. 그러면 필요한 수작업의 양이 줄어들어 경고 피로가 완화되고 경고에 응답하는 스킬 세트 역시 상승됩니다. 이 모든 것이 봉쇄 시간의 단축과 응답 시간의 전반적인 단축 형태로 SOC팀에 더 좋은 결과로 이어집니다.
ATT & CK 프레임 워크를 CISO 가 조직 내에서 활용하려면?
CISO와 보안 팀은 다음의 모범 사례를 사용하여 보안 체제를 개선 할 수 있습니다.
- 사이버 보안 전략 개발 : ATT & CK를 사용하여 사이버 보안 전략을 수립합니다. 조직에 알려진 공격 기법에 대항하는 방어 체계를 구축하고, ATT & CK 기법에 근거한 증거를 감지하기 위한 보안 모니터링을 제공하여 대응 리소스를 줄여 줍니다.
- 적대자 에뮬레이션 계획의 실행 : ATT & CK를 사용하여 레드 팀의 성능을 향상시킬 수 있습니다. 레드 팀은 특정 위협 전술과 기법을 정의하기 위한 일관성있는 조직화 된 접근 방식을 개발 및 배포하고 환경을 논리적으로 평가하여 방어가 예상대로 작동하는지 여부를 확인할 수 있습니다.
- 방어의 차이 분석 : ATT & CK 매트릭스에 의해 블루 팀이 잠재적 또는 진행중인 사이버 공격의 구성 요소를 잘 이해하고 방어 격차를 파악하고 그 격차 솔루션을 구현할 수 있습니다. ATT & CK 문서가 활성화되고있다 기법에 대한 복구 방법과 보완적인 관리 방법을 제안하고 있습니다.
- 위협 인텔리전스의 통합 : ATT & CK라면, 위협 인텔리전스를 사이버 방어의 운용에 효과적으로 통합할 수 있습니다. 위협을 특정 공격자의 수법에 매핑하여 차이가 존재하는지 여부를 이해하고 위험을 판단하고 이를 해결하기 위한 실행 계획을 만들 수 있습니다.
정리
MITRE Engenuity ATT & CK Evaluations는 지속적으로 보안 산업을 발전시키고 있습니다. EDR 분야에 적용되어 가시성 제공과 객관적인 테스트 결과를 가져 오고 있습니다. 보안 리더, 그리고 비즈니스 리더로서 단지 숫자 뿐만 아니라 보안 팀의 부담을 경감하면서 어떤 벤더가 높은 가시성과 고품질의 위협 탐지를 제공할 것인지 종합적으로 검토 할 수 있도록 합니다.
MITRE Engenuity ATT & CK Evaluations2021 의 SentinelOne 테스트 세부 결과를 발표하게 되어 기쁘게 생각합니다. SentinelOne Singularity 플랫폼이 조직의 목표 달성에 어떻게 도움이 되는지에 대해 자세히 알고 싶다면, 자세한 내용을 문의 하시거나 무료 데모를 요청하십시오.