MITRE ATT&CK 매트릭스로 위협 커버리지 파악
이 문서에서는 Google Security Operations에서 MITRE ATT&CK 매트릭스 대시보드를 사용하는 방법을 설명합니다. 이 매트릭스를 통해 MITRE ATT&CK 프레임워크에 대한 조직의 보안 상황을 파악할 수 있습니다. 또한 위협 범위의 격차를 파악하고 보안 작업의 우선순위를 정하는 데도 도움이 됩니다.
전술 및 기법 이해
MITRE ATT&CK 프레임워크에서 적대적 행위를 분류하는 데 사용되는 기본 개념은 다음과 같습니다.
전술: 공격자가 달성하려고 하는 대략적인 목표입니다. 예를 들어 일반적인 전술에는
Initial Access(네트워크 침입),Persistence(네트워크 내 유지),Exfiltration(데이터 도용)이 있습니다.기법: 전술을 달성하는 데 사용되는 구체적인 방법입니다. 예를 들어 공격자는
Phishing기법을 사용하여Initial Access전술을 얻을 수 있습니다. 각 전술에는 공격자가 사용할 수 있는 다양한 기술이 있습니다.하위 기술: 하위 기술은 기술이 실행되는 방식을 더 구체적으로 설명합니다. 전술의 목표를 달성하기 위한 프로세스나 메커니즘을 자세히 설명합니다. 예를 들어
Spearphishing Attachment및Spearphishing Link는Phishing기법의 하위 기법입니다.
MITRE ATT&CK 매트릭스에는 다음 전략이 표시됩니다.
| MITRE ATT&CK 전술 | 설명 |
|---|---|
| 컬렉션 | 데이터를 수집합니다. |
| 명령 및 제어 | 제어된 시스템에 연결합니다. |
| 사용자 인증 정보 액세스 | 로그인 및 비밀번호 정보를 도용합니다. |
| 방어 회피 | 탐지를 피합니다. |
| 탐색 | 환경을 파악합니다. |
| 실행 | 악성 코드를 실행합니다. |
| 유출 | 데이터를 도용합니다. |
| 영향 | 시스템과 데이터를 조작, 방해 또는 파괴 |
| 초기 액세스 | 환경에 액세스합니다. |
| 측면 이동 | 환경을 이동합니다. |
| 지속성 | 거점을 유지합니다. |
| 권한 에스컬레이션 | 더 높은 수준의 권한을 획득합니다. |
| 정찰 | 향후 악성 작업에 사용할 정보를 수집합니다.
이 전략은 사용자 환경설정에서 PRE 플랫폼을 선택한 경우에만 매트릭스에 표시됩니다.
|
| 리소스 개발 | 악성 작업을 지원하는 리소스를 설정합니다.
이 전략은 사용자 환경설정에서 PRE 플랫폼을 선택한 경우에만 매트릭스에 표시됩니다.
|
일반 사용 사례
이 섹션에서는 MITRE ATT&CK 매트릭스를 사용하는 몇 가지 일반적인 사용 사례를 나열합니다.
새로운 감지 기회 파악
목표: 보안 분석가로서 탐지 규칙 범위를 확대하여 조직의 보안 상황을 선제적으로 개선하고자 합니다.
작업: 새로운 감지를 빌드하는 데 필요한 데이터가 있지만 규칙이 없는 영역을 찾습니다.
단계:
MITRE ATT&CK 매트릭스를 엽니다.
규칙 수가 적거나 0인 기법 카드를 매트릭스에서 스캔합니다.
'0개의 규칙'이 표시되지만 사용 가능한 로그 유형이 나열된 기술 카드를 찾습니다.
카드를 클릭하여 기법 세부정보 패널을 엽니다.
로그 소스 목록을 검토하여 신뢰할 수 있는 대량 데이터 피드인지 확인합니다.
결과: 가치가 높은 감지 기회를 식별합니다. 이 기법을 탐지하기 위해 올바른 데이터를 성공적으로 수집하고 있으며 이제 이 적용 범위 격차를 해소하기 위해 새 규칙을 만들 수 있습니다.
새 위협 권고에 대응하기
목표: 사이버 보안 및 인프라 보안국 (CISA)에서 업계를 공격하는 새로운 랜섬웨어에 관한 알림을 발행합니다.
작업: 탐지 엔지니어는 현재 보안 규칙이 이 새로운 위협에서 사용하는 특정 전술, 기술, 절차(TTP)를 탐지할 수 있는지 알아야 합니다.
단계:
MITRE ATT&CK 매트릭스를 엽니다.
행렬을 필터링하여 CISA 알림에 언급된 기법 (예:
T1486: Data Encrypted for Impact,T1059.001: PowerShell)을 강조 표시합니다.행렬을 확인합니다. 매트릭스에
PowerShell는 잘 다루어지지만Data Encrypted for Impact는 '커버리지 없음'으로 표시된 중요한 격차로 표시됩니다.
결과: 방어 체계에서 우선순위가 높은 격차를 발견합니다. 이제 랜섬웨어 동작을 포괄하는 새로운 탐지 규칙을 만들 수 있습니다.
기존 감지 조정 및 개선
목표: 최근 보안 사고 이후 보안 엔지니어로서 트리거된 감지의 품질을 개선해야 합니다.
작업: 특정 기법의 모든 데이터 포인트를 확인하고 싶습니다. 이를 통해 기존 규칙에서 최적의 데이터 소스와 로직을 사용하고 있는지 판단할 수 있습니다.
단계:
매트릭스를 열고 기법
T1003: OS Credential Dumping을 클릭합니다.세부정보 뷰에는 이 기법의 두 가지 규칙이 표시됩니다.
두 규칙 모두 이전 명령줄 로그를 사용합니다. 하지만 데이터 소스 위젯을 보면 새 EDR 도구가 이 기법에 대해 충실도가 더 높은 데이터를 제공하는 것으로 나타납니다.
결과: 감지 품질을 개선할 명확한 방법을 찾습니다. 이제 EDR 데이터를 사용하여 더 강력한 새 규칙을 만들 수 있습니다. 이를 통해 거짓양성이 줄어들고 복잡한 사용자 인증 정보 덤프 공격을 포착할 가능성이 높아집니다.
시작하기 전에
맞춤 규칙이 매트릭스에 표시되고 위협 범위에 포함되려면 하나 이상의 MITRE ATT&CK 기법에 매핑해야 합니다.
이렇게 하려면 규칙의 metadata 섹션에 technique 키를 추가합니다. 값은 유효한 MITRE ATT&CK 기법 ID 또는 쉼표로 구분된 문자열로 된 여러 ID여야 합니다.
예시: metadata: technique="T1548,T1134.001"
새 규칙은 몇 분 이내에 매트릭스에 표시됩니다.
MITRE ATT&CK 매트릭스 액세스
MITRE ATT&CK 매트릭스에 액세스하려면 다음 단계를 따르세요.
탐색 메뉴에서 감지 > 규칙 및 감지를 클릭합니다.
MITRE ATT&CK 매트릭스 탭으로 이동합니다.
MITRE ATT&CK 매트릭스가 표시됩니다.
MITRE ATT&CK 매트릭스 사용
매트릭스에는 MITRE ATT&CK 전략이 열로 표시되고 기법이 해당 열 내에 카드로 표시됩니다. 각 기법 카드에는 해당 기법의 현재 상태와 감지 범위의 깊이를 나타내는 색상이 지정되어 있습니다.
기술 카드에서 다음을 확인할 수 있습니다.
하위 기법 표시기: 작은 색상 표시기는 연결된 하위 기법을 나타냅니다. 각 표시기의 색상은 해당 하위 기술의 규칙 수에 해당합니다. 지표 위로 포인터를 가져가면 지표 이름이 표시됩니다.
하위 기술 전환: 기본 매트릭스를 간소화하고 시각적 노이즈를 줄이려면 보기 옵션 메뉴를 열고 하위 기술 표시 체크박스를 선택 해제합니다.
로그 유형 수: 기법과 연결된 로그 유형을 표시합니다. 기법에 규칙이 0개인 경우 기법 카드에 연결된 로그 유형의 개수가 표시될 수 있습니다 (예: '로그 유형 7개'). 이는 감지 기회를 나타내며, 해당 기법의 규칙을 만드는 데 필요한 데이터가 있음을 보여줍니다.
보장 범위 계산 개선
규칙 유형, 실시간 상태, 알림 상태 목록을 사용하여 커버리지 계산을 조정할 수 있습니다.
기법 검색
검색창을 사용하여 이름 (예: Windows Command Shell) 또는 ID (예: T1059.003)로 특정 기법을 찾습니다. 규칙 이름, 로그 유형 또는 MITRE 데이터 소스의 경우 검색 기준 메뉴를 사용하여 결과를 좁힙니다.
기술 세부정보 및 로그 소스 보기
기법 카드 중 하나를 클릭하여 기법 세부정보 측면 패널을 엽니다. 이 패널은 기법과 조직의 기법 감지 기능에 관한 정보를 제공합니다.
패널에는 다음 정보가 포함됩니다.
MITRE 설명: MITRE ATT&CK 프레임워크의 공식 기법 설명입니다.
하위 기법: 기법과 관련된 모든 하위 기법입니다. 각 ID 옆에 있는 색상 칩은 해당 하위 기술의 규칙 수를 나타냅니다.
선별된 규칙: 해당 기법과 관련된 모든 규칙의 전체 목록입니다.
로그 소스: 지난 30일 동안 데이터를 적극적으로 전송한 기법의 MITRE 데이터 소스에 해당하는 로그 소스입니다.
데이터 내보내기
내보내기를 클릭하여 현재 매트릭스 보기를 JSON 파일로 다운로드합니다. 이 파일은 추가 분석을 위해 공식 MITRE ATT&CK 탐색기 도구와 호환됩니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.