MITRE ATT&CK 프레임워크 Matrix, Cyber Kill Chain 사이버킬체인

MITRE

 

테크닉/기술을 전술기준으로 분류한 표를 의미함.

열 Column은 전술, 행 Row는 전술 수행에 사용되는 테크닉 정보를 담고있다

Enterprise, Mobile, ICS(산업제어시스템) 버전으로 각각 분류되어 제공된다

 

첫번째에 있는 레콘을 살펴보자

 

 

 

Reconnaissance는 테크닉에 해당하고 아래 테이블에 있는 Scanning IP Blocks는 서브테크닉이다

더 내려가보면 레콘이 단순히 타깃의 정보를 찾는다는 개념에서 더 깊이 들어가서

네트워크 구조 Topology, DNS, 도메인 정보 수집까지 포함한다는걸 알 수 있다

 

 

Mitigations

 

TTPs에 맞게 적용할 수 있는 대응책 Mitigations 매커니즘과 전략이 있다

 

 

MITRE Tactics

 

enterprise 기준 tactic에는 14가지가 있다

이미 다룬적 있는 레콘(정찰)과 비교적 익숙한 권한 상승은 제외하고 하나씩 정리해보자

 

Resource Development	공격에 상요할 인프라, 서비스, 악성코드 등 개발 혹은 구매
Initial Access	네트워크에 침입해서 초기 거점 확보
Execution	악성 행위를 위한 코드를 실행하며 다른 테크닉과 결합 가능
Persistence	크레덴셜 변경 등의 상황에서도 접근이 지속될 수 있게 확보한 거점 유지
Defense Evasion	탐지, 차단 등 방어 체계를 우회
Credential Access	자격 증명에 필요한 인증 정보 탈취
Discovery	타깃에 침투한 후 행동 방법과 전략 수립 전, 시스템이나 네트워크 환경을 관찰해 정보 수집
Lateral Movement	네트워크 내부의 다른 시스템에 침투해 공격 확장
Collection	공격을 통해 탈취하고자 한 데이터 수집
Command and Control	침투에 성공한 시스템과 통신하고 제어
Exfiltration	데이터를 타깃 시스템 외부로 반출
Impact	시스템 또는 데이터를 조작, 방해, 파괴

 

 

Cyber Kill Chain

 

실제 공격에 대한 관찰을 기반으로, 공격 시 거쳐야 하는 절차와 단계를 모델화했다

각 단계별로 대응 전략을 수립하여 위협 요소를 제거하거나 완화, 심지어 복구 절차를 확보하는데 활용

 

 

https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/cyber-kill-chain/

What is the Cyber Kill Chain? Introduction Guide | CrowdStrike