MITRE ATT&CK 위협 프레임워크는 오늘날 어디에나 있는것 처럼 보이고, 분명히 존재하는 목적과 이유가 있습니다. 이 툴은 위협 행위자가 사용하는 전술 및 기술을 다양하게 이해하는데 매우 유용한 도구입니다. 이 위협프레임워크는 위협탐지 방법에 대한 자세하고 세분화된 방법을 제공하며, 이를 통해 데이터를 유용하고 유익한 방식으로 시각화할 수 있는 기능을 제공합니다. 위협 인텔리전스, 위협 탐지, 빨간색/파란색/보라색과 같이 분류를 하기에 기업보안 내에서 다양한 측면을 지원하는 데 사용할 수 있습니다. 또한 전략적 사고와 계획에 대한 정보도 제공할 수 있습니다.
위협 탐지 공간, 특히 SIEM 내의 탐지 규칙부분에서 MITRE ATT&CK를 가장 잘 활용하는 방법에 알아보는 것이 이번 기사의 의도 입니다. 이를 알기 위해서는 ATT&CK이 잘하는 것과 한계가 있는 부분을 이해해야 합니다. 다른 말로 물어본다면, 당신이라면 ATT&CK와 SIEM 룰을 사용하였을 때 어떤 것을 기대할 수 있을까요?
The MITRE ATT&CK threat framework is seemingly everywhere these days, and with good reason. It is an invaluable tool for understanding the various methods, or as MITRE refers to them Tactics and Techniques, employed by threat actors. It offers annotated and curated details about those methods, and it provides the capability to visualize this data in useful and informative ways. It can be used to support a variety of aspects within a security organization including threat intelligence, threat detection, red/blue/purple teaming, and more. It can also inform strategic thinking and planning.
For purposes of this article, the focus is on how best to utilize MITRE ATT&CK in the threat detection space, and specifically the detection rules within your SIEM. To do that, we need to understand what ATT&CK does well, and where it is limited. To put it another way, what should your expectations be when it comes to ATT&CK and your SIEM rules?
처음부터 ATT&CK를 사용하는 이유
기업의 사이버 보안을 책임지는 팀리더가 한밤중에 팀에게 큰 소리를 내거나 스스로에게 끊임없이 묻는 질문은 '기업을 보호하기 위해 적절한 방어 장치가 마련되어 있는지 어떻게 알 수 있는가?' 입니다. 간단히 말해서, ATT&CK은 위협 행위자가 기업의 환경에 침범하려고 할때 시도할 수 있는 잘 알려진 방법의 구성하도록 합니다. 이러한 방법을 통해 기업은 현재 탐지할 수 있는 위협과 부족한 탐지기능을 결정한 다음 이상과의 격차를 좁힐 계획을 세울 수 있습니다.
ATT&CK는 기업의 모든 보안 제어 및 기술 전반에 걸쳐 사용되어 적용되는 전체 그림을 이해하는데 도움을 줄 수 있습니다. 그러나 이를 SIEM의 감지 기능을 이해하기 위해 사용하는 경우, 그림의 많은 부분들이 처음부터 논리적으로 제공되어야 합니다.. 그 이유는 이론적으로 SIEM이 보안 경고의 중앙 집중식 지점이기 때문입니다.
Why Use ATT&CK in the First Place
The question that is perpetually asked by leaders responsible for an organization’s cybersecurity — either out loud to their teams or to themselves in the middle of the night is: how do I know the right defenses are in place to protect the organization? Simply put, ATT&CK provides a construct of the known methods in which threat actors may attempt to compromise your organization. From this, you can determine which of these methods your organization is able to detect currently, those in which your detection capability is lacking, and then build a plan to close the gap.
ATT&CK can (and arguably should) be used across all your organization’s security controls and technologies to obtain a full coverage picture. Using it to understand your SIEM’s detection capability, however, should provide much of that picture and is a logical place to start. The reason for this is because, in theory, your SIEM is the centralized point for security alerting.
경고 알람이 나타나는 전략과 기술을 SIEM 룰과 연결시키면, 두 가지 일이 발생하기 시작합니다. 먼저 룰셋트에 어떤 탐지 기능이 있는지 합리적으로 정확하게 파악하기 시작합니다. 두 번째로 더 중요한 것은 룰셋을 이해하기 시작한다는 것입니다. 이 두가지는 같은 이야기가 아닙니다. 첫 번째는 어디까지 기업이 위협을 파악하고 있는지에 대한 범위가 있고 이에 대해 답할 수 있게 하는 것이라면 두 번째는 첫번째 대답에 대한 이유에 대해 상세하게 이야기 할 수 있게 합니다. 이 정도로 ATT&CK와 관련해서 안다면, 이 규칙 집합의 적용 범위의 뉘앙스를 설명할 수 있으므로 시간이 지남에 따라 이를 개선할 수 있는 더 나은 상황을 만들어 줍니다 .
예를 들자면, 만약 25가지 유형의 랜섬웨어를 탐지하는 규칙이 있는 경우 규칙 집합은 Impact Tactic에 크게 치우친 것처럼 보입니다. 그러나 동일한 25가지 유형의 랜섬웨어를 탐지하는 방식으로 구성된 하나의 룰이 있는 우 적용 범위 연결 그래픽 표현이 매우 다르게 보일 수 있습니다. 분명히 두 시나리오 모두 동일한 효과를 가지며 두 접근 방식 모두에 대해 일리가 있는 방식으로 어느 쪽도 옳고 그름이 아닙니다. 그러나 커버리지 시각화는 상당히 다르게 보일 수 있습니다. 해당 세부 수준에서 룰셋을 알면 그렇게 보이는 이유를 이해하고 설명할 수 있습니다. 둘 다 서로 다른 이유로 중요하지만 그 이유를 알면 SIEM 규칙 로드맵 관점에서 올바른 결정을 내릴 수 있는 더 강력한 위치에 있게 됩니다
By mapping each SIEM rule to the Tactic(s) and Technique(s) on which the rule can alert, two things begin to happen. First and obviously, you begin to gain a reasonably accurate picture of what detection capability exists in your ruleset. Second, and arguably more important, you begin to gain an understanding of your ruleset. These two are not the same thing. The first enables you to answer the question as to what coverage exists, while the second enables you to defend that position and answer why. Knowing your ruleset at this level as it relates to ATT&CK enables you to explain the nuances of the coverage that exists, which better positions you to be able to improve it over time.
For example, if you have rules in place to detect 25 different types of ransomware, your ruleset will look as if it is heavily skewed to the Impact Tactic. However, if you have one rule that is constructed in such a way that it detects those same 25 types of ransomware, the graphical representation of your coverage map can look very different. Obviously, both scenarios have the same net effect, and neither is right or wrong as a strong argument can be made for both approaches. But depending on your coverage visualization(s), it can look quite different. Knowing your ruleset at that level of detail will allow you to understand and explain why it looks the way that it does. Both are important for different reasons but knowing why puts you in a stronger position to make the right decisions from a SIEM rule roadmap perspective.
ATT&CK 사용 시 기대할 수 있는 사항
ATT&CK을 활용하면 SIEM 규칙 적용범위에 연결 및 계획을 할 때 무엇을 기대할 수 있을지 예상을 할 수 있습니다. 이 프레임의 적용범위를 다른 유사한 기업과 비교하려는 자연스러운 일입니다. 이는 상식 수준의 가치를 제공할 수 있지만, 적어도 두 가지 이유로 위협 탐지 기능을 개선하는 데 있어 실질적인 이점은 거의 없습니다.
- 비교 대상 기업의 탐지 능력을 갖춘 성숙도가 매우 높다는 가정으로 시작하는데, 이 생각이 얼마나 유효한지 알 수 없다는 것입니다. 게다가, 만약 발견되지 않은 위반사항이 있는 경우, 비슷한 산업에서 일하는 동료들이 시후에 일어난 일에 대해 인정하거나 관심을 갖지 않습니다.
- 이들은 기업간에는 유사할 수 있지만, 기술, 조직 및 아키텍처 선택에 있어 기업별로 상당한 차이와 뉘앙스를 가지고 있으므로 비교하였을때 가치가 거의 없을 수 있다는 것입니다.
What to Expect From Using ATT&CKThis leads to what your expectations should be for ATT&CK when utilizing it for SIEM rule coverage mapping and planning. There is a natural inclination to want to compare your organization’s coverage to other similar organizations. While that is understandable and can provide some value, that provides very little actual benefit in improving your threat detection capability for at least two reasons:
- There is a built-in assumption that the organizations against which you are comparing are very mature with their detection capability and you won’t know how valid that assumption is. Besides, if you have a breach that went undetected, it will not be a reasonable item to list on the postmortem that the peers in your industry didn’t have that coverage either.
- While they may be similar to your organization, they will have enough difference and nuance in their technological, organizational and architectural choices that it will almost certainly not be a worthwhile comparison.
대신 ATT&CK를 사용하여 기업의 탐지 기능에 대한 이상적인 비전과 비교하는 것이 좋습니다. 이러한 방식의 기준점은 사용자가 만든 벤치마크가 될 것이어서, 시간이 지남에 따라 기업의 환경과 위협 환경 자체의 변화로 인해 같이 변경이 될 수 있기 때문입니다. 첫번째로 당신이 소속된 기업이 가장 적합한 전술 및 기법을 먼저 이해하고 문서화하여 이 맞춤형 벤치마크를 만들어 보세요. (해당되지 않는 기술도 있을 수 있음) 둘째, 이러한 전술 및 기술과 비교하여 자신의 역량을 평가합니다. 셋째, 탐지 기능이 없는 항목에 우선 순위를 매긴 다음 격차를 줄이기 위한 계획을 수립합니다.
다음 시각화에서는 규칙 개선 작업 전후에 SIEM 규칙이 다루는 기법을 설명합니다. 어두운 색상은 해당 기법에 정렬된 규칙 수가 더 많다는 것을 나타냅니다. 이 예에서는 특권 확대 및 방어 회피 내의 기법에 특별한 주의를 기울였습니다.
Instead, use ATT&CK to compare your organization to an ideal vision of your organization’s detection capability. This will be your customized benchmark — although keep in mind that it changes over time due to changes both in your organization’s environment and the threat landscape itself. You create this customized benchmark by first understanding and documenting the Tactics and Techniques that are most applicable to your organization (there will be some that do not apply). Second, assess your capability against those Tactics and Techniques. Third, prioritize those for which you don’t have detection capabilities, and then create a plan to close the gaps.
The following visualization depicts the Techniques covered by SIEM rules before and after a rule enhancement effort. The darker colors represent a higher number of rules aligned to that Technique. In this example, specific attention was paid to the Techniques within Privilege Escalation and Defense Evasion.
Resource: https://securityintelligence.com/posts/mitre-attck-siem-rules-expectations