Fortinet 자격증 FCF - 위협 환경 모듈 파트 Part 3

A. 프레임워크

1. 프레임워크 개요

사이버 공격을 더 잘 이해하고 방어하기 위해 사이버 공격을 분류하고 분석하기 위해 개발된 공격의 다양한 단계를 식별, 다양한 전술, 영향 예방 및 대응 전략을 개발하기 위한 구조를 제공합니다. 

 

2. APT(Advanced Persistent Threat)

컴퓨터 네트워크를 체계적으로 공격하기 전에 장기간의 감시 및 계획이 필요할 수 있는 유형의 공격

 

 

B. 사이버 킬 체인(Cyber Kill Chain) 개요

1. 사이버 킬 체인(Cyber Kill Chain)

사이버 킬 체인(Cyber Kill Chain)은 초기 정찰부터 공격 무기화까지 사이버 공격의 단계를 설명하는 7단계 모델입니다. 

첫 번째 단계는 공격자가 대상과 해당 취약점에 대한 정보를 수집하는 정찰 단계입니다.
-> 검색 엔진, 소셜 미디어 및 기타 오픈 소스와 같은 도구를 사용하여 대상 조직과 해당 시스템에 대한 정보를 수집하는 것이 포함될 수 있습니다.

두 번째 단계는 공격자가 표적에 전달할 수 있는 페이로드나 익스플로잇을 생성하는 무기화 단계입니다.
-> 여기에는 바이러스나 트로이 목마와 같은 맬웨어나 기타 악성 코드를 생성하고 이를 감지하기 어려운 방식으로 패키징 하는 것이 포함될 수 있습니다.

세 번째 단계는 공격자가 페이로드를 대상으로 전달하는 전달 단계입니다.
-> 악성 첨부 파일이 포함된 이메일을 보내거나 웹 사이트의 취약점을 악용하여 대상 시스템에 페이로드를 주입하는 것이 포함될 수 있습니다.

네 번째 단계는 공격이 페이로드를 사용하여 대상의 시스템이나 데이터에 액세스 하는 공격 단계입니다.
-> 대상 소프트웨어나 운영 체제의 취약점을 악용하기 위해 페이로드를 실행하거나 페이로드를 사용하여 대상 네트워크에 액세스 하는 것이 포함될 수 있습니다.

다섯 번째 단계는 공격자가 대상 시스템 내에 거점을 구축하는 설치 단계입니다.
-> 여기에는 공격자가 초기 페이로드가 감지되어 제거되더라도 대상 시스템에 대한 액세스를 유지할 수 있도록 허용하는 루트킷이나 기타 악성 소프트웨어를 설치하는 것이 포함될 수 있습니다.

여섯 번째 단계는 공격자가 손상된 시스템과 통신 수단을 설정하는 명령 및 제어 단계입니다.
-> 여기에는 명령 및 제어 서버를 설정하거나 다른 방법을 사용하여 손상된 시스템과 원격으로 통신하는 것이 포함될 수 있습니다.

마지막 단계는 공격자가 공격 목표였던 데이터나 기타 자산을 추출하는 추출 단계입니다.
-> 민감한 데이터를 원격 위치로 복사하거나 손상된 시스템을 사용하여 다른 대상에 대한 추가 공격을 시작하는 것이 포함될 수 있습니다.

 

2. 사이버 킬 체인의 단점

효율성을 감소시키는 몇 가지 가정을 합니다. 사이버 킬 체인의 주요 단점 중 하나는 공격의 출처가 네트워크 외부에 있다고 가정한다는 것입니다.

킬 체인 방법론은 전통적인 방어 방식을 강화하는 것을 목표로 합니다. 부분적으로 사이버 킬 체인의 제한으로 인해 다른 사이버 공격 프레임워크가 등장했습니다.

 

 

C. MITRE ATT&CK 매트릭스 개요

1. MITRE 개요

MITRE는 사이버 공격을 이해하고 완화하기 위한 공통 언어와 접근 방식을 제공하는 끊임없이 발전하는 리소스입니다.

매트릭스는 공격자가 시스템을 손상시키고 정보를 훔치거나 조작하기 위해 사용하는 특정 전술과 방법을 설명하는 일련의 "기술"로 구성됩니다. 이러한 기술은 "초기 액세스", "실행" 및 "방어 회피"와 같이 수행되는 공격 또는 활동 유형에 따라 범주로 그룹화됩니다.

 

2. MITRE ATT&CK 매트릭스의 주요 이점

사이버 위협을 논의하고 분석하기 위한 공통 언어와 프레임워크를 제공한다는 것입니다. 이를 통해 조직은 공격을 보다 효과적으로 예방하고 대응하기 위한 노력을 전달하고 조정할 수 있습니다. 또한 매트릭스는 조직이 가장 중요한 위협과 취약점을 적절한 기술과 범주에 매핑하여 식별하고 우선순위를 지정하는 데 도움이 됩니다.

매트릭스는 공격자가 사용하는 전술, 기술 및 절차(TTP)에 대한 포괄적인 개요를 제공하므로 보안 전문가에게 귀중한 리소스이기도 합니다. 이를 통해 보안 팀은 공격자의 방법과 동기를 더 잘 이해하고 공격을 보다 효과적으로 예방하거나 완화하기 위한 대응책을 설계 및 구현할 수 있습니다.