CISA, MITRE, 잡초에서 ATT&CK 프레임워크 제거

미국 CISA(Cybersecurity and Infrastructure Security Agency)는 사이버 보안 커뮤니티가 위협 행위자 행동을 MITRE ATT&CK 프레임워크에 보다 쉽게 ​​매핑할 수 있도록 지원하는 무료 도구인 Decider를 출시했습니다.

미국 국토안보시스템 엔지니어링 개발 연구소(HSSEDI) 및 MITRE와 협력하여 만든 Decider는 조직이 자체 인프라 내에서 다운로드 및 호스팅할 수 있는 웹 애플리케이션으로, 클라우드를 통해 다양한 사용자가 사용할 수 있습니다. 프레임워크를 정확하고 효과적으로 사용하는 번거로운 프로세스를 단순화하고 주어진 사이버 보안 조직의 모든 수준에서 분석가에게 프레임워크 사용을 개방하기 위한 것입니다.

ATT&CK: 복잡한 프레임워크

ATT&CK는 보안 분석가 지원 공격자가 달성하려고 하는 것과 프로세스에서 얼마나 멀리 있는지 확인합니다(즉, 초기 액세스를 설정하고 있습니까? 측면으로 이동하고 있습니까? 데이터를 유출하고 있습니까?) 알려진 일련의 사이버 공격 기술과 하위 기술을 통해 주기적으로 확인하고 새로 고칩니다. 분석가는 자신의 환경에서 볼 수 있는 것 위에 매핑할 수 있습니다.

목표는 악당의 다음 움직임을 예상하고 가능한 한 빨리 공격을 차단하는 것입니다. 이 프레임워크는 또한 다양한 보안 도구에 통합될 수 있으며 사고 대응 및 포렌식 조사 중에 동료 및 이해 관계자와 통신하기 위한 표준 언어를 제공합니다.

모두 훌륭하지만 문제는 프레임워크가 매우 복잡하여 예를 들어 올바른 매핑을 선택하기 위해 종종 높은 수준의 교육과 전문 지식이 필요하다는 것입니다. 또한 지속적으로 확장, 산업 제어 시스템(ICS) 및 모바일 풍경, 복잡성을 추가합니다. 대체로 탐색할 수 있는 방대한 데이터 세트이며 사이버 방어자는 이를 사용하려고 할 때 잡초에 빠지는 경우가 많습니다.

“사용할 수 있는 많은 기술과 하위 기술이 있으며 매우 복잡하고 매우 기술적일 수 있으며 종종 분석가는 압도당하거나 상당히 느려집니다. 그들이 선택한 기술이 올바른 것입니다.”라고 CISA의 과장인 James Stanley는 말하면서 이 도구를 사용하는 잘못된 매핑에 대한 불만이 일반적이라고 지적합니다.

“웹사이트를 방문하면 눈앞에 많은 정보가 표시되고 금방 위압감을 느끼게 됩니다. Decider 도구는 전문 지식 수준에 관계없이 분석가가 사용할 수 있는 보다 평이한 언어로 제공합니다.”라고 그는 말합니다. "우리는 이해관계자에게 프레임워크 사용 방법에 대한 더 많은 지침을 제공하고 예를 들어 한밤중에 사건 대응 중에 실시간으로 프레임워크를 사용하여 혜택을 받을 수 있는 하급 분석가가 사용할 수 있도록 하고 싶었습니다."

더 넓은 수준에서 CISA 및 MITRE의 개종자는 Decider가 권장하는 ATT&CK의 사용이 더 우수하고 실행 가능한 위협 인텔리전스와 더 나은 사이버 방어 결과로 이어질 것이라고 믿습니다.

Stanley는 "CISA에서 우리는 위협 인텔리전스를 사용하여 방어에 능동적으로 대응하고 대응하지 않는 데 중점을 두고 싶습니다."라고 말했습니다. "오랫동안 업계에서는 매우 광범위하고 매우 제한된 맥락을 가진 IOC(Indicator of Compromise)를 공유해 왔습니다." 

이와는 대조적으로 ATT&CK는 방어에 유리하도록 경기장을 기울입니다. 세분화되어 있고 조직에 특정 위협 행위자 플레이북을 이해할 수 있는 방법을 제공하기 때문입니다. 특정 환경.

"위협 행위자는 우리가 그들이 하는 일과 수행 방법을 강조하고 프레임워크에 통합하면 그들의 플레이북이 본질적으로 쓸모가 없다는 것을 알아야 합니다."라고 그는 설명합니다. “이를 사용할 수 있는 조직은 업계에서 흔히 사용하는 것과 같이 IP 주소나 해시를 맹목적으로 차단하는 것과는 대조적으로 훨씬 더 강력한 보안 태세를 갖추고 있습니다. 결정자는 우리를 그것에 더 가깝게 만듭니다.”

분석가 접근성을 위한 ATT&CK 단순화

Decider는 프레임워크에서 올바른 전술, 기술 또는 하위 기술을 식별하여 직관적인 방식으로 사건에 맞추는 것을 목표로 공격자 활동에 대한 일련의 안내 질문을 통해 사용자를 안내하여 ATT&CK 매핑에 더 쉽게 액세스할 수 있도록 합니다. 거기에서 이러한 결과는 "발견 공유, 완화 발견 및 추가 기술 감지와 같은 중요한 활동의 ​​범위를 알릴 수 있습니다."라고 CISA의 1 월 XNUMX 일 발표 새로운 도구의.

사전 입력된 안내 질문 외에도 Decider는 모든 보안 분석가가 액세스할 수 있는 단순화된 언어, 관련 기술을 발견하기 위한 직관적인 검색 및 필터 기능, 사용자가 일반적으로 사용되는 형식으로 결과를 내보낼 수 있는 "장바구니" 기능을 사용합니다. 또한 조직은 일반적인 잘못된 매핑 플래그 지정을 포함하여 자체 개별 환경에 맞게 조정하고 조정할 수 있습니다.

MITRE의 CTI 및 Adversary Emulation 부서 관리자인 John Wunder에 따르면 ATT&CK가 궁극적으로 사이버 보안 조직을 위한 기본 백그라운드 도구가 되기를 희망합니다.

"ATT&CK가 뒷전으로 이동함에 따라 내가 정말로 보고 싶은 한 가지는 사이버 보안의 일상적인 운영의 일부일 뿐이며 개별 분석가는 그것에 덜 관심을 기울여야 한다는 것입니다."라고 그는 말합니다. “그것은 우리가 하는 일의 기초를 형성하고 적의 행동을 이해하는 것에 대해 생각해야 하는 것일 뿐 사고 대응을 할 때마다 생각하는 데 많은 시간을 할애해야 하는 것이 아닙니다. Decider는 이를 위한 큰 진전입니다.”

또한 이 도구는 ATT&CK의 구문이 도구 및 보안 플랫폼 전반에 걸쳐 사실상 공통 명명법이 되고 위협 인텔리전스를 공유하는 데 도움이 됩니다.

“ATT&CK가 점점 더 많은 생태계에서 사용되고 모든 사람이 공통 언어를 사용하는 것을 보게 되면 ATT&CK 사용자는 사물을 프레임워크에 정렬하고 이를 사용하여 도구 등을 보다 효과적으로 연관시키는 데 점점 더 많은 이점을 보기 시작합니다. ,”Wunder는 말합니다. "사용하기 쉽게 만드는 Decider와 같은 기능을 통해 점점 더 많은 것을 볼 수 있기를 바랍니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/cisa-mitre-look-to-takeattack-framework-out-of-the-weeds