ATT&CK D3FEND ENGAGE

ATT&CK

MITRE에서 제공하는 사이버 공격자 행동 및 생명주기 전반에 걸친 악의적 행동 분류 지식 기반

Enterprise, ICS, Mobile이 있으며, OS에 따라 세부적으로도 구분됨. Entreprise가 가장 많이 쓰임.

 

PRE-ATT&CK도 있는데, 위의 ATT&CK이 APT 공격이 수행되는 각 단계를 나타낸다고 한다면, PRE-ATT&CK은 공격이 본격적으로 수행되기에 앞서 사전 준비를 하는 내용을 위주로 담음.

 

근데, 사실 PRE-ATT&CK도 ATT&CK 같이 많은 정보를 담은 매트릭스 형태로 구성되었었는데,

최근 MITRE가 그걸 제거하고 새로운 PRE-ATT&CK을 제공함.

(현재 일자 확인된 바로는 PRE-ATT&CK 보다 극히 적은 내용 분량)

 

추후에 추가되려나..

https://attack.mitre.org/

MITRE ATT&CK®

 

D3FEND

MITRE에서 제공하는 사이버보안 대응책의 지식기반 그래프이다. (내가 많은 관심을 갖고 있다)

ATT&CK ID와 매핑을 해주어, 어떤 ATT&CK 기술 ID에 대한 대응책인지 확인할 수 있다. 

공격, 대응책이 영향을 주는 아티팩트에 연결되어 공격ID와 대응ID가 서로 매핑된다. [큰 메리트가 있다]

이쪽 분야 관련해서 논문을 쓰고 있다

 

그런데, 내용이 다 채워진 게 아니라서ㅜㅜㅜ 베타 업데이트 좀 해조라ㅠㅜ

 

좋은 생각이 있다면, 이 형태를 기업에서 그대로 따와서 자가 보안 솔루션에 적용하여 사용/판매 해도 괜찮을텐데 

MITRE가 제안하는 D3FEND가 100%한다는 보장은 없지만, 나름 ATT&CK을 만든 곳이니 신뢰성을 가질 수 있다고 생각한다. 

 

+) 2022.02.24

줄곧 업데이트가 없다가, 근래 10버전으로 업데이트했다! 0.10.0-BETA-2

 

 

https://d3fend.mitre.org/

D3FEND Matrix | MITRE D3FEND™

 

Shield (engage)

Shield. 이것도 MITRE에서 제공하는 방어자를 위한 것이다.

지금은 engage로 바뀌었는데, 음, 지금은 내용이 많이 수정되었다. (shield와 거의 딴판)

 

D3FEND와 같은 ATT&CK의 대응책 같은 느낌으로 D3FEND보다 일찍 생성되었다. (D3FEND는 21년 6월경 출시)

 

그래서 ATT&CK ID와 SHIELD ID가 1:1로 연결되었으며, 테이블도 제공함

 

D3FEND는 뭔가 공격에 연결된 아티팩트, 아티팩트와 연결된 방어책을 제공하며, 블루팀이 어떻게 대응하면 좋을지 무엇을 해야할지 기술적인 방면에서 정보를 제공한다면,

 

Shield 같은 경우에는 방어책이지만, 적극적인 방어책으로 보면 되겠다 

 

이를테면, D3FEND는 공격이 들어오면, 레지스트리 어디를 본다던지 권한을 어떻게 한다던지 메모리 분석을 어떻게 한다던지 탐지, 대응을 위한 조사 수행을 한다면,

 

Shield는 공격자가 침입해서 어떤 작업을 명령을 수행하면, 블루팀이 바로 즉각적으로 대응 (process 즉각 종료, 경로 삭제, 계정 제거 등) 한다고 보면 된다.

음... 그런데, 이런 기법을 쓰면 공격자가 화가 나서 다른 공격으로 뚫거나 보복 공격을 수행하겠지?

 

그리고 그 외에도 블루팀이 기업이 보안 관련하여 수행할 수 있는 교육수행, 보안 점검 등 이런 관리적인 내용도 좀 들어가 있다.

 

Shield 때도 기술내용이 아예 없던 건 아닌데, 그 때는 관리적인 내용이 좀 많았다면

Engage에는 기술적인 내용이 있긴한데, 구체적이진 않는 정도

 

항목에 따라 D3FEND가 더 구체적일 때도 있고, Shield가 더 구체적일 때도 있다. 

 

https://engage.mitre.org/

Engage Home