MITRE ATT&CK 프레임워크란 무엇인가요?

사이버보안을 위한 MITRE ATT&CK 프레임워크는 악의적인 행위자들이 활용하는 전술과 절차의 광범위한 모음입니다. 조직이 이러한 유형의 위협으로부터 보호받을 수 있도록 지원하는 것 외에도, 조직은 ATT&CK 프레임워크를 기반으로 공격자를 식별할 수 있으며, 이러한 위협에 대한 방어 체계 분석 및 평가를 위한 공통 참조 라이브러리로 활용할 수 있습니다.  

MITRE ATT&CK 프레임워크를 활용하면 조직은 고급 위협 보안 노력의 효과를 측정하고, 보안 프로그램에서 누락된 보호 영역을 발견하며, 위험 평가 프로세스를 지원하기 위해 위협을 더 잘 정의할 수 있습니다. 또한 조직이 공격 표면을 관리하고 전반적인 위험 상태를 더 잘 정의할 수 있는 체계적인 방법을 제공합니다.  

NetWitness FirstWatch 위협 연구 및 인텔리전스 팀장 윌 그라기도는 “MITRE ATT&CK 프레임워크가 놀라운 효과를 입증했음에도 불구하고, 성실한 연구진들에 의해 지속적으로 업데이트되고 있다”며 “그 채택 속도가 둔화될 기미가 보이지 않는다는 점은 프레임워크의 신중한 설계와 실질적인 실행 가능성을 입증하는 진정한 증거”라고 언급했습니다. 

NetWitness FirstWatch가 위협 인텔리전스를 프레임워크에 매핑하는 방법

NetWitness FirstWatch 팀은 기계가 읽을 수 있는 탐지 콘텐츠, 블로그, 백서 등 다양한 위협 인텔리전스 작업물을 생산합니다. 모든 콘텐츠는 MITRE ATT&CK 프레임워크에 매핑되어 고객에게 NDR, SIEM, EDR 솔루션을 포함한 NetWitness 위협 탐지 및 대응 플랫폼 전반에 걸쳐 명확하고 실행 가능한 정렬성을 제공합니다.

“우리는 고객에게 품질 중심의 실행 가능한 위협 헌팅 솔루션을 제공하기 위해 지속적으로 역량을 발전시키고 있습니다.”라고 NetWitness 최고 제품 책임자(CPO)인 Tod Ewasko는 말합니다. 

MITRE ATT&CK 프레임워크 매핑이 중요한 이유

MITRE ATT&CK 프레임워크는 조직이 사이버 보안 위협 관련 노력을 추진하고 사건 발생 후 조사를 수행할 때 중요한 참고 자료로 자리 잡았습니다. 

• 복잡성 감소 및 효율성 증대: 이는 이제 모든 분석가가 관측 대상에 대해 동일한 정보에 접근할 수 있음을 의미합니다. 따라서 분석가는 이 지식을 활용하여 사전적 위협 탐지/방어 및 사고 후 분석 작업을 이전보다 훨씬 용이하게 수행할 수 있습니다. 
• 소통 및 효율성 향상: 이 프레임워크는 기술 팀과 비기술 팀 모두를 위해 생태계 전반에 걸쳐 사용되는 용어의 명명법 일관성을 보장하며, 양측 모두 용어에 대한 이해도를 높입니다.  
• NetWitness 플랫폼의 정보 강화: 위협 인텔리전스를 MITRE ATT&CK 프레임워크와 연계하고, NetWitness 플랫폼을 신뢰할 수 있는 알려진 위협 정보 소스와 매핑하여 얻은 지식을 활용함으로써 탐지 및 대응 역량을 향상시킬 수 있습니다. 

FirstWatch는 조직이 프레임워크의 지속적인 혜택을 누릴 수 있도록 업데이트를 제공합니다.