H-ISAC 협업 및 MITRE ATT&CK 모델

의료 및 기타 분야에서 사전 예방적 사이버 방어를 위한 분석 활용

다양한 ISAC이 증가하는 사이버 위협에 대한 방어를 계속 강화함에 따라 MITRE는 사이버 위협 인텔리전스 추적을 혁신했습니다. MITRE ATT&CK 모델은 오늘날 하이테크 사이버 범죄자들이 사용하는 적대적 전술에 대한 전 세계적으로 인정받는 지식 기반이 되었습니다.

이 프레임워크는 사이버 위협 인텔리전스를 수집하는 데 훌륭한 시작점이지만, 사이버 범죄자들이 끊임없이 새로운 전략을 개발하고 있기 때문에 결코 완벽하지는 않습니다. 이 프레임워크의 미래와 다양한 정보 공유 및 분석 센터(ISAC)에 대한 가치는 지속적인 개선에 대한 협력적 접근 방식에 전적으로 달려 있습니다. Pfizer의 보안 솔루션 부문 수석 이사인 윌리엄 반스가 최근 말했듯이, "우리는 모두 함께합니다."

ATT&CK 모델은 어떻게 작동하나요?

ATT&CK 프레임워크는 적대적 전술, 기술 및 일반 지식에 대한 정보를 제공하므로 약어입니다. 이 매트릭스는 안전한 세상을 위해 문제를 해결하는 것을 자랑으로 여기는 비영리 기관인 MITRE Corporation의 아이디어입니다. 연방 자금 지원을 받는 데이터 센터는 전 세계적으로 접근 가능하며 사이버 보안을 포함한 다양한 데이터 기반 연구 활동을 수행합니다.

2013년에 시작된 ATT&CK 지식 기반은 현대 사이버 적대자들이 사용하는 일반적인 전술과 기술을 문서화합니다. 이 모델을 만든 원동력은 개별 전술에 대한 시점적 이해가 아닌 적대자들의 행동을 이해해야 한다는 필요성이었습니다. 사이버 범죄자들의 운영에는 방법이 있으며, 그들을 막는 열쇠는 다음 움직임을 정확하게 예측하는 것입니다.

ATT&CK 모델의 구성 요소는 전술과 기술로 나눌 수 있습니다. 전술은 적이 특정 행동을 수행하기로 선택하는 "이유"를 나타냅니다. 기술은 적이 전술적 목표를 달성하려고 시도하는 "방법"입니다. 두 가지를 결합하면 사이버 범죄자가 취할 수 있는 가능한 행동 또는 다음 단계를 밝히는 데 도움이 됩니다.

ATT&CK 매트릭스는 이러한 전술과 기술의 시각적 표현입니다. 전술의 몇 가지 예로는 지속성, 측면 이동 및 발견이 있습니다. 이러한 전술과 다른 많은 전술에 대해 매트릭스는 각각에 사용할 수 있는 잠재적인 기술을 식별합니다. 예를 들어, 측면 이동에는 로그온 스크립트 및 원격 파일 복사와 같은 17가지 기술이 식별되었습니다.

조직이 ATT&CK 모델로부터 얻는 이점

ATT&CK 모델의 정보를 무장한 조직은 사이버 방어를 사전에 구축하기 시작할 수 있습니다. 경계 방어에 대해 특정 전술이 사용되는 것을 감지하면 매트릭스를 사용하여 적의 잠재적 기술 또는 다음 단계에 대한 방어를 준비할 수 있습니다.

가장 큰 이점은 ATT&CK 모델의 선제적 성격입니다. 디지털 시대의 모든 조직은 어떤 형태의 사이버 보안 소프트웨어와 솔루션을 사용하고 있습니다. 이들은 다양한 수준의 방어 태세를 제공하고, 최소한 기본적인 수준의 보호를 제공합니다. 그러나 성공적인 침해의 가능성은 임박해 있습니다.

모든 조직이 디지털 자산을 성공적으로 보호하려면 적보다 앞서 나가기 위해 노력하는 데 있어 경계해야 합니다. 윌리엄 반스에 따르면, 가장 큰 과제는 광범위한 악의적 활동이 있다는 것입니다. 또한 그는 금융 서비스와 의료 산업이 가장 큰 기관이기 때문에 잠재적인 적에게 타깃이 풍부한 환경을 제공한다는 사실을 인용했습니다. "금융 서비스는 가장 큰 ISAC이지만 의료는 이해 관계자 측면에서 훨씬 더 큰 대중 커뮤니티를 나타냅니다."

협력이 핵심입니다

최근 H-ISAC 스프링 서밋에서는 울려 퍼지는 중심 주제가 있었습니다. 사이버 적대자들의 위협에 맞서기 위해 함께 노력하는 것이 의료뿐만 아니라 모든 산업에 가장 좋은 길입니다.

여기서 MITRE ATT&CK 모델과 H-ISAC(Health Information Sharing and Analysis Center)가 가장 큰 진전을 이룰 수 있습니다. 모델 자체는 관련 기술을 가진 전술을 식별하기 위한 프레임워크를 제공합니다. 그러나 현재 가지고 있는 정보만큼만 좋습니다. H-ISAC 회원 조직이 경험을 공유함으로써 MITRE 지식 기반은 최신 위협으로 지속적으로 업데이트될 수 있습니다.

조직은 이제 Barnes에 따르면 크라우드 소싱이 가능한 일관된 플랫폼을 보유하게 되었습니다. 즉, 모든 엔터티가 각 엔터티의 경험에서 이익을 얻을 수 있습니다. 결과적으로 적보다 앞서 나가는 선제적 보안 조치를 계속 구축할 수 있습니다.

공개의 영향은 무엇입니까?

물론, 이러한 정보의 공개적인 공유는 몇 가지 우려를 불러일으킵니다. 일부 조직은 시장에서의 신뢰성을 손상시키기 때문에 침해를 경험했을 수 있다는 사실을 공유하기를 꺼립니다. 일부는 다른 기관이 경쟁사에 대해 이 정보를 사용하도록 유혹받을 수 있다는 것을 두려워합니다.

Barnes에 따르면, H-ISAC은 회원 기관에 대한 비밀 유지 계약을 사용하여 이 문제를 정면으로 해결했습니다. 이러한 NDA는 부적절한 정보가 대중에게 유출되는 것에 대한 우려를 완화하는 데 도움이 됩니다.

Barnes는 또한 정보 공유가 반드시 실제 침해 사고에 대한 것은 아니라고 언급했습니다. H-ISAC이 MITRE와 협력함으로써 공유되는 정보는 의심스럽거나 악의적인 활동을 식별하는 것에 관한 것입니다. 목표는 침해된 사람들을 비난하는 것이 아니라 새로운 전략과 기술을 식별하여 모든 사람의 이익을 위해 커뮤니티 구성원과 공유하는 것입니다.

공급업체 참여의 장단점

협업 커뮤니티가 계속 성장함에 따라 사이버 보안 공급업체가 자리를 잡기 시작했습니다. 이러한 플레이어를 참여시키는 이점은 그들이 적의 전술과 기술에 몰두하고 H-ISAC 회원 기관에 최전선의 관점을 제공할 수 있다는 것입니다.

Barnes에 따르면, 각 공급업체는 다양한 전술과 기술을 처리할 수 있지만, 각각은 특정 분야를 전문으로 하는 경향이 있습니다. 광범위한 공급업체를 참여시킴으로써 H-ISAC 회원과 MITRE ATT&CK 모델은 다양한 관점에서 이익을 얻을 수 있습니다.

미래는 밝다

현대 디지털 시대에 존재하는 모든 어려움에도 불구하고, Barnes는 낙관적입니다. H-ISAC Spring Summit에서 얻은 가장 큰 교훈 중 하나는 이 H-ISAC 사이버보안 분석 워킹 그룹이 놀라운 일을 이룰 수 있다는 새로운 믿음입니다.

MITRE ATT&CK 모델의 지속적인 성장과 개발은 흥미로운 기회입니다. 의료 분야 전반에 걸쳐 조직에 긍정적인 영향을 미칠 수 있는 가능성은 그 어느 때보다 좋습니다. 또한 Barnes는 H-ISAC 커뮤니티가 다양성과 포용성을 우선순위로 삼았다고 언급했습니다.

사이버 보안 분석 및 기타 작업 그룹에 대한 자세한 내용은 다음을 참조하세요. https://h-isac.org/committees-working-groups/.

• 관련 리소스 및 뉴스