SOAR(Security Orchestration, Automation and Response)
SOAR를 통해 SOC(Security Operation Center)의 업무 프로세스를 자동화 및 개선
OSINT(Open Source INTelligence)
: 공개된 출처에서 수집할 수 있는 정보. TIS(Threat Intelligence Service) 및 TIP(Threat Intelligence Platform)등에서 제공되는 정보를 일컫기도 함.
일반적으로 IP, Domain, URL, Hash등과 같은 단편적인 정보 (사고 분석 후 공유되는 정보이므로 이력이 상이할 수 있음)
- OSINT로 attack surface를 찾는 데 도움을 받을 수 있음 > 네트워크에 방어 시스템을 설계하면 attack surface를 줄일 수 있음
* attack surface: 공격자가 네트워크 환경에 진입할 수 있는 수단의 수(노출된 취약점)
- 디지털 공격 표면: 인터넷에 노출된 모든 것
- 물리적 공격 표면: 공격자가 장치에 물리적으로 접근할 때 하드웨어에 수행되는 공격
- 사회 공학 공격 표면: 소셜 엔지니어링을 통해 공격
* ASM(Attack Surface Management): 사이버 공격을 통해 네트워크 구성 요소를 모니터링 및 평가
> 위험 발견, 위험 평가 수행, 점수 평가, 모니터링 및 수정
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) Framework
: MITRE에서 만든 취약점, 약점, Attack Technique, Tactic에 대한 표준적인 데이터셋
* MITRE : 미연방정부의 지원 하에 R&D사업을 증진하는 비영리단체
TTP
Tactics: 공격자의 공격 목표에 따른 행동 (tactic ⊃ technique) WHY
Techniques: 공격자가 tactics에 달성하는 다양한 방법 HOW
Procedure: 절차
MITRE ATT&CK Matrix https://attack.mitre.org/
: 공격 행동을 패턴화하여 Tactics, Techniques, Procedure정보를 Matrix구조로 나타낸 것
현재 Enterprise(범용적인 기업 환경) / Mobile/ ICS(산업 제어 시스템) 버전을 제공하고 있음
Group: 공개적으로 명칭이 부여된 공격 그룹의 정보(공격에 사용된 technique, software목록 매핑)
Mitigation(42개의 mitigation): 방어자가 공격에 대해 예방할 수 있는 technique의 범주, 과거 유사사례에서의 대응책 정보를 활용해 새로운 공격에 대한 해결방안 제시
Engage(7개의 goal): 민간/정부 공급 업체가 적대적 참여 기술 및 전략을 사용하기 위한 방안에 중점 (ex_denial, deception 등)
* shield는 능동적 방어 전략
D3FEND(5개의 tactic): 사이버 보안 대책 지식 기반 프레임워크. 특정 유형의 지식을 기반(knowledge base)으로 지식 모델을 특정 사실과 연결하여 인스턴스/관계/유형을 나타냄
오픈소스 설치
MITER ATT&CK
* TAXII : 사이버위협 정보 전송 규격 (Trusted Automated eXchange of Indicator Information)
* STIX : 사이버위협 정보 표현 규격 (The Structured Threat Information eXpression)
STIX
https://collaborate.mitre.org/attackics/index.php/Main_Page
환경: VM, ubuntu
python3 -m venv env
source env/bin/activate
git clone https://github.com/mitre-attack/attack-stix-data.git
pip3 install -r attack-stix-data/util/requirements.txt
pip install stix2
python3 attack-stix-data/util/generate-collection-index.py -h
python3 attack-stix-data/util/index-to-md.py -h
테스트
ATT&CK Matrix for ICS
( 11개의 tactics와 81개의 techniques, 산업제어시스템의 특성상 다른 ATT&CK 시스템보다 이기종 장치 및 네트워크, 제어시스템과 센서, 유닛 중점 )
STIX내 Malware id는 지정하지 않아 랜덤값으로 생성됨
sitx library syntax에 대한 공부가 더 필요
참고 자료
git: https://github.com/mitre-attack/attack-stix-data, https://github.com/oasis-open/cti-python-stix2
guide: https://stix2.readthedocs.io/en/latest/guide.html
https://github.com/mitre/cti/blob/master/USAGE.md
https://oasis-open.github.io/cti-documentation/stix/intro
openCTI
1. 아래의 드라이브에서 ova파일 다운
https://drive.google.com/drive/folders/1bvB6RmdQNHMW_3h-88KbAit9GRZlL5Bj
2. 가상머신에서 열기
(virtualbox의 경우 공식 홈페이지에서 extenstion pack을 다운받아야 한다)
> id: opencti / pw:opencti
3. 설정 > 네트워크 > 고급 > 포트포워딩해서 호스트8080, 게스트 8080 포트 설정
4. 이후 호스트PC에서 127.0.0.1:8080으로 접속하면 데시보드에 접속할 수 있음
> id: admin@opencti.io / pw: admin
참고자료
https://github.com/OpenCTI-Platform/opencti
https://www.notion.so/OpenCTI-Public-Knowledge-Base-d411e5e477734c59887dad3649f20518
'Project > MITRE ATT&CK' 카테고리의 다른 글
| Docker 기본 (0) | 2022.01.21 |
|---|
댓글