This post is also available in: English (영어) 简体中文 (중국어 간체) 繁體中文 (중국어 번체) Français (불어) Deutsch (독어) Italiano (이태리어) 日本語 (일어) Português (브라질 포르투갈어) Español (스페인어)
2023년 MITRE Engenuity ATT&CK 평가 결과가 발표되었으며, Cortex XDR만이 구성 변경 및 탐지 지연 없이 100% 보호 및 100% 분석 범위를 제공합니다.
MITRE Engenuity ATT&CK 평가의 5차 결과가 발표되었으며, 모든 공급업체가 100%를 주장하고 있지만 진실은 디테일에 있으며 데이터는 거짓말을 하지 않습니다. 올해 Cortex는 100% 예방 및 분석 탐지 기능을 갖춘 유일한 공급업체입니다.
MITRE Engenuity ATT&CK 평가 웹 사이트에서 직접 가져온 그림은 첫 번째 탐지 테스트에 대한 2023년 Turla 평가 결과를 보여줍니다.
끊임없이 진화하는 사이버 보안 환경에서 한 발 앞서 나가는 것이 그 어느 때보다 중요해졌습니다. 공격자들은 방어를 뚫기 위한 새롭고 정교한 방법을 지속적으로 모색합니다. 규칙이 끊임없이 바뀌고, 뒤쳐지면 재앙이 될 수 있는 위험한 게임입니다.
바로 이 지점에서 MITRE Engenuity가 엔터프라이즈 ATT&CK 평가를 통해 혼돈 속에서 명확성의 기준을 제시합니다. 이러한 평가는 CISO, 보안 전문가 및 조직의 디지털 자산을 보호하는 업무를 담당하는 모든 사람에게 귀중한 리소스가 되고 있습니다. 가장 교활한 사이버 방해자에 맞서 업계의 엔드포인트 보안 솔루션이 어떻게 견디는지에 대한 리트머스 테스트 또는 성능 검토를 제공합니다.
그렇다면 MITRE Engenuity ATT&CK 평가는 정확히 무엇이며, 그 결과에 관심을 가져야 하는 이유는 무엇일까요? 이 연례 평가는 오늘날 가장 활동적이고 악명 높은 위협 그룹이 사용하는 전술, 기술 및 절차(TTP)를 에뮬레이트합니다. MITRE Engenuity 레드팀은 사이버 보안 솔루션 제공업체를 초대하여 세심하게 계획된 공격(탐지 전용 및 방지 모드 모두)을 방어할 수 있는 다음 세 가지 역량에 대한 인사이트를 제공합니다.
- 가시성 – 솔루션이 볼 수 있는 것
- 탐지 – 솔루션이 악의적인 행위를 정확하게 식별할 수 있는 행위
- 보호 – 솔루션으로 방지할 수 있는 악성 행위
올해 29개라는 엄청난 수의 공급업체가 이 평가에 참여했는데, 이는 그들의 가치에 대한 찬사이자 도전적이고 도발적인 참여를 보장하기 위해 MITRE Engenuity가 평가에 쏟는 노력을 반영하는 것입니다.
5차(Turla)
올해로 5회째를 맞이하는 연례 평가에서 MITRE Engenuity 레드팀은 Unit 42 위협 연구자들이 광범위하게 연구한 위협 그룹인 Turla의 방법을 모방하는 데 중점을 두었습니다. Turla는 45개국 이상에서 피해자를 공격해온 러시아 기반 위협 그룹으로, 막대한 자금력과 정교한 기술을 보유하고 있습니다. 이들은 정부 기관, 군사 단체, 외교 사절단, 연구 기관, 언론 기관을 표적으로 삼았습니다. Turla의 악명은 정부 웹사이트 워터홀링, 맞춤형 루트킷, 정교한 명령 및 제어 네트워크 인프라, 속임수 전술 등 은밀한 유출 전술에서 비롯됩니다. 참가한 수비수들과 이야기를 나누다 보면 MITRE Engenuity가 올해 공격 방법의 정교함에서 큰 도약을 이룬 것이 분명합니다.
블루팀은 Windows 및 Linux 엔드포인트 모두에 엔드포인트 에이전트용 Cortex XDR Pro를 배포했습니다. 추가 솔루션은 배포되지 않았으며, 악성 파일을 격리하고 Linux의 경우 그레이웨어를 멀웨어로 처리하는 옵션을 활성화하는 것만 변경한 채로 기본 설정 그대로 Cortex XDR을 구성했습니다.
주요 지표 및 평가 기준
올해의 평가는 Turla가 만들고 사용하는 주목할만한 도구에 해당하는 Carbon과 Snake라는 두 가지 탐지 전용 시나리오로 분류되었습니다. 보호 단계는 탐지 테스트의 기술을 반영하여 탐지 테스트와 동일하게 보이지 않도록 충분한 엔트로피를 주입합니다. 두 가지 탐지 시나리오에는 각각 MITRE ATT&CK 프레임워크의 실제 기술에 매핑되는 여러 하위 단계로 구성된 10단계가 있습니다. 각 공급업체가 확인할 수 있는 하위 단계는 총 143개였습니다. 이러한 각 하위 단계에 대해 MITRE Engenuity 팀은 각 솔루션에서 수행된 조치가 탐지되었는지 여부를 기록했습니다.
이러한 각 탐지는 관찰된 탐지 품질을 기준으로 분류되었습니다.
MITRE Engenuity 탐지 카테고리:
- 해당사항 없음 – 참가자는 테스트 중인 시스템을 볼 수 없었습니다. (Linux 평가를 선택 해제한 경우에도 마찬가지입니다.)
- 없음 – 탐지되지 않았습니다. (악성 활동과 관련된 텔레메트리 없음)
- 텔레메트리 – 이벤트가 발생했음을 보여주는 기능에 의해 수집된 최소한으로 처리된 데이터입니다. (이 유형의 탐지는 일반적으로 활동에 대한 기본 로깅입니다.)
- 일반 – 비정상적인 이벤트가 감지되었습니다. 그러나 ATT&CK 전술(또는 동등한 컨텍스트)이 지정되지 않았습니다. (이러한 유형의 탐지는 보안 분석가가 어떤 조치와 그 이유를 조사하고 결정하도록 합니다.)
- 전술 – 비정상적인 이벤트의 ATT&CK 전술(또는 동등한 컨텍스트)이 지정되었습니다. (이 유형의 탐지는 작업이 발생한 이유를 주장하지만 보안 분석가는 어떤 작업이나 기술이 수행되었는지 조사해야 합니다.)
- 기술 – 비정상 이벤트의 ATT&CK 기술(또는 동등한 컨텍스트)이 지정되었습니다. (이 정도 수준의 탐지는 공격자가 작업을 수행한 이유와 목표를 달성하기 위해 사용한 작업이 정확히 무엇인지 대답하는 데 필요한 컨텍스트와 세부 정보를 제공합니다.)
MITRE Engenuity는 두 가지 유형의 적용 범위를 효과적으로 식별합니다. 텔레메트리 범위 및 "분석 범위". 텔레메트리 범위는 솔루션이 텔레메트리 탐지를 가장 높은 값으로 탐지하는 하위 단계의 수로 정의됩니다. 분석 범위는 일반, 전술 또는 기술 탐지를 포함하는 하위 단계의 수로 정의됩니다.
모든 탐지에는 두 가지 탐지 수정자 중 하나가 있을 수 있다는 점도 주목할 가치가 있습니다.
- 구성 변경 – 관찰된 탐지가 테스트 4일차에 달성된 경우 구성 변경 수정자가 기록됩니다. 이 날은 공급업체에 초기 테스트에서 놓친 악성 활동을 탐지할 수 있는 두 번째 기회가 제공되는 날입니다.
- 지연된 탐지 – 탐지가 적시에 관찰되지 않으면 지연된 탐지 수정자가 기록됩니다. 즉, 조치가 취해질 때와 공급업체 콘솔에서 탐지가 관찰될 때 상당한 지연이 발생한다는 의미입니다.
보호 시나리오의 경우 13개의 주요 단계로 구성된 129개의 하위 단계가 있습니다. 이러한 하위 단계의 경우. 각 보호 하위 단계는 차단되거나 차단되지 않았으며 다음 중 하나로 기록되었습니다.
- 보호됨 – 악의적인 활동이 차단되었습니다.
- 해당 없음(보호됨) – 방지 단계의 이전 하위 단계가 차단되어 후속 하위 단계를 실행할 수 없는 경우에 발생합니다.
- 없음 – 이는 악의적인 활동이 차단되지 않았음을 의미합니다.
Cortex XDR의 성능은 어땠나요?
이러한 평가의 목적은 다음 세 가지 기능에 대한 통찰력을 제공하는 것입니다.
- 가시성 – 솔루션이 볼 수 있는 것
- 탐지 – 솔루션이 악의적인 행위를 정확하게 식별할 수 있는 행위
- 보호 – 솔루션으로 방지할 수 있는 악성 행위
Cortex XDR은 구성 변경이나 탐지 지연 없이 100% 가시성과 100% 분석 범위(탐지)를 제공하면서 100% 보호 기능을 제공하는 독보적인 제품입니다.
또한, 143건의 탐지 중 142건이 최고 수준의 탐지인 기술 수준 탐지인 만큼 탐지 품질은 타의 추종을 불허합니다. 또 다른 탐지는 전술 수준 탐지로 인식되었습니다. 보호 평가의 129개 하위 단계가 모두 차단되었습니다. 이 모든 것이 "구성 변경"과 "감지 지연"이 전혀 없이 이루어졌습니다. 실제로 구성 변경으로 인한 탐지를 제외하면 Cortex XDR은 탐지 누락이 없는 유일한 공급업체였습니다(탐지 유형, 없음). 즉, 100% 가시성을 제공하는 것은 Cortex XDR이 유일했습니다.
팔로 알토 네트웍스 MITRE Engenuity ATT&CK 평가 대시보드. 2023 Turla 평가 결과를 보여주는 스냅샷.
올해 평가 결과는 팔로 알토 네트웍스가 엔드포인트 보안에 대한 공격 연구와 엔지니어링에 지속적으로 투자하고 있으며, 이러한 지식을 바탕으로 점점 더 적대적인 사이버 세계에서 고객이 안전을 유지할 수 있도록 지원하고 있다는 사실을 반영합니다.
100%에 대한 참고 사항
ATT&CK의 평가를 한동안 지켜보셨다면 100%가 당연하게 느껴질 수도 있습니다. 하지만 혼동하지 마세요. 올해 평가에서 100%를 달성했다고 주장하는 다른 솔루션의 경우 모든 주요 단계에서 적어도 한 가지 이상의 탐지 및/또는 예방 기능을 갖추고 있습니다. Cortex만이 수행된 모든 개별 악성 작업, 즉 하위 단계에 대해 이러한 탐지 기능을 제공했습니다.
100% 탐지 및 예방은 우리 모두가 노력해야 할 기준입니다. 작년 평가 후 Forrester의 Allie Mellen이 지적했듯이, "알려진 위협 행위자의 공격을 탐지하는 것은 보안 제품이 할 수 있는 일의 한계가 아니라 바닥이 되어야 합니다."1 저희는 전적으로 동의하며, Cortex XDR이 그 기준을 제시하고 있습니다.
하지만 Allie는 "모든 기술을 탐지하는 솔루션은 노이즈가 많고 오탐률이 높으며 과도한 알림을 제공할 가능성이 있기 때문에 100% 탐지가 반드시 좋은 것은 아니다"라고 지적하기도 했습니다. 저희도 이러한 관점을 공유하기 때문에 어떤 활동이 정상적인 활동이고 어떤 활동이 잠재적으로 악의적인 행위인지 파악하기 위해 머신러닝을 적극 활용하고 있습니다. Cortex XDR의 경우 이는 조사에 집중해야 할 위치를 결정하는 데 도움이 되는 중요한 컨텍스트 단서를 제공하는 다른 많은 주요 데이터 소스의 추가 텔레메트리를 통합한다는 사실에 의해서만 강화됩니다.
ATT&CK 평가 결과 살펴보기
올해는 지난 몇 년보다 훨씬 더 도전적이었기 때문에 MITRE Engenuity에 경의를 표합니다. 또한, 수비수가 정보에 입각한 결정을 내릴 수 있도록 개선된 기능도 매우 기쁘게 생각합니다. 이제 MITRE Engenuity 사이트에서 호스팅되는 ATT&CK 평가 결과를 통해 3개 공급업체의 결과를 나란히 비교할 수 있습니다. 세 가지 평가 시나리오 각각과 최대 3개의 공급업체를 선택할 수 있습니다. 기본적으로 결과에는 지연된 탐지 및 구성 변경으로 인한 결과가 포함되어 표시됩니다. 그러나 해당 수정자가 제거된 탐지 결과를 볼 수도 있습니다.
MITRE Engenuity ATT&CK 평가 웹사이트에서 보호 평가 결과를 확인할 수 있습니다. Cortex XDR만이 100% 예방이 가능했습니다.
모든 공급업체에 대한 결과를 볼 수 있는 데이터 시각화 도구가 없기 때문에 ATT&CK 평가 결과를 이해하기 어렵다는 이야기를 수년 동안 들었습니다. 이러한 노력을 돕기 위해 올해 결과와 지난 해 결과를 모두 살펴볼 수 있는 도구를 만들었습니다. 이 도구를 사용하면 관심 있는 공급업체와 에뮬레이트된 특정 적을 선택할 수 있습니다. 모든 결과 차트는 각 참여 공급업체에 대해 MITRE Engenuity에서 제공하는 JSON 파일에서 직접 구축됩니다. ATT&CK 평가 결과를 직접 살펴보고 데이터를 통해 비즈니스를 보호하는 데 가장 적합한 선택이 무엇인지 알아보세요.
팔로 알토 네트웍스 MITRE Engenuity ATT&CK 평가 대시보드. 5년간의 전체 평가 결과를 보여주는 스냅샷으로 기술 수준 탐지 및 차단된 하위 단계를 모두 표시합니다.
- Forrester® 및 Allie Mellen. "수석 분석가." MITRE ATT&CK 평가: 100% 보장을 받는 것은 공급업체가 말하는 것만큼 좋지 않습니다, Forrester®, 2022, https://www.forrester.com/blogs/mitre-attck-evals-getting-100-coverage-is-not-as-great-as-your-vendor-says-it-is/. 2023년 9월 19일에 액세스함.