[논문]위험 관리를 위한 MITRE ATT&CK 기반의 정량적 보안 지표

김해린; 이승운; 홍수연

doi:10.13089/jkiisc.2024.34.1.53

위험 관리를 위한 MITRE ATT&CK 기반의 정량적 보안 지표
A Quantitative Security Metric Based on MITRE ATT&CK for Risk Management

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.34 no.1, 2024년, pp.53 - 60

김해린 (LIG넥스원) , 이승운 (LIG넥스원) , 홍수연 (LIG넥스원)

초록
AI-Helper

안전한 네트워크를 위해 보안 평가는 필수불가결한 과정으로, 위험을 관리하기 위해서는 적절한 성능지표가 있어야 한다. 가장 널리 사용하고 있는 정량적 지표로는 CVSS가 있다. CVSS는 주관성과 해석의 복잡성, 보안 위험의 관점에서 맥락을 고려하지 못한다는 문제가 있다. 이러한 문제를 보완하기 위해 ISO/IEC 15408 문서의 보안 개념 및 관계도를 바탕으로 공격자, 위협, 대응, 자산의 4가지를 항목화하고 수치화 하는 지표를 제안한다. 네트워크 스캐닝을 통해 발견된 취약점은 약점, 공격패턴의 연결관계에 의해 MITRE ATT&CK의 기술과 매핑시킬 수 있다. 우리는 MITRE ATT&CK 의 Groups, Tactic, Mitigations을 이용하여 일관성을 가지며 직관적인 점수를 산출한다. 이에 따라 보안 평가 관리자가 다양한 관점의 보안지표 중 선택할 수 있는 폭을 넓히고, 사이버 네트워크의 보안을 강화하는데 긍정적인 영향을 기대한다.

Abstract ▼ AI-Helper

Security assessment is an indispensable process for a secure network, and appropriate performance indicators must be present to manage risks. The most widely used quantitative indicator is CVSS. CVSS has a problem that it cannot consider context in terms of subjectivity, complexity of interpretation, and security risks. To compensate for these problems, we propose indicators that itemize and quantify four things: attackers, threats, responses, and assets, taking into account the security context of ISO/IEC 15408 documents. Vulnerabilities discovered through network scanning can be mapped to MITREATT&CK's technology by the connection between weaknesses and attack patterns (CAPEC). We use MITREATT&CK's Groups, Tactic, and Mitigations to produce consistent and intuitive scores. Accordingly, it is expected that security evaluation managers will have a positive impact on strengthening security such as corporate networks by expanding the range of choices among security indicators from various perspectives.

주제어

표/그림 (4)

그림 Fig. 1. The proposed security metric link vulnerabilities with threat technique and measure higher score with fewer mitigations to the technique, more attack groups using the technique, the later the tactical stages belonging to the technique, and the impact of asset confidentiality, integrity, and availability. Each element refers to the security concept and relationship diagram of the ISO/IEC 15408-1.
그림 Fig. 2. Risk management process utilizing proposed security metric.
그림 Fig. 3. Example network [16]
표 Table 1. Technique was mapped using BRON for randomly selected CVE, and then Technique was mapped to Group, Mitigation, Tactic, Asset(impact type) by MITRE ATT&CK.

AI 본문요약
AI-Helper

제안 방법

CVSS의 한계를 극복하기 위해 우리가 제안하는 정량적 보안지표는 네트워크의 전반적인 위험관리를 포함한다. 네트워크에 있는 개별 자산의 취약점을 바탕으로 위험을 수치화하여 평가한다.
MITRE ATT&CK는 Techniques에 대응하는 Mitigations, Groups, Tactic 을 함께 제공하기 때문에 제안하는 보안 공식에 대입할 변수는 모두 구하였다
정보자산에 대해서는 보안의 중요한 3요소인 기밀성, 무결성, 가용성을 바탕으로 산정할 수 있다. Marcus 등[7]이 제시한 보안 수준의 측정을 위한 지표의 기준에서와 같이, 본 논문에서 제안하는 지표는 보안의 관점에서 위험관리에 대한 개념 및 관계도를 참고하여 직관적으로 지표의 항목을 구성하고 수치로써 정량화하였다. 또한 ATT&CK 기반으로 일관성을 가지고 누구에게나 명확한 기준을 설정하였으므로 서로 다른 시스템 간의 비교가 가능하다.
따라서 우리는 국제 표준화 기구에서 제안한 보안 개념과 관계 도식 [15]에 따라 위험에 직접적으로 영향을 미치는 1) 위험을 발생시키는 잠재적 위협, 2) 위협을 일으키는 위협원, 3) 위험을 유발하는 취약점에 대한 자산 소유자의 대응, 4) 위험에 처하는 대상 자산으로 위험을 다각도로 고려한 4가지 요소를 MITRE ATT&CK 프레임워크에서 식별하였다
우리가 제안하는 방법론은 하나의 공격 기술에 대해 ATT&CK라는 공개 매트릭스 기반의 일관적이고 최신화가 가능한 0에서 1사이의 점수를 구하는 것이다
우리가 제안하는 보안지표는 MITRE ATT&CK를 기반으로 CVSS의 단점을 보완하여 일관성과 공격의 맥락 파악, 최신화가 가능하도록 설계하였고 직접 가상의 네트워크를 구성하여 보안 성능을 계산한다
우리가 제안하는 지표는 ATT&CK를 기반으로 공격자 그룹의 수, 방어 기술의 수, 전술의 수가 정해져 있고 모두에게 공개되어 있다
취약점인 CVE에 대해 CWE, CAPEC 연결관계를 추론하여 MITRE ATT&CK 의 위협 기술을 도출한다. 위협 기술에 초점을 두고 방어 기술, 공격자 그룹, 자산의 보안에 해당하는 각 관계를 이용하여 그 개수를 기반으로 보안 점수를 산출하였다. 우리가 제안하는 보안지표는 MITRE ATT&CK를 기반으로 CVSS의 단점을 보완하여 일관성과 공격의 맥락 파악, 최신화가 가능하도록 설계하였고 직접 가상의 네트워크를 구성하여 보안 성능을 계산한다.
제안하는 보안지표는 학교, 기업, 군 등 대규모 인프라에 적용할 수 있다. 먼저 각 기관에서는 보안을 측정할 자산을 정의해야한다.
최종적으로 취약점에 매핑되는 위협 기술을 이용하여 ISO/IEC 15408-1 표준화 문서[15]에서 나타낸 위험 개념도에서 위험과 직접적으로 관련 있는 대응, 위협원, 위협, 자산을 ATT&CK의 Mitigation, Group, Tactic, Asset과 연결시킨다
취약점인 CVE에 대해 CWE, CAPEC 연결관계를 추론하여 MITRE ATT&CK 의 위협 기술을 도출한다

이론/모형

예시로 보안지표를 산출하는 과정을 보여주기 위해, 위협 모델링에서 학술적으로 자주 사용되는 공격 그래프 프레임워크 MulVAL [16]의 논문에서 샘플 네트워크를 인용하였다. Fig.

성능/효과

우리가 제안하는 보안지표는 MITRE ATT&CK를 기반으로 CVSS의 단점을 보완하여 일관성과 공격의 맥락 파악, 최신화가 가능하도록 설계하였고 직접 가상의 네트워크를 구성하여 보안 성능을 계산한다. 마지막으로 대규모 인프라에 적용할 경우 활용하는 방법을 기술하였고 제안하는 지표는 CVSS에 비해 보안의 위험을 다각도로 분석할 수 있다는 점에서 장점이 있다.
본 논문에서 제시하는 보안지표는 MITRE ATT&CK를 기준으로 발견한 취약점과 대응하는 기술에 대해 매핑된 방어 기술이 적을수록, 공격 그룹이 많을수록, 전술단계의 후반에 있는 기술일수록, Impact 전술에 속하여 자산의 기밀성, 무결성, 가용성에 영향을 미치는 기술일수록 점수가 높게 측정되므로 분석한 네트워크에 대한 값이 크면 위험하게 나오도록 구성하였고, 이를 이용하여 보안 전문가가 다양한 보안지표 중 하나로 선택할 수 있는 폭을 넓히고, 기업이나 학교 네트워크의 보안을 강화할 것으로 기대한다.

후속연구

또한 ATT&CK 기반으로 일관성을 가지고 누구에게나 명확한 기준을 설정하였으므로 서로 다른 시스템 간의 비교가 가능하다. 향후 연구로는 CVSS 뿐만 아니라 다양한 보안지표들을 같은 대상의 인프라를 두고 값을 산출하여 비교 분석해본다면, 위험관리에 있어서 각 지표들의 특징과 장단점을 더 명확하게 파악할 수 있을것이라 예상한다.

참고문헌 (16)

The MITRE Corporation, "MITRE ATT&CK." [Online]. Available: https://attack.mitre.org, 2023.10
Ahn, G., Lee, S. A., &Park, W. H.(2021, October). Changes of Cyber Hacking Attack Aspect of North Korea Cyber-Attack Groups Applying MITRE ATT&CK. Research Briefs on Information and Communication Technology Evolution, 7, 75-88.
Pirca, A. M., & Lallie, H. S. (2023,April). An empirical evaluation of the effectiveness of attack graphs and MITRE ATT&CK matrices in aidingcyber attack perception amongst decision-makers. Computers & Security, 130, 103254.

상세보기
Ahmed, M., Panda, S., Xenakis, C., & Panaousis, E. (2022, August). MITRE ATT&CK-driven cyber risk assessment. In Proceedings of the 17th International Conference on Availability, Reliability and Security (pp. 1-10).
Kwon, R., Ashley, T., Castleberry, J., Mckenzie, P., & Gourisetti, S. N.？G. (2020, October). Cyber threat？dictionary using mitre att&ck matrix？and nist cybersecurity framework？mapping. In 2020 Resilience Week？(RWS) (pp. 106-112). IEEE.
Singhal, A., & Ou, X. (2009, April).？Techniques for enterprise network？security metrics. In Proceedings of？the 5th Annual Workshop on Cyber？Security and Information Intelligence？Research: Cyber Security and？Information Intelligence Challenges？and Strategies (pp. 1-4).
Pendleton, M., Garcia-Lebron, R.,？Cho, J. H., & Xu, S. (2016,？December). A survey on systems？security metrics. ACM Computing？Surveys (CSUR), 49(4), 1-35.
Doynikova, E., Fedorchenko, A., &？Kotenko, I. (2019, August). Ontology？of metrics for cyber security？assessment. In Proceedings of the？14th International Conference on？Availability, Reliability and Security？(pp. 1-8).
F. of Incident Response and S.？Teams, "CVSS." [Online]. Available:？https://www.first.org/cvss, 2023.10.15
National Institute of Standards and？Technology, [Online]. Available: https://nvd.nist.gov/, 2023.10
Spring, J., Hatleback, E.,？Householder, A., Manion, A., &？Shick, D. (2021, Match). Time to？Change the CVSS?. IEEE Security &？Privacy, 19(2), 74-78.
Hemberg, E., Kelly, J., Shlapentokh-Rothman, M., Reinstadler, B., Xu, K., Rutar, N., & O'Reilly, U.M. (2020, October). Linking threat tactics, techniques, and patterns with defensive weaknesses, vulnerabilities and affected platform configurations for cyber hunting. arXiv preprint arXiv:2010.00533.
https://aag-it.com/the-latest-cyber-crime-statistics/, 2023.08, Charles Griffiths
https://www.concert.or.kr/bbs/board.php?bo_tablenewsletter&wr_id515&page3, 2023.01, CONSERT(CONsortium of CERT)
International Organization for Standardization. (2005). Information Technology; Security Techniques; Evaluation Criteria for IT Security: Part 1: Introduction and General？Model. International Organization for Standardization.
Ou, X., Govindavajhala, S., & Appel, A. W. (2005, August). MulVAL: A logic-based network security analyzer. In USENIX security symposium(Vol. 8, pp. 113-128)

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증