- ATT&CKcon 2018 Full Play List - https://www.youtube.com/playlist?list=PLkTApXQou_8JrhtrFDfAskvMqk97Yu2S2
- ATT&CKcon 2018 Presentations - https://attack.mitre.org/resources/attackcon/
1. Advancing Infosec, Keynote Presentation
마이크로소프트 위협 인텔리전스 센터 총 책임자인 존 램버트가 키노트를 잡았다. 전통적인 방어와 최근 방어의 차이를 설명했으며, 마이크로소프트에는 One Hunt라는 것이 있다고 설명했다. One Hunt는 레드팀, 블루팀 모두 하나의 공통 과제를 제공하고 이 과제를 해결하는 프로젝트를 의미하는 것 같았다. 아무래도 공격과 방어의 인사이트를 공유하여 융합되도록 하는데 있어 중요한 부분인 것 같다.
위협 정보 공유하는 것은 매우 중요하다고 언급하며 지속적으로 컨퍼런스 발표, 블로그 운영, 트위터 활동, 도구 제작 및 오픈소스로 공개 그리고 멘토링을 통해 다른 팀이나 다른 사람들과 함께 성장하도록 장려한다고 말한다. 그러면서 이러한 결과가 ATT&CK Matrix가 만들어지지 않았나 라고 말하는 것 같다. 그러면서 다음 오픈소스들을 언급했다.
- atomic red team - https://github.com/redcanaryco/atomic-red-team
- 얜 ATT&CK를 공부하면서 알게된 녀석인데 실제 공격에 사용된 코드를 살펴볼 수 있어서 기억하고 있는 오픈소스다. - sigma - https://github.com/Neo23x0/sigma
- 얜 HELK였나 무슨 오픈소스에서 시그니처 부분에 sigma를 적극 도입한다고 이야기해서 알게되었고, Neo23x0은 워낙 유명한 사람이라 놀랐던 오픈소스다. - jupyter - https://jupyter.org/
- 한번 봤었다가 뭐야 이거 하면서 넘겼던 녀석인데 브라우저에서 코딩하는 IDE 오픈소스 같다. - binder - https://mybinder.org/
- 얜 이번에 처음 봤는데 주피터 노트북이 있는 깃헙 주소를 바인더에 넣으면 브라우저에서 실시간으로 컴파일(인터프리터)해서 결과를 보여주는 도구 같다.
이러한 오픈소스를 적재적소에 사용하여 위협 인텔리전스를 수행하는 것이 매우 중요하며, 깃허브화(Githubification)을 진행하여 함께 할 수 있도록 구성하는 것이 중요하다고 언급하며 끝났다. (야레야레 깃헙 이제 MS 꺼잖아 소스코드 올리면 누구 좋으라는거야? 깃랩에 올리자 가용성이 조금 불안하지만..)
The "Githubification" of Infosec - towards a goal of standardizing and sharing knowledge across the community in a way that is usable and repeatable @JohnLaTwC #ATTACKcon pic.twitter.com/0polnVrVrG
— ATT&CK (@MITREattack) 2018년 10월 23일
2. How Did We Get Here?
MITRE의 ATT&CK 리더인 Blake Storm과 인터뷰 내용이다. 처음엔 엑셀로 정리하면서 ATT&CK 프로젝트를 시작했고, 공격 정보를 토대로 방어를 할 수 있길 바랬다고 말한다. 이후 질문들이 이어지는데, 기억에 남는 질문이 ATT&CK의 단편적인 내용으로만 대응을 진행하면 오탐율이 많아지는데, 맥락(Context)적인 내용도 추가할 예정인지 물어본다. 이에 대한 답변으로 기존에 진행하는 방법론에 ATT&CK를 섞어 쓰는게 어떤가를 이야기한다. 플랫폼에 클라우드를 추가하는게 어떤가에 대한 질문에는 당연히 어렵다고 말한다. 각 TTPs에 심각도를 추가하는 것이 어떤가에 대한 질문에는 각 환경이 상이하기에 위협의 크기를 수치화하기가 힘들다고 답변한다. 그 외 다음 도구에 대한 질문이 꽤나 있었다. 아무래도 근거 자료로 매우 중요한 프로젝트이기 때문인듯 하다.
- CAR - https://car.mitre.org/
Cyber Analytics Repository의 약자로 공격에 대한 분석 결과를 저장한 저장소 같은 역할을 담당한다. CVE 처럼 별도의 식별 키워드로 CAR를 사용한다.
3. Operationalizing ATT&CK
SCYTHE사의 CEO인 Bryson Bort가 발표했다. 이 회사는 ATT&CK 프레임워크를 이용하여 레드 팀과 블루 팀을 컨설팅하는 회사다. 5분짜리 영상인 점을 보았을 때 핵심만 골라서 이야기한거 같다. 한마디로 "ATT&CK를 원소 주기율표의 원소들 처럼 이리섞고 저리섞어 활용해야 한다."로 요약할 수 있다.
4. Summiting the Pyramid of Pain: Operationalizing ATT&CK
General Electric의 인텔리전스 분석가 EMMA와 사고 분석가 JUSTIN이 발표했다. 일단 위협 인텔리전스 활동이 얼마나 고통스러운지 파이어아이의 고통의 피라미드(Pyramid of Pain)을 가지고 나왔다. 특히나 IDD(Intelligence Driven Defense)를 수행할 때 인텔리전스 팀과 침해사고 대응팀의 임시적 대화(ad hoc communication)이 가장 큰 고통이며, 이 간극이 인텔리전스 팀이 생산하는 데이터와 침해사고대응팀이 생산하는 데이터에 간극을 일으킨다고 언급한다. 이를 해결하기 위해 선택한 것이 스프레드시트로 데이터를 정립해 운영하는 것이었으나 이 또한 720개가 넘어가는 TTP를 분류하는 점에서 또 다른 고통(Spreadsheet of Pain)으로 이야기를 한다.
고통에서 해방하고자 만든 자체적인 프로세스인 Tiamat을 소개했다. 한 기업이 위협 인텔리전스를 수용하려면 이러한 고통을 이겨냈을 때 성과가 발현될 듯 싶지만, 전문적이고 지속적으로 활동 가능한 침해사고대응팀부터 만들어야 하지 않을까 싶다.
5. ATT&CK: All the Things
미공군인 USAA의 정보보안 전문가 Neelsen Cyrus와 디텍션 리더인 David Thompson의 발표다. 사이버 킬체인은 낡은 방법론이고 ATT&CK는 최신 방법론으로 이야기한다. 따라서 ATT&CK로 분석하기 위해 데이터를 수집하여 관리하는데 이를 kafka 메시징 수집기를 이용하고 Logstash를 통해 로그를 분류한다. 90일 데이터는 Elasticsearch 데이터베이스에 기록하고, 1년의 데이터는 Hadoop 파일 시스템을 이용하여 기록한다. 그리고 위협 인텔리전스를 하기 위해 자체적으로 생태계를 구축한 이야기를 한다.
- DMR(Detection Management Reporting) - 흔히 말하는 대시보드 같은 역할을 하는 기능으로 보인다.
- DSP(Defense Security Posture) - 탐지 방법을 설정하면 DMR에 반영되고, DMR에서 우선순위를 정하면 DSP에 반영된다. 탐지 방법을 반영하기에 ATT&CK의 TTPs를 여기에 적용한다.
- GWH - 시그니처 기반으로 큐를 돌려 헌팅되면 그 결과를 보여준다.
- PAX - 억제 엔진으로 ATT&CK의 모든 정보를 단순히 탐지하는 형태로 사용하면 오탐이 많을 수 있기에 이를 억제하기 위해 사용하는 기능으로 보여진다.
- AST(A Simulation Tool) - Canaries나 PoC 실행, 공격 명령어 등 공격을 시뮬레이팅할 수 잇는 기능이다.
- MIST(Malicious Intel Search Tool) - IoC 정보를 수집하거나 인터넷에 공개된 다양한 위협 정보를 수집하는 기능이다.
- SHP(Secure Hub Portal) - 공격을 매트릭스 형태로 관리하고, 보고서를 생산하는 등 기능을 가진다.
군에서 솔루션을 직접 구축해 운영하고, 그 구축에 필요하다면 오픈소스를 적극 활용하면서 이를 컨퍼런스에서 다양한 전문가에게 공개하고 토론하는 문화가 신기했다.
6. Agile Continuous Improvement Using ATT&CK
음 캘리포니아 치과 의사 협회(Delta Dental of California)? 여기에 사이버 위협 관리자인 Matthew Stiak와 컨설팅 업체인 Level Nine Group의 Jason Sinchak이 발표했다. 주된 내용은 조직에 ATT&CK를 적용하는데 필요한 고찰에 관한 이야기다. 탐지(Detection), 방지(Prevention), 대응(Response) 영역은 꾸준이 발전하고 있으니 식별 영역으로 넘어가자는 의미를 가지고 있다. 이를 위해서 ATT&CK를 고민했는데, 새로운 방법론을 도입할 때 고충은 기존 방법론과의 마찰이다. 이 마찰을 다음과 같이 정의했다.
- 구조적 제한
- 교육이 필요
- 한정된 자원과 시간 관리
이를 해결하기 위해 선택한 방법으로 다음을 제안한다. 제안의 핵심은 애자일이다.
- 애자일 방법론을 이용하여 장접을 부곽시킨다.
- 미시적 관점까지 살펴볼 수 있는 퍼플 팀을 창설한다.
- 각 항목별 평가 지표를 구성한다.
애자일 방법론은 이야기만 들어봤지 구체적으로 무엇인지 모른다. 오늘 퇴근길에 당장 서점에 들려서 애자일 관련 책 중 가장 많이 판매된 책을 한권 구매해서 읽어봐야 할것 같다. 퍼플 팀은 여섯 번째 영상에서 처음 나온 단어인데, 레드 팀과 블루 팀의 소통의 부재를 연결짓고 매니징하는 관리직으로 보면 된다. 다만 여기서 제안하는 'micro' 퍼플 팀은 레드 팀과 블루 팀의 활동의 단편적인 한 블록 단위로 평가를 하는 미시적인 평가를 진행하는 형태로 표현한다. 이 집단에 의해 만든 평가 지표로 객관적인 평가를 구성하여 효과성을 증명하는 것으로 이야기가 마무리된다.
이전 까지는 레드 팀과 블루 팀만 언급나왔다면 처음으로 퍼플 팀에 관한 이야기를 했다. 분야가 다른 두 전문 분야를 섞었을 때 마찰은 커진다. 우리나라는 그 조율을 각 분야의 상급자가 조율했다면, 외국의 경우 여유가 있는지 없는지는 모르겠으나 중재자 역할을 하는 조직을 별도로 운영하는 것으로 알고 있다. 이 점을 미루어 보았을 때 퍼플 팀은 매우 중요한 교두보 효과를 억제할 수 있다고 생각한다.
7. Vendor Panel Discussion
ATT&CK를 이용하는 밴더사 패널이다. Tag Cyber는 처음 보는 회사고 나머지 회사는 요즘 핫한 트렌드에 발맞춰 움직이는 회사들이다. 팔로알토는 다른 회사에 비해 전통성이 있지만.. 토론에 참여한 밴더사는 영상을 보는 기준 왼쪽부터 순서대로 다음과 같다.
- Tag Cyber - 컨설팅, 교육, eBook 간행물 등을 진행하는 회사다. 이 패널 토의에서 Tag Cyber의 Ed Amoroso 박사는 진행자 역할을 한다.
- ATTACKIQ - BAS(Breach and Attack Simulation) 솔루션으로 유명한 회사다. 알려진 유출 및 공격 시나리오를 기반으로 자사의 위험성을 판단하는 솔루션으로 특히나 ATTACKIQ에서는 ATT&CK의 분류 방식을 포함하여 광범위한 유출과 공격 시나리오를 제공한다.
- Endgame - 얼마전에 ATT&CK 시나리오를 에뮬레이팅할 수 있는 솔루션 소개 영상을 보고 감탄한 회사다. 그것 보다 사실 어벤저스 엔드게임을 빨리 보고 싶다.
- Cybereason - 이스라엘에 본사가 위치한 정보보안 업체로 국내에도 이 회사의 솔루션을 많이 검토하고 사용한다. 이 회사의 대표적인 솔루션은 EDR(Endpoint Detection & Response)로 엔드포인트에서 탐지하고 대응하기 위한 수 많은 로그 분석을 진행하고, 당연히 제품에는 ATT&CK를 활용하고 있는 것으로 알려져있다.
- Unit 42 at PaloAlto Networks - 팔로알토 네트웤스의 Unit 42는 APT 공격을 전문적으로 분석하고 CTI화하여 운영하는 대표적인 조직 중 하나다.
첫 번째 질문은 ATT&CK 프레임워크에 대한 생각을 물어봤다. 요약하자면 다음과 같다.
- Unit 42의 Jen은 ATT&CK 프레임워크를 가지고 환경에 적용해보고 그 결과를 통해 방어하는 방법을 다루는 것이 좋다고 언급한다. 특히 오픈소스를 사용하는 경우가 많은데 능력있는 공격자는 오픈소스를 많이 사용하기에 문제되지 않는다고 말한다.
- Cybereason의 Ross는 ATT&CK 프레임워크가 로제타 스톤과 비유했는데, 그 이유는 이 프레임워크를 통해 기술적인 것들을 공통된 언어로 사용하여 소통할 수 있었기 때문이다고 말한다. (로제타 스톤은 고대 이집트의 법전이 새겨진 비석인데, 이 비석이 발견되면서 이집트의 상형 문자를 해독하여 이집트 역사를 이해할 수 있게 되었기 때문에 이를 비유한 것으로 보여진다.) 그 외 사이버 보안의 문제로 공격자가 방어자보다 늘 우위에 있는 이유는 많은 시간을 가질 수 있기 때문이라고 말한다. 그렇기에 방어자는 제한된 시간 안에 방어를 유지해야하고, 이러한 상황에 필요한건 효율적인 방어 전략이라고 말한다.
- Endgame의 Devon은 수 많은 위협을 어떻게 분류할 것인가, 분류한 것을 어떻게 이해시킬 것인가에 많은 방법이 있는 만큼 많은 고민이 필요하다고 말한다. 이런 고민에 있어서 현지화된 정보만으로는 한계가 있고, 다양한 정보가 공유되어 활용되어야 하는데 ATT&CK 프레임워크가 큰 한몫을 한 것으로 이야기한다. 게다가 ATT&CK는 실제 활용되고 있기에 매우 긍정적으로 이야기한다.
- 마지막으로 ATTACKIQ의 Carl은 보안을 경제적으로 접근했다. 방어에 비해 공격자가 100배 정도 되는 금액을 더 많이 소비하여 공격한다고 이야기한다. 이런 비대칭적인 소비에 집중하여 이런 문제를 해결할 수 있는 방법을 찾는 것이 좋지 않을까 이야기한다. 또한 ATT&CK 프레임워크는 더욱 가공되어야 한다고 말한다. 예시로 클라우드 침해에 관한 내용인데, 이 부분은 프레임워크에 포함된 TTPs가 없음을 이야기했다.
마지막에 Carl이 말한 클라우드 침해에 관한 이야기 때문에 중반 이후부터는 일반적인 보안 트렌드와 패널 질문(보안의 고충)에 대한 이야기를 한다. 이 이야기 안에 핵심으로 손꼽을만한 이야기를 한다면 바로 경제 관점에서 바라보는 보안이다. 과거에 공격자는 단순히 Spray-and-pray 모델로 공격을 통한 수익을 노렸다면, 지금은 시스템화되어 있고 기술력있게 공격하여 얼마만큼의 수익을 가질 것인가를 생각한다고 말한다.
자본주의 시대에 충분히 고려해볼 문제다. 공격자가 방어자의 방어를 뚫는데 많은 시간과 돈(시간이 곧 돈이지)이 든다면 부담감을 느끼거나, 만만하게 시작했다면 손해볼 수 있을 것이다. 그러면 다음 공격은 더 큰 자본을 가지지 않는 이상 쉽지 않을 것이다. 이러한 관점이 경제 관점에서 바라보는 보안으로 이야기할 수 있을 것이다.