2023 Impact Report_Center for Threat-Informed Defense_Softwide.pdf

RESEARCH PARTNERS
FOUNDER
FOUNDER
위협 정보 기반 방어 센터(The Center for Threat-
Informed Defense)는 전 세계의 고도로 정교한 사이버
보안 팀을 모아 모두를 위한 위협 정보 기반 방어를 발전
시킵니다. 사이버 방어에 대해 위협 정보 기반 접근 방식을
취하면 사이버 보안 팀은 조직에 대한 가장 중요한 위협에
집중하고 해당 위협을 성공적으로 완화, 감지 및 대응할 수
있는 기능을 조정할 수 있습니다. 센터 참가자는 센터 R&D
프로그램의 모든 측면에 대한 통찰력, 전문 지식 및 지원을
제공하고 센터 R&D가 모든 사람에게 무료로 제공되도록
보장함으로써 공익에 대한 헌신을 보여줍니다. 우리 회원들
은 함께 적의 게임을 바꾸는 강력한 힘을 가지고 있습니다.
FOUNDER
FOUNDER
이 연례 보고서는 전체 커뮤니티의 사이버 방어를 향상
시키는 29개의 오픈 소스 프로젝트를 발전시키기 위해
협력하는 37개의 정교한 사이버 보안 팀의 작업을 담고
있습니다. 이 보고서는 센터 참가자들이 모두를 위한 위협
정보 기반 방어 발전에 가져오는 에너지와 열정을 포착
합니다. 이를 참조로 사용하고 팀 및 동료와 공유하여
적의 공격(game)을 더욱 변화시키십시오. FOUNDER
FOUNDER
2 • 2023 IMPACT REPORT

RESEARCH SPONSORS NON-PROFIT PARTICIPANTS
FOUNDER
FOUNDER
FOUNDER
FOUNDER

PERSPECTIVES FROM OUR MEMBERS
ATTACKIQ
Founding Research Partner
BOOZ ALLEN HAMILTON
Founding Research Sponsor
조직은 계속해서 증가하는 사이버 공격의 빈도와
심각도에 대처하고 있습니다. 운영 속도 증가를 더
잘 관리하고 더 나은 보안 결과를 달성하려면 더 많은
보안 팀이 위협에 기반한 방어 사고방식을 채택하는
것이 필수적입니다. AttackIQ는 센터의 자랑스러운
창립 멤버로서 모두를 위해 이 중요한 작업을 발전
시키겠다는 우리의 약속을 보여줍니다.”
우리의 국가적 대비는 지속적인 협력과 전략적
파트너십에 달려 있습니다. 센터는 위협을 사전에
차단하고 의미 있는 취약점을 해결하며 중요한
인프라를 보호하는 능력을 향상시키는 데 중추적인
역할을 합니다. 창립 연구 후원자로서 Booz Allen은
센터의 혁신적인 연구 생태계에 적극적으로 참여
하겠다는 약속을 확고히 하고 있습니다.”
—Carl Wright,Chief Commercial Officer —David Forbes, Director of Cyber Physical Defense
CROWDSTRIKE
Research Partner
CYBER THREAT ALLIANCE
Founding Non-Profit Participant
CrowdStrike에서는 조직이 실제 문제를 해결하고
보안 상태를 개선할 수 있도록 돕기 위해 최선을
다하고 있습니다. 센터와의 파트너십을 통해 우리는
프로젝트를 후원하고 전문 지식을 빌려 업계의 적에
대한 이해를 높이고 방어자가기업을 위한 효과적인
사이버 보안 전략을 구축할 수 있도록 돕습니다.”
센터는 Attack Flow 또는 CTI Blueprints와 같은
사이버 보안 커뮤니티에 핵심 기능을 제공했습니다.
이러한 도구는 방어자의 힘을 배가시켜 적의 활동과
선제적인 방어를 더 잘 이해할 수 있게 해줍니다.
사이버 위협이 계속 진화함에 따라 센터 연구의
필요성이 그 어느 때보다 커졌습니다.”
—Joel Spurlock, VP Data Science —MichaelDaniel,President & Chief Executive Officer
FORTINET
Research Partner
Fortinet은 디지털 세상을 더욱 안전하게 만들겠다는 공통 목표를 추구하면서 글로벌 전문가들과 오랫동안
협력해 왔습니다. 우리는 센터의 연구 프로그램과의 협력이 최신 공격 벡터를 지속적으로 탐지하고 완화하기
위해 전 세계 사이버 방어자의 능력에 의미 있고 긍정적인 영향을 미칠 프로젝트를 추진한다고 믿습니다.”
—Derek Manky, Chief Security Strategist and Global Vice Presidentof Threat Intelligenceat FortiGuard Labs

FUJITSU
우리는 업계 리더 및 MITRE 전문가와의 상호 작용이 이루어지는협업 공간으로서센터를 높이 평가합니다.
역동적인 환경 속에서 흥미롭고 영향력 있는 프로젝트에 참여하는 것은 우리가 큰 기쁨을 누리는 일입니다.”
—Ryusuke Masuoka, Technical Advisor
HCA HEALTHCARE
LLOYDS BANKING GROUP
Research Partner
센터는 사이버 위협 행위자의 전술과 전략에 대한
귀중한 렌즈를 제공했습니다. 위협에 기반한 방어
원칙을 수용하고 업계 전문가와 협력함으로써
우리는 업계와 조직이 거의 예측 가능한 사이버
보안 조치를 구현하고 인텔리전스 기능을 최적화
할 수 있는 실용적인 방법론을 개발할 수 있습니다.”
Lloyds는 오늘날의 주요 보안 과제 중 일부를 해결하
기 위해 MITRE와 협력하게 된 것을 자랑스럽게 생각
합니다. 우리는 조직 간의 장벽을 허물고 함께 협력하
여 최첨단 솔루션과 전략을 개발하는 센터의 능력이
최첨단 기술 발전에 기여하고 이익을 얻을 수 있는
독특한 기회를 제공한다고 믿습니다. 우리는 이러한
접근 방식을 통해 얻을 수 있는 이점을 확인했으며
계속해서 연구 파트너로 활동하게 되어 기쁩니다.”
—TJ Bean, Chief Information Security Oﬃcer
—Derek Whigham, Chief Product Owner,Chief
Security Oﬃce
SIEMENS AG
VERIZON
Research Partner
이 센터는 조직이 위협 정보 기반 방어를 슬로건에서
실행 가능한 사이버 보안 전략으로 전환하도록
돕는 데 탁월한 역할을 합니다. 조직이 MITRE
ATT&CK를 이상적인 방식으로 활용하고 ATT&CK
를 다른 관련 보안 프레임워크에 매핑하고 경험과
노하우를 커뮤니티와 공유할 수 있도록 지원하는
센터의 노력에 감사드립니다.”
Verizon에서는 항상 사람들에게 힘을 실어주고 그들이
스스로지도할 수있는 프레임워크와도구를 제공하는데
관심을 가져왔습니다. 이 작업은 결코 쉽지 않지만 센터와
의 파트너십을 통해 작업이 더 쉬워집니다. 우리는 기술적
인 측면에서 전략적인 측면으로동전을 뒤집고새로운
과제에 대처할 수 있습니다."
—Alex Pinto, Associate Director,Security Research -
—Michael Pascher, Senior Key Expert, Cybersecurity DBIR, Verizon Business

LETTER FROM
THE DIRECTOR
Contents
Letter fromthe Director ...................................6
Sensor Mappingsto ATT&CK ............................8
OceanLotusAdversary EmulationPlan ...........10
Summitingthe Pyramid..................................12
Threat Report ATT&CK Mapper(TRAM) .........14
ATT&CK WorkbenchII.....................................16
CTI Blueprints.................................................18
ATT&CK Integration into VERIS........................20
Adversary EmulationLibrary...........................22
AttackFlow 2.1 ..............................................22
Sync Up With ATT&CK Sync............................23
Celebrating the Contributor Community ........24
Benefactors AdvanceCritical R&D..................25
AdvisoryCouncil.............................................26
How To Get Involved.......................................28
Our Work........................................................30
I
4년 전 13명의 창립자로 출범한 센터 회원 수는
연구 참가자 37명으로 거의 3배 증가했습니다.
우리 회원들은 경쟁적 이해 관계를 제쳐두고 서로
협력할 목적으로 고유하고 글로벌하며 부문 간 관점을
모아 전체 글로벌 사이버 보안 커뮤니티의 이익을
위한 약 30개의 연구 개발 프로젝트를 수행합니다.
성장과 영향력의 놀라운 발전입니다.
그러다가 우리를 자신의 조직에 초대하거나 회의에서
우리 업무에 관해 연설하도록 초대한 사람들이 생각
납니다. 저는 컨퍼런스에서 만났고, 소셜 미디어에서
교류했으며, 이메일이나 웹사이트를 통해 센터와 연결
되기를 열망하는 사람들을 생각합니다. 일부는 프로젝트
에 데이터를 제공하기 위해 연결하기를 원합니다. 다른
사람들은 사용하려는 프로젝트에 대한 통찰력을 얻기
위해 연결하기를 원합니다. 다른 사람들은 프로젝트
릴리스와 센터 소식을 받기를 원합니다.
Center for Threat-Informed
Defense wins 2023 Global Infosec
Cybersecurity Research Award
2023년 내내 센터의 성장과 성공을 되돌아 보면서
저는 센터가 어떻게 발전해왔는지 상기하고 그
모습에 경외감을 느낍니다.

그리고 많은 사람들이 어떻게 센터에 가입하거나
참여할 수 있는지 알고 싶어합니다. 방법에 관계없이
그들이 연결하려는 이유는 동일합니다. Center for
Threat-Informed Defense 커뮤니티에 가입하고
위협 정보 기반 방어를 발전시키기 위해서입니다.
또한 3월에 출시된 센터의 후원자 프로그램은 조직에
자선 기부를 통해 MITRE ATT&CK®, Caldera ,
MITRE Engage 및 Center for Threat-
Informed Defense를 지원할 수 있는 기회를 제공합
니다. 지난 4월, 센터는 샌프란시스코에서 열린 RSA
컨퍼런스에서 사이버 보안 연구 부문 Cyber
Defense Magazine 2023 Global InfoSec Next
Gen Award를 수상했습니다. 그리고 10월에 센터는
LinkedIn 팔로워 10,000명이라는 소셜 미디어 기록
을 달성했습니다. 이는 글로벌 사이버 커뮤니티에
대한 우리 작업의 영향력을 더욱 높이기 위해 올해
착수된 많은 이니셔티브 중 일부에 불과합니다.
따라서 우리가 유기적으로 발전된 커뮤니티를 계속
해서 육성해야 한다는 것이 제 생각에는 타당합니다.
센터는 수년 동안 벨기에에서 열린 EU ATT&CK
커뮤니티 워크숍을 지원해 왔으며 2024년 이후에도
계속 지원할 것입니다. 우리는 또한 2024년 싱가포르
에서 아시아 태평양(APAC) ATT&CK 커뮤니티
워크숍을 시작하게 된 것을 기쁘게 생각합니다. EU
ATT&CK 커뮤니티 워크숍의 정신으로 우리는 해당
지역의 방어자들을 통합하여 위협 정보 기반 방어를
함께 공유하고 학습하며 발전시킬 것입니다. 지원을
제공하는 지역 센터 회원과 친구들의 열정은 APAC
워크숍이 성공할 것이라는 확실한 신호입니다.
지역 사회를 바라보는 관점에서 2023년 영향 보고서
를 살펴보시기 바랍니다. 위협 정보 기반 방어 센터
커뮤니티로부터 이익을 얻을 뿐만 아니라 기여할 동료,
사고 리더 및 혁신가를 고려하고 우리와 함께 초대
하십시오.
2023년에 우리는 전 세계 거의 24명의 청중에게
센터의 연구를 발표함으로써 우리가 받아들일 수 있는
것보다 우리 작업의 범위를 확장할 수 있는 더 많은
기회를 얻었습니다. 지난 3월, 센터는 센터의 임무를
지원하기 위한 전략적 지침과 경영진 옹호를 제공하기
위해 고위 임원들로 구성된 자문 위원회를 출범시켰
습니다.
여러분의 지속적인
지원에 감사드리며,
JONATHAN BAKER
Director, Center for
Threat-Informed
Defense

PUBLISHED DECEMBER 2023
SENSOR MAPPINGS TO ATT&CK
ATT&CK에 대한 센서 매핑은 사이버 방어자에게 자신의 환경에서 발생하는 사이버 사고를 식별하고 이해하는 데
필요한 정보를 제공합니다. 시스템 또는 네트워크 정보를 수집하는 데 다양한 도구와 서비스를 사용할 수 있지만
이러한 도구를 사용하여 환경에서 발생하는 특정 위협 및 적대적 행동에 대한 가시성을 제공하는 방법이 항상 명확한
것은 아닙니다. 센서 이벤트와 ATT&CK 데이터 소스 간의 이러한 매핑을 통해 사이버 방어자는 위협 행위자, 기술적
행동, 원격 측정 수집 및 영향을 포함하여 사이버 사고에 대한 보다 자세한 그림을 만들 수 있습니다.
PROJECT SPONSORS

Problem Solution Impact
사이버 방어자는 특정 적의
행동을 탐지하는 도구, 기능
및 이벤트를 연결해야 합니다.
ATT&CK 데이터 소스를 통해
적의 행동을 방어자의 도구,
역량 및 센서에 연결합니다.
방어자는 적의 행동을 관찰하는
데 필요한 데이터를 수집하고
분석합니다.
이 프로젝트는 널리 사용되는 여러 도구 세트에 대한 매핑을 제공할 뿐만
아니라 향후 매핑을 수행하기 위한 반복 가능한 방법론을 설정하므로
우리에게 핵심입니다. 센터의 방법론은 일관성과 반복성을 작업의 핵심
으로 삼아 앞으로 자신있게 이 접근 방식을 사용할 수 있도록 해줍니다.”
—ALEX WALLACE,Intelligence Technology Lead, Chief Security Oﬃce, Lloyds Banking Group
PROJECT SPONSORS

PUBLISHED OCTOBER 2023
OCEANLOTUS ADVERSARY EMULATION PLAN
OceanLotus(일명 APT32, SeaLotus, APT-C-00)는 베트남 기반 위협 그룹으로 의심되며 최소 2014년부터
활동해 왔습니다. 이 그룹은 여러 민간 부문 산업은 물론 외국 정부, 반체제 인사, 언론인을 표적으로 삼았습니다.
이 프로젝트는 레드 팀과 블루 팀이 실제 적대 행위에 대한 방어를 체계적으로 테스트할 수 있도록 Adversary
Emulation Library에 최초의 macOS 및 Linux 중심 계획을 추가합니다.
PROJECT SPONSORS

위협 정보 보고에 따르면 공격자
들은 macOS 및 Linux 시스템
을 점점 더 표적으로 삼고 있으
며, 적의 관점에서 방어에 대한
설명이 포함된 macOS 및
Linux에 대한 공개(public) 적
에뮬레이션 계획은 없습니다.
우리는전체 범위의퍼플 팀 구성
관점을위해 명시적인방어 원격
측정을사용하여macOS에서시
작하고Linux호스트에서끝나는
OceanLotus에대한 에뮬레이션
계획을만들었습니다.
이는 macOS 및 Linux에서
퍼플팀 운영을 가능하게 하고
현재의 이전 리소스로는 액세스
할 수 없는 환경에 대한 가시성
을 제공하는 공개적으로 발표된
최초의 에뮬레이션 계획입니다.
보안 팀은 센터 프로젝트를 활용하여 조직의 사이버 준비 상태를 평가함으로써
보다 적극적으로 대처할 수 있습니다. OceanLotus 에뮬레이션 계획을 통해
센터는 보안 팀이 적에 대한 방어 능력을 더 잘 이해할 수 있는 리소스를 생성
했습니다.”
—CARLWRIGHT,Chief Commerical Oﬃcer, AttackIQ
이 에뮬레이션 프로젝트는 macOS 환경에 적용할 수 있는 침투 테스트 기술에
대한 심층적인 이해와 함께 OceanLotus에 대한 포괄적인 탐색을 제공합니다.”
—KOTARO OHSUGI,Researcher, Fujitsu

PUBLISHED SEPTEMBER 2023
SUMMITING THE PYRAMID
많은 분석은 특정 도구나 아티팩트에 의존합니다. 공격자는 종속성을 활용하는 저비용의 변경을 통해 이를 쉽게
피할 수 있습니다. 이 프로젝트에서는 적의 회피 비용과 관련된 분석을 평가하는 방법을 개발했습니다. 우리는
방어자가 분석을 덜 회피할 수 있도록 접근 방식과 팁을 추가로 만들었습니다. 우리는 핵심 분석 세트를 통해
방법론을 시연했습니다.
PROJECT SPONSORS

공격자는 특정 도구나 아티팩트
에 의존하는 사이버 분석을 쉽
게 회피할 수 있습니다.
분석 내부의 종속성을 평가하고
적대적인 행동에 초점을 맞춰
분석을 더욱 강력하게 만드는
방법론을 만들고 적용합니다.
공격자가 진화하고 향후 캠페인
을 탐지하는 동안에도 이를 포착
하는 향상된 분석을 통해 방어자
에게 이점을 전가하세요.
끊임없이 진화하는 보안 분야에서는 적대적인 행동에 대한 탐지 기능을 지속적
으로 개선해야 합니다. Summiting the Pyramid 프로젝트는 분석을 회피하기
어렵게 만들어 탐지 기능을 향상시키는 전략입니다. Microsoft는 두 가지 주요
목표를 가지고 이러한 노력에 동참했습니다. 첫째, 우리는 이러한 분석 개선이
OS의 계측을 완전히 활용하여 강력한 고품질 탐지를 생성하도록 하는 것을 목표
로 합니다. 둘째, 기존 이벤트 및 로깅 메커니즘에 대한 잠재적인 개선 사항을 식별
하고 있습니다. 두 목표 모두 보안 커뮤니티 전체에 이익을 주는 데 맞춰져 있으며
지속적인 협력을 기대합니다.”
—GIERAELORTEGA,Security Researcher, Microsoft

PUBLISHED AUGUST 2023
THREAT REPORT ATT&CK MAPPER (TRAM)
사이버 보안 커뮤니티는 사이버 위협 인텔리전스(CTI) 보고서에서 적의 전술, 기술 및 절차(TTP)를 자동으로 식별
하기 위해 수년 동안 노력해 왔습니다. 기계 학습과 인공 지능의 발전으로 TRAM은 해당 문제를 해결하는 데 상당히
효과적인 솔루션입니다. TRAM의 이전 반복에서는 데이터 주석 도구를 만들고 지도 학습 방법을 사용하여 TTP를
추출하고 예측하는 데 중점을 두었습니다. 우리의 최신 프로젝트는 훈련 데이터의 품질을 향상시키고 모델 훈련 및
예측을 위해 미세 조정된 LLM(대형 언어 모델)을 효과적으로 사용합니다. 방어자의 요구 사항을 충족하기 위해 TTP
매핑의 속도와 정확성을 개선했습니다.
PROJECT SPONSORS

사이버 보안 커뮤니티는 CTI
보고서에서 발견된 적의 TTP
를 식별해야 합니다. TTP를
매핑하는 이 작업은 어렵고 오
류가 발생하기 쉬우며 시간이
많이 걸립니다.
TRAM 도구의 데이터에 대해
LLM을 교육하여 자동으로
TTP를 찾습니다.
CTI 분석가는 CTI 보고서에서
ATT&CK TTP를 자동으로 정확
하고 효율적으로 식별합니다.
위협 인텔리전스에서 ATT&CK 기술을 자동으로 추출하면 조직이 사용하는 보고
에서 색인을 생성하고 가치를 얻는 것이 훨씬 쉬워집니다. 이는 사이버 보안의
인간 문제를 해결하기 위한 현대 자연어 처리(Natural Language Processing)의
강력한 응용 프로그램입니다.”
—TED DRIGGS, Principal Project Manager, Crowdstrike

PUBLISHED AUGUST 2023
ATT&CK WORKBENCH II
ATT&CK Workbench를 사용하면 팀은 ATT&CK 지식 기반의 확장을 탐색, 생성, 주석 달기 및 공유할 수
있습니다. 이 작업은 팀의 새롭거나 업데이트된 기술, 전술, 완화 그룹 및 소프트웨어를 통해 확장할 수 있는
로컬 지식 기반으로 Workbench를 사용하는 유용성을 높입니다.
PROJECT SPONSORS

방어자는 적에 대한 조직의
현지 지식과 그들의 행동을
MITRE ATT&CK와 통합
하려고 노력합니다.
오픈 소스 소프트웨어 도구인
ATT&CK Workbench를
확장하고 개선하여 조직이
ATT&CK의 자체 로컬 버전을
더 잘 관리 및 확장하고 공식
ATT&CK 지식 기반과 동기화
를 유지할 수 있도록 합니다.
위협 인텔리전스가 공개
ATT&CK 지식 기반과 일치
하도록 방어자의 장벽을
낮춥니다.
ATT&CK보다 나은 점은 무엇인가요? 나만의 맞춤형 지식이 담긴 ATT&CK!
Workbench는 내부 지식, 주석 및 참조를 통해 ATT&CK를 확장하는 능력의
핵심이었습니다.
자체 캠페인, 위협 행위자, 메모 및 기타 인텔리전스를 통해 ATT&CK를 강화
하고 주석을 달 수 있는 것은 ATT&CK 프레임워크를 활용하는 방법에 있어
중추적인 역할을 했습니다.
HCA 헬스케어는 자체 내부 인텔리전스로 ATT&CK를 확장할 수 있는 것이
ATT&CK 성숙 여정의 다음 단계라고 믿기 때문에 센터와 협력하여 이 프로젝트를
진행했습니다.”
—DAVID VASIL, Security Threat Architect, HCA Healthcare

PUBLISHED JUNE 2023
CTI BLUEPRINTS
CTI Blueprints는 분석가가 필요한 형식으로 설명적인 CTI(사이버 위협 인텔리전스) 보고서를 생성하기 위한
접근 방식과 프로토타입 도구를 개발했습니다. CTI Blueprint를 사용하여 생성된 보고서에는 구조화된 STIX
콘텐츠가 포함되고 ATT&CK 참조 태그가 지정되며 운영 방어 사이버 분석, 분석 테스트 및 적 에뮬레이션이
가능합니다. 우리는 사이버 위협 인텔리전스의 새로운 표준을 확립할 것입니다. 생산자는 소비자를 위해 실행
가능한 인텔리전스를 생성할 것이며, 소비자는 위협에 기반한 구체적인 조치를 취할 것입니다.
PROJECT SPONSORS

위협 정보 생산자는 방어자의
요구 사항을 충족하는 완성된
인텔리전스를 생성하기 위해
명확하고 구체적인 지침과 도구
가 필요합니다.
방어자의 사용 사례를 반영
하여 전문가가 개발한 템플릿
으로 생성된 실행 가능한
인텔리전스 보고서를 통해
방어자의 중요한 질문에
답하세요.
위협 인텔리전스 생산자는
사용자가 즉시 운영할 수 있는
실행 가능한 인텔리전스를 생성
합니다.
위협 인텔리전스의 지속적인 과제 중 하나는 동일한 인텔리전스를 사용하여
다양한 이해관계자에게 접근해야 한다는 것입니다. 그러나 이들은 모두 서로
다른 역할, 컨텍스트 프레임 및 요구 사항을 가지고 있습니다. CTI Blueprints는
위협 인텔리전스가 향하는 자연스러운 진화를 본 센터의 생각이 일치했기 때문에
우리가 센터에 참여할 수 있는 흥미로운 기회였습니다. 우리는 정부 및 상업 부문
에서 45개국에 걸쳐 고객과 고객의 TI 팀에 위협 인텔리전스 보고를 제공하며,
CTI Blueprint를 사용하여 생태계 전반에 걸쳐 더 많은 사람들을 확보할수록
생태계 전체가 더 많은 이점을 얻을 수 있습니다.”
—ADRIANNISH,Head of Cyber Portfolio, BAE Systems Digital Intelligence

PUBLISHED APRIL 2023
ATT&CK INTEGRATION INTO VERIS
VERIS에 ATT&CK 통합은 VERIS와 ATT&CK 사이의 변환 계층을 업데이트하고 확장하여 ATT&CK가 VERIS에서
코딩된 사고에서 관찰된 공격자 행동을 설명할 수 있도록 합니다. 이러한 연결을 통해 ATT&CK가 잘 설명하는 정보와
VERIS가 잘 설명하는 사건 인구통계 및 메타데이터를 공동으로 분석할 수 있습니다.
PROJECT SPONSORS

VERIS 데이터 모델 사용자에게
는 VERIS에 설명된 사건을
해당 사건에 사용된 기본 적의
전술, 기술 및 절차(TTP)와
연결하는 잘 정의된 방법이
부족합니다.
VERIS 형식의 데이터를 특정
ATT&CK TTP에 연결하는
공통적이고 개방적인 방법을
구축하고 문서화합니다.
ATT&CK 기반 위협 정보를
VERIS 기반 사고 보고서에
연결하여 방어자가 적의 TTP를
실제 영향에 효율적으로 연결할
수 있는 역량을 강화합니다.
사고 보고에 대한 규제 압력이 증가하는 세상에서 방어자에게 명확하고 유용한
보고 분류를 활용하는 것은 그러한 프로그램의 유용성을 극대화하는 열쇠입니다.”
—ALEX PINTO,Associate Director, Security Research—DBIR, Verizon Business
두 번째 반복에서 VERIS 및 ATT&CK 매핑에 대한 센터의 작업은 유사하지만
서로 다른 각도를 가진 두 프레임워크를 함께 통합하려는 지속적이고 큰 헌신을
보여줍니다. 센터는 예상되는 일반적인 고품질 방식으로 프로젝트 관리 및 실행을
제공하여 실제 사용 사례에서 매핑 주제로 전환하는 동시에 툴링(tooling) 영역의
결과물도 확장했습니다.”
—THOMASPENTEKER,Head of Siemens Cert, Siemens AG

ADVERSARY EMULATION
LIBRARY
에뮬레이션 계획은 실제 적대
행위에 대한 방어 우선순위를
지정하려는 조직의 현재 방어를
테스트하는 데 필수적인 구성
요소입니다.
*6개: Apache RCE, Data
Exfiltration, DLL Sideloading,
Log Clearing, Reflective
Loading 및 User Execution.
Adversary Emulation Library
는 조직에서 실제 위협에 대해
방어가 실제로 어떻게 진행되는
지 이해하는 데 사용할 수 있는
일반적인 기성 에뮬레이션 계획
세트(전체 에뮬레이션 계획 및
마이크로 에뮬레이션 계획)를
제공합니다.
ATTACKFLOW 2.1
2023년 4월 6개*의 새로운
마이크로 에뮬레이션 계획이
라이브러리에 추가되어
라이브러리의 총 계획 수가
12개로 늘어났습니다.
원래 2022년 3월에 출시된 Attack
Flow는 방어자들이 개별 적의 행동을
추적하는 것에서 적들이 목표를 달성
하기 위해 사용하는 일련의 행동을
추적하는 것으로 이동합니다. 방어자
는 행동의 조합을 살펴봄으로써 이들
사이의 관계, 즉 일부 기술이 다른
기술을 설정하는 방법이나 공격자가
불확실성을 처리하고 실패에서 복구
하는 방법을 배웁니다.
Micro Emulation Full Emulation
Emulate compoundbehaviors
across2–3 techniques
Emulate adversary operation
Executable in seconds Executable in hours
E.g., Fork& Run Process Injection
Easyto automate
E.g., FIN6 adversary emulation plan
Easyto automate
Validate atomicanalytics
Validate chain analytics
Validate atomicanalytics
Validate chain analytics
EvaluateSOC against a
specific set of TTPs
EvaluateSOC against a
specific set of TTPs
이 프로젝트는 블루팀에서 레드팀까
지, 수동 분석에서 자율적 대응까지,
일선 직원부터 최고 경영진까지
다양한 사용 사례를 지원합니다.
공격 흐름은 복잡하고 적대적인
행동을 설명하기 위한 공통 언어와
도구 세트를 제공합니다.
EvaluateSOC holistically
against specific groups
EvaluateSOC holistically
against specific groups

ATT&CK 지식 기반은 1년에
두 번 업데이트되며, 새로운
ATT&CK 릴리스가 나올 때마다
이러한 프로젝트는 뒤쳐져 업데
이트가 필요합니다. ATT&CK
Sync는 ATT&CK v13을 지원
하기 위해 봄에 출시되었으며
ATT&CK v14 출시 이후 가을에
업데이트되었습니다.
ATT&CK Sync는 조직이 최신
버전의 ATT&CK를 유지하고
모두의 시간과 노력을 절약
하기 위해 자체 솔루션을 구현
하는 데 사용할 수 있는 도구와
방법론을 제공합니다.
2023년 8월에 출시된 Attack
Flow 2.1은 공격 시각화 방식을
변경하려는 방어자의 사용성을
향상하고 진입 장벽을 낮췄습니다.
SYNC UP WITH ATT&CK
SYNC
ATT&CK Sync는 적시에 효율
적인 방식으로 기존 프로젝트를
현재 ATT&CK 버전으로
마이그레이션할 수 있는 도구와
리소스를 제공하여 MITRE
ATT&CK의 새 버전으로의
업그레이드를 간소화합니다.

CELEBRATING THE
CONTRIBUTOR COMMUNITY
전 세계적으로 위협 정보 기반 방어를 발전시키는 것은
커뮤니티의 지원과 기여를 통해서만 가능합니다.
STOPPING INSIDER THREATS ADVERSARY TRACKING
내부자 위협 TTP 지식 베이스의 기여자는
ATT&CK에서 영감을 받은 커뮤니티 최초의
교차 부문, 다중 조직, 커뮤니티 소스 내부자
위협 데이터 본체의 창립자입니다. 내부자
위협 TTP 모음을 기반으로 방어자는 IT
시스템에 대한 내부자 활동을 감지, 완화 및
에뮬레이트합니다.
Sightings Ecosystem 프로젝트는 단일
조직이 자체적으로 구축할 수 없는 방어자
의 의사 결정 프로세스에 실제 데이터와
통찰력을 주입하는 기본 리소스입니다.
ATT&CK에 매핑된 위협 활동에 대한
글로벌 보기를 생성한 데이터 기여자에게
경의를 표합니다.
커뮤니티 기여 덕분에 우리는 2021년 8월부터
2023년 11월까지 160만 건의 목격 사례를 분석
할 수 있었으며, 여기에는 353가지 고유 기술이
포함되어 있으며 198개국에서 발생했습니다.
이들의 기여 덕분에 우리는 내부자에 대한 300개
이상의 지표를 분석했으며 내부자를 탐지하는 데
사용할 수 있는 28가지 고유한 ATT&CK 기술과
16가지 로그 유형을 식별했습니다.
300+ 28 16 1.6M 353 198
INDICATORS TECHNIQUES LOG TYPES SIGHTINGS TECHNIQUES COUNTRIES

BENEFACTORS ADVANCE CRITICAL R&D
우리는 MITRE ATT&CK®, Caldera , MITRE Engage 및 Center for Threat-Informed
Defense와 같은 공공 사이버 보안 프로그램에 대한 재정적 지원을 통해 위협 정보 기반 방어를
발전 시키는 데 있어서 그들의 역할이 중요하다는 것을 인식하고 있는 후원자들에게 감사드립니다.
OUR BENEFACTORS
BECOME A BENEFACTOR TO
ADVANCE THREAT-INFORMED
DEFENSE FOR ALL

ADVISORY COUNCIL
각 창립 참가자와 각 연구 파트너의 고문은
센터의 사명을 지원하기 위해 전략적 지침과
경영진 옹호를 제공합니다. 고문은 위협 정보
기반 방어 발전에 대한 전략, 모델 및 접근
방식을 발전시키는 과정에서 경영진의 경험을
활용하여 센터를 안내합니다.
CARL WRIGHT
Chief Commercial Oﬃcer
AttackIQ
ELVIS VELIZ
Global Head of Cloud Security
Operations
Citi
센터 고문은 센터의 사명을 안내하고 발전
시키기 위해 자신의 기술과 경험을 활용합니다.
그들의 조언은 센터의 사명과 지역사회 전체의
요구 사항을 충족하려는 목표로 자원을 최대한
활용하는 것 사이의 조정을 보장하는 데 매우
중요합니다.
BRIAN CARVALHO JOEL SPURLOCK
VP Data Science
CrowdStrike
Research Partner
Head of Cyber Security
Architecture & Innovation
Bank of America
GARRETTSON BLIGHT MICHAEL DANIEL
Managing Director of Global
Cyber (Government)
President and CEO
Cyber Threat Alliance
Founding Non-Proﬁt
Booz Allen Hamilton

DEREK MANKY SRIDHAR MUPPIDI KARTHIK SELVARAJ
Chief Security Strategist & VP
Global Threat Intelligence
Fortinet
IBM Fellow, VP & CTO
IBM Security
Research Partner
Partner Director Security
Researcher
Microsoft
Research Partner Founding Research Partner
SYOICHI KANZAKI SHAHANSUDUSINGHE DR.MARTIN OTTO
President Global Head of Cybersecurity
Monitoring and Response
JPMorgan Chase Bank
Head of Cybersecurity Research
US
Fujitsu System Integration
Laboratories Siemens AG
Founding Research Sponsor Founding Research Partner Founding Research Sponsor
TJ BEAN DEREK WHIGHAM ALEX PINTO
Chief Information Security
Oﬃcer
Chief Product Owner, Chief
Security Oﬃce
Lloyds Banking Group
Research Partner
Associate Director, Security
Research—DBIR
HCA Healthcare Verizon Business
Founding Research Partner Research Partner

HOW TO GET INVOLVED
YOU CHOOSE HOW
TO GET INVOLVED
SUPPORT THE MISSION
센터의 임무는 간단합니다. : 전 세계적으로 위협 정보 기반 방어의 최신 기술과 관행을 발전시키는 것입니다.
센터에서는 전 세계의 정교한 사이버 보안 팀이 함께 모여 중요한 과제에 대한 솔루션을 연구하고 개발합니다.
그런 다음 작업 결과를 자유롭게 공개합니다.
ADOPT THE FREELY AVAILABLE R&D
우리의 업무를 활용하여 조직의 위협 정보 기반 방어를 발전시키세요. 당신의 조직에 Center R&D를 적용하면 관련
성이 높고 영향력이 크며 적의 판도를 바꾸는 데 더 가까이 다가갈 수 있습니다. 귀하가 센터의 R&D를 어떻게 활용
하고 있는지 알려 주시면 우리의 작업을 지속적으로 개선하여 사용하기 쉽고 영향력을 높일 수 있습니다.
BECOME A BENEFACTOR—ADVANCE R&D IN THE PUBLIC INTEREST
후원자는 자선 기부를 통해 모두를 위한 위협 정보 기반 방어를 확장하고 발전시킵니다. 이들의 지원은 MITRE
ATT&CK®, Caldera , MITRE Engage 및 Center for Threat-Informed Defense와 같은 중요한
공공 사이버 보안 프로그램을 유지합니다. 후원자는 공익을 위한 독립적인 연구를 지원한 공로로 전 세계적으로
인정을 받고 있습니다.

BECOME A CENTER PARTICIPANT—GUIDETHE R&D PROGRAM
ATT&CK의 정교한 사용자로서 귀하의 조직은 센터의 R&D 프로그램을 주도하고 있습니다. 우리 참가자들은
어려운 문제를 해결하고 아이디어를 사이버 보안 분야의 판도를 바꾸는 솔루션으로 구체화하는 업계 사고 리더
이자 혁신가입니다. 회비를 지불하는 것 외에도 센터 참가자는 R&D 프로그램에 자금을 지원하고 자신의 기여가
적의 게임을 변화시키고 있다는 것을 이해하면서 모든 센터 R&D 개발에 적극적으로 협력합니다.
RESEARCH PARTNER RESEARCH SPONSOR NON-PROFIT PARTICIPANT
최상위 참가자로서 연구 파트너
는 센터의 R&D 프로그램과
실제로 위협 정보 기반 방어의
미래 방향에 상당한 리소스를
기여 합니다. 귀하의 조직은
적의 판도를 바꾸고 위협 정보
기반 방어의 최신 기술과 관행을
개선하기 위해 실질적인 접근
방식을 취하게 됩니다.
연구 후원자는 센터 멤버십의
가장 큰 부분을 구성하며 우리
작업의 중추입니다. 귀하의
조직은 공익을 위해 센터의 연구
프로그램을 발전시키기 위해
전문 지식, 직원 및 자원을 제공
할 수 있는 기회를 갖게 됩니다.
비영리 참가자는 사이버 방어자
를 옹호하고 업무 범위를 확장
하기 위해 협력하는 센터의
풀뿌리 구성원입니다. 비영리
참가자는 초대를 통해서만
이용할 수 있는 고유한 회원
등급입니다.
Openness
Memberspropose
ideas
Flexibility
Memberschoose
projects
Collaboration
Membersshareideas,
research,andfunding
Leadership
Membersgain
invaluable expertise

OUR WORK CYBER
THREAT
INTELLIGENCE
참가자 조직과 함께 센터는 오픈 소스 소프트웨어, 방법론 및
프레임워크를 사용하여 위협 정보 기반 방어를 발전시킵니다. 여기서는
2019년 11월 센터 출범 이후 글로벌 사이버 커뮤니티에 발표된
연구 개발 프로젝트 디렉터리를 찾을 수 있습니다. 이러한 프로젝트는
함께 위협 정보 기반 방어의 세 가지 핵심 원칙을 발전시킵니다.
THREAT-
INFORMED
DEFENSE
TESTING
AND
EVALUATION
DEFENSIVE
MEASURES
CYBER THREAT INTELLIGENCE DEFENSIVE MEASURES
• ATT&CK for Cloud
• ATT&CK for Containers
• ATT&CK Workbench
• ATT&CK Integration into VERIS
• Attack Flow
• Atomic Data Sources
• ATT&CK Powered Suit
• Cloud Analytics
• Defending IaaS with ATT&CK
• NIST 800-53 Control Mappings
• Threat Report ATT&CK Mapper (TRAM) • Security Stack Mappings—GoogleCloud
Platform
• Security Stack Mappings—AmazonWeb
Services
TESTING & EVALUATION
• CALDERA Pathﬁnder • Security Stack Mappings—Azure
• Mapping ATT&CK to CVE for Impact
• FIN6 Adversary Emulation Plan
• Insider Threat TTP Knowledge Base
• menuPass Adversary Emulation Plan
• Micro Emulation Plans
• Sightings Ecosystem
• Top ATT&CK Techniques OUR WORK

ABOUT THE CENTER FOR
THREAT-INFORMED DEFENSE
이 센터는 MITRE Engenuity 가 운영하는 비영리,
민간 자금 지원 연구 개발 조직입니다. 센터의 임무는
전 세계적으로 위협 정보 기반 방어의 최신 기술과
관행을 발전시키는 것입니다.고도로 정교한 보안 팀을
갖춘 전 세계 참가자 조직으로 구성된 이 센터는 기업
보안 운영에서 보안 팀과 공급업체가 사용하는 위협 정보
기반 방어의 중요한 기반인 MITRE ATT&CK®를 기반으로
구축되었습니다. 센터는 공공의 이익을 위해 운영되기
때문에 연구 개발의 결과는 공개적으로 이용 가능하며
모든 사람의 이익을 위해 이용 가능합니다.
For more information contact:
ctid@mitre-engenuity.org
© 2024 MITRE Engenuity, LLC. Approved for Public Release. Document number CT0099

AttackIQ 한국 총판 | 소프트와이드시큐리티
서울시 서초구 마방로 10길 5, 태석빌딩 7층 (주)소프트와이드시큐리티
02-6052-5701
pr@softwidesec.com
https://www.softwidesec.com

2023 Impact Report_Center for Threat-Informed Defense_Softwide.pdf

Recommended

Recommended

More Related Content

Similar to 2023 Impact Report_Center for Threat-Informed Defense_Softwide.pdf

Similar to 2023 Impact Report_Center for Threat-Informed Defense_Softwide.pdf (20)

More from Softwide Security

More from Softwide Security (12)

Recently uploaded

Recently uploaded (6)

2023 Impact Report_Center for Threat-Informed Defense_Softwide.pdf