TTPs란?
TTPs는 Tactics, Techniques, and Procedures의 약자로, 공격자가 목표를 달성하기 위해 사용하는 접근 방식, 기술, 그리고 실행 방법을 말합니다. TTPs는 사이버 보안과 위협 인텔리전스 분야에서 공격자를 이해하고 방어 전략을 세우는 데 중요한 개념입니다.
TTPs는 Mitre Attack의 TTPs를 가르킵니다.
빨간 박스에 있는 부분이 전술( Tactics )로 공격자가 공격 과정을 나타냅니다.
아래 노란박스의 있는 부분은 기술( Techniques )로 공격 과정에서 수행하는 기술들을 나타냅니다.
TTPs가 생겨난 배경은?
사이버 보안이 점차 발전하고, 공격자들의 행위가 더 정교해짐에 따라 체계적으로 공격을 이해하고 방어를 강화하기 위해 등장한 개념입니다. 특히, 조직이 공격자 중심의 분석을 통해 효과적으로 방어하기 위한 필요성에서 비롯되었습니다.
1. 공격자의 공격 기술 고도화
사이버 보안이 점차 발전하며 공격을 막는 기술 기반의 방어 장치가 등장하였습니다.
네트워크 기반으로 방화벽, IDS, IPS, WAF 등
클라이언트 기반으로 Antivirus 등
이러한 기술 기반 방어 장치가 발전하며 공격자들은 방어 장치에 탐지 되지 않도록 진화했습니다.
예를 들어 IPS에 걸리지 않기 위해 공격 페이로드 사이 사이에 의미 없는 값을 넣어 회피를 시도했고
Antivirus에 탐지 되지 않기 위해 바이러스가 설치되고 실행하게 되면 Antivirus를 삭제 시키는 등 회피 기술 또한 발전하였습니다.
2. 공격자와 방어자의 불균형
공격자는 한 가지 취약점을 성공적으로 악용하기만 하면 되지만, 방어자는 모든 공격 경로를 방어해야 하는 상황.
이러한 이유들로 공격자의 패턴과 공격의 흐름을 이해하고 있어야 손쉽게 막을 수 있다 생각하여 만들어진게
Mitre Attack의 TTPs 프레임워크 입니다.
참고 문헌
https://attack.mitre.org/