AttackIQ

AttackIQ의 접근방식

Do you know your Risk Exposure?

오늘날 사이버 보안은 IT 문제 이상입니다. 운영상의 문제이고, 경영진의 문제이며 궁극적으로 비즈니스 위험(business risk)의 문제입니다. 비즈니스가 오늘날의 위협 환경에서 보안 리소스의 우선순위를 효과적으로 지정할 수 있도록 최신 IT 및 보안팀이 공격적 사고 방식을 통해 방어 전략을 수립하고 있습니다.

AttackIQ의 접근 방식은 전체 보안 프로그램의 폭과 깊이를 지속적으로 행사한다는 점에서 독특합니다. 우리는 사용자의 환경과 관련된 통제된 적대적 행동을 만들고 동시에 탐지 및 방지 기능을 측정하고 검증함으로써 이를 수행합니다. 이 방법으로 AttackIQ는 조직에서 가장 높은 확률론적 위험 노출에 대한 지식을 제공하므로 위반을 하거나 최악의 경우 현대의 적에 의해 야기될 수 있는 피해를 제한 할 수 있습니다.

“공격 방어(offensive defense)” 사고 방식으로 운영하면 조직의 인프라, 사람, 프로세스 및 기술의 한계를 넘어서는 방식으로 탐지 및 대응 전략을 재구성합니다. 그것은 당신의 조직을 데이터에 따라 처리하도록 하며, 기업이 핵심 자산을 보호하는 보안 통제를 측정 및 검증하여 비즈니스에 대한 위험 노출을 최소화하는데 더 나은 결정을 할 수 있게 해줍니다.

oodaloop.png__500x0_q85_subsampling-2_upscale

AttackIQ 개요

Industry's First Continuous Security Testing Platform

AttackIQ는 MITRE 기반의 공격 시나리오를 사용 및 생성하고, 공격자의 행위와 유사하게 모방 공격하여 대응 능력을 평가할 수 있는 MITRE ATT&CK Matrix 기반의 해킹 대응 능력 평가 플랫폼입니다.

공격자와 유사한 형태로 다양한 공격 시나리오를 만들고 템플릿 또는 생성 시나리오를 이용하여 공격 시뮬레이션하여 공격 상태와 결과, 완화 가이드를 한 눈에 시각화할 수 있습니다.

MITRE ATT&CK

Why is MITRE ATT&CK so important?

MITRE ATT&CK는 공격자의 라이프 사이클의 다양한 단계와 목표로 삼는 플랫폼을 반영한 행동을 위한 선별된 지식 기반 모델로, 알려진 보안 위협에 대한 위험성을 이해하고 보안 향상 계획을 수립하고 방어 작업을 확인하는데 유용한 일종의 설명서입니다.

복잡해지고 다양해지는 공격을 막기 위해서는 공격자의 전술, 기술, 공통 지식을 기반으로 공격 시나리오를 생성하여 공격자의 입장에서 방어 전략을 수립하는 것이 성공적인 사이버 방어의 핵심입니다.

MITRE ATT&CK는 공격자가 달성하려고 하는 최상의 전술적 목표와 공격자가 목표를 달성하기 위해 사용하는 기술을 세분화하고, 각 기술 항목은 진보된 지속적인 위협에 적극적으로 사용되었거나 레드 팀에게 공통적으로 사용된다는 점에 근거를 둡니다. 취약성과 공격에 중점을 둔 다른 위협 모델과는 달리 행동 기반으로, 정상적인 기능을 가장한 최신 공격 특징을 가장 잘 반영한 공격자 모델입니다.

AttackIQ FireDrill 플랫폼

The AttakIQ Platform Offensive Deffense

AttackIQ FireDrill은 FireDrill 에이전트, FrieDrill 콘솔 및 시나리오 패키지의 세 가지 요소로 구성된 플랫폼입니다. MITRE 기반의 공격 시나리오, 그리고 커뮤니티와 개방형 시스템 테스팅 플랫폼에서 제공되는 시나리오 및 개발을 통하여 현실 세계의 공격을 모방합니다.

에이전트가 인프라의 Windows, Linux 또는 Mac OS-X 자산에 설치되면 FireDrill 콘솔에 계속 연결되어 통신합니다. 에이전트는 FireDrill 콘솔에서 시나리오 패키지를 받아 실행합니다. 그런 다음 분석가가 결과, 성공률 및 테스트한 컨트롤을 개선하기 위한 권장사항을 볼 수 있는 콘솔에서 실시간으로 정보를 보내줍니다.

첫번째 에이전트가 인프라 내에 배치된 시점부터 첫번째 FireDrill 시나리오를 실행할 수 있습니다. 그 다음부터는 사용이 간편한 FireDrill 웹 인터페이스를 통해 캠페인 계획을 세우고 리포트를 사용하여 취약성을 즉시 확인하고, 완화 옵션을 이해하고, 컨트롤리 의도한 대로 작동하거나 개선되었음을 입증할 수 있습니다.

How AttackIQ FireDrill Works

1.테스트 포인트 에이전트 배포

AttackIQ FireDrill 플랫폼 용 센서로 선택한 에이전트를 다운 받아서 실행
다양한 운영 체제(Window,Linux,OSX), 클라우드 / 온- 프레미스의 유연한 배포, 필요에 따라 확장 / 축소

2.시나리오 실행

실제 악성 코드 및 공격 벡터를 시뮬레이션 하여 보안 상태를 확인 및 평가
떠오르는 위협에 기반한 새로운 시나리오의 지속적인 생성

3.결과 보기

보안 상태를 명확하게 보여줄 수 있는 사용자 정의 가능한 자동 보고 기능과 직관적인 사용자 대시보드를 통하여 실시간으로 이벤트를 시각화
신종 공격으로 인한 위험 평가, 보안 취약점에 대해 빠른 결정, 지속적인 보안 컨트롤 검증

AttakIQ 주요 특징

How We Deliver Value

DEPLOYMENT

유연한 배치

AttackIQ는 기존 인프라에 맞게 설계 되었습니다. AttackIQ의 관리 콘솔을 사내 구축형, 가상 사설 클라우드 또는 관리형 멀티 테넌트 클라우드로 실행할 수 있는 배포 옵션을 통해 IT 요구사항 및 용량에 가장 적합한 배포 결정을 유연하게 수행할 수 있습니다.

AttackIQ 관리 콘솔 배포 옵션 :

• Managed multi-tenant cloud
• Private multi-tenant cloud
• Private multi-tenant on-premises native device or virtualized instance

AttackIQ 에이전트 배포 옵션 :

• Native, virtual or cloud
• Support for multiple operating systems (e.g. Windows, Mac, Linux, etc)
• Production or Lab environments

SCENARIO LIBRARY

확장 가능한 시나리오 라이브러리

AttackIQ의 광범위한 시나리오 라이브러리를 통해 적대적 행동에 대한 생산 보안 통제를 적극적으로 실행할 수 있습니다.

탐지 및 예방 컨트롤(detection and prevention controls)을 검증하려면 적대적 지표(advesarial indicators)에 대한 테스트를 통해 공격자를 공격 할 때 적의 공격을 막을 수 있는지 판단 할 수 있어야 합니다. 모든 지표가 동등하게 생성되는 것은 아니며, 그중 일부는 다른 지표보다 훨씬 더 중요합니다.

적대적인 TTPs(Tactics, Techniques in Procedures) 중심
Turn-key 방식의 실행하기 쉬운 평가 템플릿은 “do-no-harm”, 다중 위상/다중 벡터 방식으로 실행
주문형 실행, 예약 또는 API를 통해 트리거 됨
플랫폼 개발 SDK를 사용하면 기존 시나리오를 확장하고 사용자 정의된 시나리오 개발 가능

MITRE ATT&CK MAPPING

MITRE는 실제 관찰을 기반으로 적대 행위를 기술하고 분류하는 방법으로 ATT&CK를 2013년에 도입했습니다. ATT&CK는 전술 및 기법으로 컴파일되고 STIX/TAXII를 통해 소수의 매트릭스로 표현된 알려진 공격자 행동의 구조화된 목록입니다. 이 목록은 공격자가 네트워크를 손상시킬 때 사용하는 행동을 상당히 포괄적으로 나타내므로 다양한 공격 및 방어 측정, 표현 및 기타 매커니즘에 유용합니다.

ATT&CK의 전술과 기술을 귀사의 환경에 맞게 테스트하는 것이 가장 좋은 방법입니다.

보안 컨트롤 및 그 효능 테스트
다양한 전술과 기술에 대한 보장 범위 보장
가시성 또는 보호의 차이 이해
도구 및 시스템의 구성 검증
다른 행위자가 성공하거나 환경에서 포착될 수 있는 위치 시연
탐지되거나 완화되는 대상과 그렇지 않은 대상을 정확히 파악하여 컨트롤을 사용하여 추측과 가정 방지

사용자 환경의 프레임 워크를 최상으로 작동시키기 위해 AttackIQ는 ATT&CK 프레임워크 내에서 각 전술 및 기법을 구현하는 시나리오를 개발하여 컨트롤을 수행하고 기능 범위를 매핑 할 수 있습니다. 각 전술은 공격 후 사후 대처 시나리오의 한 단계를 나타내므로 노출을 이해하고 리소스의 우선 순위를 효과적으로 지정하여 잘못된 구성을 수정하고 갭을 메울 수 있습니다.

INTEGRATIONS

IN-DEPTH 통합 제어

어떠한 보안 침해나 사고에서도 단일 실패 지점을 지적하는 것은 비교적 드뭅니다. 그 이유는 수비수가 공격자가 취하는 경로를 선택하지 않기 때문입니다. 공격자의 경우 끝까지의 경로가 사용 가능하므로 선택됩니다. 수많은 경로와 보안 제어가 있어 경로를 보호하며 각 경로를 독립적으로 또는 회귀 분석의 관점에서 측정하고 검증하는 것이 중요합니다.

직접적이고 통합 지점에서 다양한 보안 제어 기능에 통합 (예 : SIEM)
통합 제어에 대한 제어 파이프라인 유효성 검사 제공
SIEM, SOAR, 엔드포인트, 네트워크, 클라우드, 식별 및 데이터 검증 뿐만 아니라 관련 프로세스 및 사람들의 유효성 검증
기존 통합을 확장하고 더 많은 맞춤형 통합을 구축하기 위한 포괄적인 개발 SDK 포함

REPORTING

효과적인 리포팅

조직에 대한 효과적인 보고의 중요성은 아무리 각오해도 지나치지 않지만, 오늘날 회사의 IT 보안 팀과 비즈니스간에 커다란 커뮤니케이션 격차가 있습니다. 효과적인 IT 보안은 규정을 훨씬 뛰어 넘는 것이며 운영자들은 이를 알고 있어야합니다. 특정 기업의 자산을 보호하고 비즈니스에 대한 노출을 명확히 이해하는 구체적인 보안 통제에 대한 지표를 파악해야합니다.

효과적인 보고서는 다음을 도울 수 있습니다 :

정보 유지
신속한 업데이트 적용
조직 내 커뮤니케이션

현재의 보안 효과와 비즈니스에 대한 노출을 알리기 위해 AttackIQ 플랫폼에는 많은 경영진 및 기술 보고서가 있습니다. 이 보고서는 비즈니스에 대한 위험 노출이 가장 큰 분야를 대상으로하고 우선 순위를 지정하는데 도움이됩니다. 또한 AttackIQ 플랫폼은 IT 및 보안 워크플로우에 자동으로 알림을 보내어 위험 노출을 최소화하는 방법에 대한 완화 및 실행 가능한 인텔리전스를 제공하도록 구성 할 수 있습니다.

API & SDK

디지털 세계는 점점 더 상호 연결되고 있으며, 이로 인해 API의 중요성이 커지고 있습니다. 그것들은 응용 프로그램, 시스템, 데이터베이스 및 장치 간의 연결 고리입니다. 이는 전반적인 비즈니스 전략을 지원하기위한 필수 요소이자 디지털 전환의 중요한 원동력입니다.

AttackIQ의 API First 접근 방식을 사용하면 플랫폼을 기존 IT 인프라 스트럭처에 통합 할 수 있습니다. Google API를 사용하면 워크플로우에 적합한 플랫폼에서 플랫폼과 통신 할 수 있습니다. 팀 공동 작업을 통해 효율성과 생산성을 극대화하려면 솔루션을 찾기 위해 AttackIQ가 100% 지원하는 API 우선 접근 방식이 필요합니다.

API 외에도 AttackIQ는 맞춤형 시나리오, 통합 및 평가 템플릿을 개발할 수 있는 개발 SDK를 제공합니다.

COMMUNITY

신뢰할 수 있는 커뮤니티 협력

AttackIQ는 지속적인 보안 검증의 새로운 영역을 정의합니다. 커뮤니티는 전 세계 보안 집단과 신뢰할 수 있는 보안 전문가 집단이 전문 지식을 전달하고 공유하는 등 업계에서 제공하는 차별화된 가치의 큰 부분을 차지합니다. 사이버 범죄자들은 아이디어, 자원, 도구 및 전술을 공유하여 자신들의 결합된 경험을 자신의 집단적 이익을 위해 활용합니다. 급변하는 세계에서 우리는 보안 수비수가 속도를 유지하기 위해 자원을 모으는 능력을 가져야한다고 믿습니다.

AttackIQ 커뮤니티는 아래 사항을 지원합니다 :