- MITRE ATT&CK for Healthcare
- MITRE: 사이버 보안 문제 연구
미국의 비영리 기관 (연방 자금 지원 연구 개발센터 관리)- NIST: 사이버보안 표준 제정
미국 상무부 산하 국립표준기술연구소, 보안과 관련한 일반적이 프레임워크- CISA: 사이버보안 방어 실행
미국 국토안보부 산하 사이버보안 및 인프라 보안 기관- CERT: 사이버보안 이론 연구
카네기멜론대 소프트웨어 공학연구소 컴퓨터 비상대응팀
MITRE ATT&CK
- 사이버 킬체인: 공격자가 어떻게 작업하고 단계가 어떤지 설명
정찰- 무기화- 배달- 악용- 설치- 지휘통제- 목적활동
- 공격 대비 맞춤 방어: 방어자가 공격자를 식별하려면 공격자처럼 생각해야 함 (어떻게 작업하는지, 어떤 기술을 사용하는지, 무엇을 찾고있는지 등...)
- 방어자가 답변하기 힘든 질문
- 현재 방어가 효율적인가?
- 현재 수집하는 데이터가 유용한가?
- ex) APT37 (북한)과 같은 공격그룹의 공격을 탐지할 수 있는가?
- 범위가 중복되는 툴을 가지고 있지 않은가?
- 도입할 신규 제품이 방어에 도움이 될 것인가?
- ATT&CK: Adversarial Tactics, Technuques, and Common Knowledge)
일부 전문가 집단만이 아닌 일반 커뮤니티 주도로, 공식 포맷 (공통 언어)을 사용하고, 무료 공개되어 전세계적으로 접근이 가능하며, 실제 세계를 관측하여 만든 공격자 행태에 관한 지식 기반 시스템
- 데이비드 비앙코의 고통 피라미드
해시 값< IP주소< 도메인 이름< 네트워크/ 호스트 산출물< 툴< TTP
- TTP: tactics, techniques, procedure
(공격자의 기술적 목표, 특정 기술 구현, 목적을 달성하는 방법)
- ATT&CK 사용 사례: 공격 탐지, 평가 및 기술, 위협 인텔리전스, 공격자 모방
- 위협 인텔리전스: 공격자 행태 지식 정보를 방어자에게 제공
(타 공격자 그룹과 비교, 지속적 그룹 행태 비교... 공통언어 사용)
- MITRE 관련 프로젝트
- STIX: ATT&CK 표준 메시지 포맷 (TAXII 프로토콜 표준)
- CASCADE: 공격자 헌팅
- CAR: 상세 분석 보고서
- CAPEC: 공격 패턴
- MAEC: 멀웨어 분류
- CALDERA: 공격자 모방
레드팀, 퍼플팀, 블루팀으로 나눠 방어 능력을 평가/ 개선
침투테스트, 공격자 모방 진행=> 방어 및 탐지 테스트- ENGAGE: 공격자 교전
- D3FEND: 아티팩트 기반 방어
- CWE: 취약점 목록
- CVE: 취약성 공개 (공통, 취약점 아직 모름)
- CVSS: 취약성 점수 (체크리스트 통해 점수화)
- CPE: 공통 플랫폼 분류
- CREF Navigator: 사이버 회복력 공학 프레임워크 (복원)
+) 사이버 회복력: 첨단 사이버 위협을 예상하고 위협에 직면해서 정확하게 운영을 유지하며, 위협으로부터 복구하고, 위협에 더 잘 적응하도록 진화하기 위한 사이버 시스템과 사이버- 의존 임무의 능력
방어 메커니즘이 효과적이지 않다-> 공격 예상하고 복구계획 세워놓기
전형적 사이버 공격 복구 시간이 오래걸린다-> 미리 복구계획 세워 대응
업무 영향 최소화-> 다른 업무에 영향 주기 전 미리 차단
업무 연속성 개선-> 빠른 복구로 연속성 향상- NIST CREF/ NIST CSF
- CERT-RMM: 운영 회복력을 관리/ 개선시키는 프레임워크
업무 연속성, 운영 계획 연속성, IT재해 복구, 정보보안 등의 융복합 지침- ATLAS: 인공지능 적대적 위협 대응
- EMB3D: 임베디드 장치 위협
+) 사이버 보안은 안티 바이러스 소프트웨어와 같은 위협/ 위험/ 재난에 대한 기술적 대책에 초점을 두는 반면, 사이버 회복력은 위협/ 위험/ 재난에 대한 사람/ 회사 관점의 준비성에 초점을 둔다
- DHS CISA CSET for Healthcare
- 보안 실무자의 어려움: 문서로 존재하는 지침은 실행이 어려움
-> 실제로 구현이 가능한 도구가 필요
- 보안 실무자의 어려움: 문서로 존재하는 지침은 실행이 어려움
- CSET: 사이버 보안 평가 툴: 조직의 보안 태세를 평가하기 위한 체계적/ 논리적/ 반복적 접근법. IT나 ICS의 시스템 및 네트워크 보안 사례를 평가하기 위해 단계별 프로세스를 통해 운용자나 자산 소유자에게 평가 도구 제공
- 목표: 잠재적 사이버보안 취약성을 식별해 사이버 공격의 위험을 감소
=> 시스템/ 네트워크/ 사이트 및 설비의 사이버보안 태세를 평가하기 위한 반복적이고 계획적인 접근법 제공- 기존 산업 표준 및 규제와 종합적인 비교평가 제공
많은 기관의 IT, ICS 보안지식과 경험을 결합
잠재적 취약성 식별 보조
사이버보안 솔루션 및 완화 조침에 대한 지침 제공
사이버보안 요구사항 중앙저장소 제공
사용자 설비 내 보안 사례에 대한 의사교환 기회 제공- 조직 위험 관리와 의사 결정 프로세스에 도움
조직 내에서 사이버보안에 관한 논의를 용이하게하고 인식을 향상시킴
사이버 시스템의 취약성 부각, 취약성 해결 위한 권고안 제공
조직이 따라야 할 모범사례와 강세영역 식별
사이버 시스템의 개선 사항을 체계적으로 비교하고 모니터링 방법 제공
사이버 시스템을 평가하는 공공기관 및 일반 산업계 툴 제공
- CSET HIPAA/ EDM/ CRR/ MVRA
- NIST C-SCRM for Healthcare
- 사이버 공급망 위험관리
- 공급망 위험 관리: 전사적 위험 관리+ 공급망 관리
- 사이버 공급망 위험 관리: 전사적 위험 관리+ 공급망 관리+ 정보 보안
- 공급망 영향평가: 특정 공급자가 획득자에게 영향을 미치게 될 각종 요인들에 대해 그 부정적 영향을 제거하거나 최소화하기 위해 사전에 영향을 분석하여 검토하는 작업
공격자가 보안 시스템이 준비된 표적 시스템을 직접 공격하지 않고 공급망에서 가장 허술한 말단 공급자를 침투하여 공급망 중단을 유발시킴
- 사이버 위험은 일반적으로 위협/ 취약성/ 가능성 및 영향으로 정의되지만 현재 사이버보안 위험 툴은 위협/ 취약성/ 가능성에만 집중
=> 잠재적 공급망 중단의 상대적 영향을 측정
- 조직- 프로젝트- 제품- 공급
- C-SCRM 사용해 기본정보와 질문에 답하면 계층도/ 캔들스틱/ 산포도를 통해 상호의존성와 영향평가 확인 가능
- WHO AI Security for Healthcare
- NIST AI RMF: 잠재적 피해 예제 (사람, 조직, 생태계)
- 의료분야 AI 사용 6대 윤리적 원칙
- 자율성 보호
- 사람 행복/ 안전과 공익 촉진
- 투명성, 설명성 및 명료성 보장
- 책임성 및 의무성 육성
- 포괄성 및 형평성 보장
- 응답성/ 지속성 있는 AI 촉진
- 의료분야 AI 사용의 잠재적 이익/ 위험 존재
- 의료분야 AI 사용과 관련된 의료 시스템 위험
- AI 이익 과다 산정: 기술적 해결주의 경향
- 접근성 및 가용성: 디지털격차 및 접근 구독료로 인해 저하
- 시스템 전체 편향성
- 노동에 미치는 영향
- 적합하지 않은 AI 의료 시스템에 의존
- 사이버보안 위험
