Application • Supply Chain Compromise 4 about layer domain Enterprise ATT&CK v15 platforms Windows, PRE legend 0.0 1.0 2.0 3.0 4.0 5.0 Active Scanning Gather Victim Host Information Gather Victim Identity Information Gather Victim Network Information Gather Victim Org Information Phishing for Information Search Closed Sources Search Open Technical Databases Search Open Websites/Domains Search Victim-Owned Websites Reconnaissance Acquire Access Acquire Infrastructure Compromise Accounts Compromise Infrastructure Develop Capabilities Establish Accounts Obtain Capabilities Stage Capabilities Resource Development Content Injection Drive-by Compromise Exploit Public-Facing Application External Remote Services Hardware Additions Phishing Replication Through Removable Media Supply Chain Compromise Trusted Relationship Valid Accounts Initial Access Command and Scripting Interpreter Exploitation for Client Execution Inter-Process Communication Native API Scheduled Task/Job Shared Modules Software Deployment Tools System Services User Execution Windows Management Instrumentation Execution Account Manipulation BITS Jobs Boot or Logon Autostart Execution Boot or Logon Initialization Scripts Browser Extensions Compromise Host Software Binary Create Account Create or Modify System Process Event Triggered Execution External Remote Services Hijack Execution Flow Modify Authentication Process Office Application Startup Power Settings Pre-OS Boot Scheduled Task/Job Server Software Component Traffic Signaling Valid Accounts Persistence Abuse Elevation Control Mechanism Access Token Manipulation Account Manipulation Boot or Logon Autostart Execution Boot or Logon Initialization Scripts Create or Modify System Process Domain or Tenant Policy Modification Escape to Host Event Triggered Execution Exploitation for Privilege Escalation Hijack Execution Flow Process Injection Scheduled Task/Job Valid Accounts Privilege Escalation Abuse Elevation Control Mechanism Access Token Manipulation BITS Jobs Debugger Evasion Deobfuscate/Decode Files or Information Direct Volume Access Domain or Tenant Policy Modification Execution Guardrails Exploitation for Defense Evasion File and Directory Permissions Modification Hide Artifacts Hijack Execution Flow Impair Defenses Impersonation Indicator Removal Indirect Command Execution Masquerading Modify Authentication Process Modify Registry Obfuscated Files or Information Pre-OS Boot Process Injection Reflective Code Loading Rogue Domain Controller Rootkit Subvert Trust Controls System Binary Proxy Execution System Script Proxy Execution Template Injection Traffic Signaling Trusted Developer Utilities Proxy Execution Use Alternate Authentication Material Valid Accounts Virtualization/Sandbox Evasion XSL Script Processing Defense Evasion Adversary-in-the-Middle Brute Force Credentials from Password Stores Exploitation for Credential Access Forced Authentication Forge Web Credentials Input Capture Modify Authentication Process Multi-Factor Authentication Interception Multi-Factor Authentication Request Generation Network Sniffing OS Credential Dumping Steal or Forge Authentication Certificates Steal or Forge Kerberos Tickets Steal Web Session Cookie Unsecured Credentials Credential Access Account Discovery Application Window Discovery Browser Information Discovery Debugger Evasion Device Driver Discovery Domain Trust Discovery File and Directory Discovery Group Policy Discovery Log Enumeration Network Service Discovery Network Share Discovery Network Sniffing Password Policy Discovery Peripheral Device Discovery Permission Groups Discovery Process Discovery Query Registry Remote System Discovery Software Discovery System Information Discovery System Location Discovery System Network Configuration Discovery System Network Connections Discovery System Owner/User Discovery System Service Discovery System Time Discovery Virtualization/Sandbox Evasion Discovery Exploitation of Remote Services Internal Spearphishing Lateral Tool Transfer Remote Service Session Hijacking Remote Services Replication Through Removable Media Software Deployment Tools Taint Shared Content Use Alternate Authentication Material Lateral Movement Adversary-in-the-Middle Archive Collected Data Audio Capture Automated Collection Browser Session Hijacking Clipboard Data Data from Information Repositories Data from Local System Data from Network Shared Drive Data from Removable Media Data Staged Email Collection Input Capture Screen Capture Video Capture Collection Application Layer Protocol Communication Through Removable Media Content Injection Data Encoding Data Obfuscation Dynamic Resolution Encrypted Channel Fallback Channels Hide Infrastructure Ingress Tool Transfer Multi-Stage Channels Non-Application Layer Protocol Non-Standard Port Protocol Tunneling Proxy Remote Access Software Traffic Signaling Web Service Command and Control Automated Exfiltration Data Transfer Size Limits Exfiltration Over Alternative Protocol Exfiltration Over C2 Channel Exfiltration Over Other Network Medium Exfiltration Over Physical Medium Exfiltration Over Web Service Scheduled Transfer Exfiltration Account Access Removal Data Destruction Data Encrypted for Impact Data Manipulation Defacement Disk Wipe Endpoint Denial of Service Financial Theft Firmware Corruption Inhibit System Recovery Network Denial of Service Resource Hijacking Service Stop System Shutdown/Reboot Impact
내 인지 • 비중요 서비스 및 인터넷 PC는 상대적으로 장기간 소요 5 https://cloud.google.com/security/resources/m-trends https://www.paloaltonetworks.com/resources/research/unit-42-incident-response-report Median Dwell Time(일) 2022 2023 2024 Mandiant 16 10 - Paloalto Networks 14 13 - 금융보안원 - 1 9
스캔을 이용한 무작위 탐색 지속 6 https://www.imperva.com/resources/resource-library/reports/2024-bad-bot-report/ 금융보안관제 취약점 스캔 관련 탐지 0 2,000,000 4,000,000 6,000,000 8,000,000 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 평균
내부 확산의 경로로 지속 사용 - 국가배후 위협그룹 및 사이버 범죄집단 모두 선호 • 규제준수, 관리체계 인증, 관리효율 향상을 위해 중앙관리 필요 • 플러그인 SW는 일종의 느슨한 형태의 중앙 관리 시스템 - 일괄 패치 불가 9 클라우드형 구축형 ҕәস সؘ ࢲߡ ஜ೧ ݒפ ࢲߡ ஂড ҕѺ ী ஂড ҕѺ
및 전자금융업자는 전자적 침해행위로 인하여 전자금융기 반시설이 교란ㆍ마비되는 등의 사고(이하 "침해사고"라 한다)가 발생한 때에는 금융위원회에 지체 없이 이를 알려야 한다. ➡ 해킹, 컴퓨터 바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 인하여 전자금융거래에 이용되는 정보처리시스템 및 정보통신망이 교란ㆍ마비되는 등의 사고가 발생한 때에는 금융위원회에 지체 없이 이를 알 려야 한다. 정보통신망법 제48조의3(침해사고의 신고 등) ① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기 술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침 해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다. ➡ 정보통신서비스 제공자는 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법, 정 보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 알게 된 때부터 24시간 이내, 그 사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다. 14
서비스 확인 - 철저한 예외 통제 및 허용 내역 추적 • 초고속 대응 환경 - 위협 인텔리젼스 서비스 활용 검토 - 엔드포인트 위협 탐지 및 대응 환경 마련 • 적극적 정보공유 - 악성코드 샘플, 침해사고 사례, 침해지표 등 공유 - 분야별 내부 전문가 양성 및 활발한 인력 교류 19
jglyu
yutakawasaki0911
doiko123
takaking22
kakehashi
naoki8408
yucho147
flatt_security
jacopen
kazzpapa3
suzukij
gunta
sansan_randd
vanstee
cassininazir
marktimemedia
lfama
ipullrank
irinanazarova
kevinliebholz
skoyamalab
ryanjones
axbom
aleyda
