킬 체인

Kill chain
이 기사는 군사 및 정보보안 개념에 관한 것이다. 2019년 영화는 킬 체인(영화)을 참조한다. 텔레비전 에피소드는 NCIS (시즌 11) § ep246을 참조한다.

킬체인(kill chain)이라는 용어는 공격의 구조를 식별하는 군사적 개념이다. 구성 요소는 다음과 같다.

·대상자 선정
·표적에 대한 힘의 분산
·표적에 대한 공격력 향상
·대상자[1] 선정

반대로 상대의 킬체인을 '파쇄'하는 발상은 방어나 선제적 행동의 방법이다.[2]

군대

F2T2EA

하나의 군사 킬 체인 모델은 "F2T2EA"로, 다음과 같은 단계를 포함한다.

  • 찾기: 대상을 식별하십시오. 감시 또는 정찰 데이터 내에서 또는 지능적 수단을 통해 대상을 찾으십시오.
  • 수정: 대상의 위치를 수정하십시오. 기존 데이터에서 또는 추가 데이터를 수집하여 대상에 대한 특정 좌표를 얻으십시오.
  • 트랙: 대상의 움직임을 모니터링한다. 대상과 연결되지 않는 결정이 내려지거나 대상이 성공적으로 연결될 때까지 대상을 추적하십시오.
  • 대상: 대상에 사용할 적절한 무기 또는 자산을 선택하여 원하는 효과를 생성하십시오. 명령과 통제 기능을 적용하여 대상의 가치와 이를 결합할 수 있는 적절한 무기의 가용성을 평가한다.
  • 목표물에 무기를 가하십시오.
  • 평가: 현장에 수집된 모든 정보를 포함하여 공격의 효과를 평가하십시오.

이것은 어떤 단계에서든 중단이 전체 프로세스를 방해할 수 있기 때문에 "체인"으로 묘사되는 통합된 엔드투엔드 프로세스다.[3][4]

이전 용어

"Four Fs"는 특히 제2차 세계 대전 동안 미군에서 사용되는 군사용어다.

기억하기 쉽도록 설계된 "Four Fs"는 다음과 같다.

  • 적 찾기 – 적 위치를 찾으십시오.
  • 적을 고정시키고, 불을 진압하여 고정시킨다.
  • 적과 싸우십시오 – 적을 전투에 참여시키거나 적을 포위하십시오. 병사를 적의 측면이나 후방으로 보내십시오.
  • 적을 마무리 – 모든 적 전투원을 제거하십시오.

제안 용어

"5 F"는 소령이 묘사한 군사용어다. 미 공군과 미 해병대에서 근무했던 F-15E 스트라이크 이글 무기체계 장교 마이크 "파코" 베니테즈.

킬 체인을 업데이트하여 업데이트된 자율적이고 반자율적인 무기 시스템을 반영하도록 설계된 "파이브 F"는 "It's About Time: 킬 체인을 진화시켜야 한다는 압박의 필요성"[5]은 다음과 같다.

  • 찾기(Find)는 운영 환경의 공동 인텔리전스 준비(Joint Intelligence Preparation of Operation Environment)의 노력의 통합을 캡슐화하여 수집 자산을 지휘관의 의도 및 목표 영역에 일치시킨다. 이는 필연적으로 탐지를 유발하게 되는데, 의도를 충족시킬 경우 새롭게 부상하는 대상으로 더욱 분류될 수 있다.
  • 픽스는 "새로운 대상을 관여할 가치가 있는 것으로 식별하고 그 위치 및 기타 데이터를 관여를 허용할 수 있는 충분한 충실도로 결정한다"고 미혹적으로 기술하고 있다.
  • 화재는 힘이나 자원을 투입하는 것을 포함한다.
  • 결승에는 파업 승인 기관에 고용(즉, 목표물 타격/유도 에너지 발사/파괴 전자 공격)이 포함된다. 이는 지상 요소가 접촉 기동을 실행하지만 마찰 지점에 도달하면 규정된 교전 규칙을 준수하는 것과 유사하다.
  • 피드백은 "폭탄 피해 평가"라고 불리는 일부 상황에서 평가 단계로 운영 OODA 루프를 닫는다.

북핵 능력

'킬체인(Kill Chain)'이라는 새로운 미군 비상계획은 위성사진을 활용해 북한의 발사장과 핵시설, 제조능력을 파악하고 충돌이 임박한 것으로 보이면 선제적으로 파괴하는 새로운 전략의 첫 단계인 것으로 알려졌다. 이 계획은 미국과 한국의 공동 성명에서 언급되었다.[6][7]

사이버

정보 보안을[8] 위한 침입 킬 체인

공격 단계 및 대응책

보다 최근에 록히드 마틴은 이 개념을 정보 보안에 적용하여 컴퓨터 네트워크의 침입을 모델링하는 방법으로 사용했다.[9] 사이버 킬 체인 모델은 정보보안 커뮤니티에서 어느 정도 채택되고 있다.[10] 그러나, 비평가들이 모델의 근본적인 결함이라고 믿는 것을 지적하는 등, 수용은 보편적이지 않다.[11]

록히드마틴사의 컴퓨터 과학자들은 2011년 컴퓨터 네트워크를 방어하기 위한 새로운 "침입 킬 체인" 프레임워크나 모델을 설명했다.[3] 그들은 공격이 단계적으로 발생할 수 있고 각 단계에서 설정된 제어를 통해 교란될 수 있다고 썼다. 이후 데이터 보안 조직이 사이버 공격의 단계를 정의하기 위해 채택한 「사이버 킬 체인」이 있다.[12]

사이버 킬 체인은 초기 정찰에서 데이터 유출 목표에 이르기까지 사이버 공격의 단계를 보여준다.[13] 킬 체인은 네트워크 방어를 지속적으로 개선하는 관리 도구로도 사용될 수 있다. 록히드 마틴에 따르면 위협은 다음을 포함한 모델의 몇 가지 단계를 통해 진행되어야 한다.

  1. 정찰: 침입자는 대상을 선택하고 이를 연구하며 대상 네트워크의 취약점을 식별하려고 시도한다.
  2. 무기화: 침입자는 하나 이상의 취약성에 맞게 바이러스나 웜과 같은 원격 액세스 악성 프로그램 무기를 만든다.
  3. 배달: 침입자가 무기를 대상으로 전송(예: 전자 메일 첨부 파일, 웹 사이트 또는 USB 드라이브)
  4. 공격: 취약성을 이용하기 위해 대상 네트워크에서 조치를 취하는 멀웨어 무기의 프로그램 코드 트리거
  5. 설치: 악성 프로그램 무기는 침입자가 사용할 수 있는 액세스 포인트(예: "백도어")를 설치한다.
  6. 명령 및 제어: 악성코드는 침입자가 대상 네트워크에 "키보드에 손을 얹고" 지속적으로 액세스할 수 있도록 한다.
  7. 목표에 대한 조치: 침입자는 데이터 유출, 데이터 파괴, 몸값을 위한 암호화 등과 같은 목표를 달성하기 위한 조치를 취한다.

다음 단계에 대해 방어적인 조치를 취할 수 있다.[14]

  1. 탐지: 침입자가 있는지 확인하십시오.
  2. 거부: 정보 노출 및 무단 액세스 방지
  3. 중단: 아웃바운드 트래픽을 중지하거나 공격자로 변경하십시오.
  4. 성능 저하: 역습 명령 및 제어.
  5. 속이기: 명령과 통제를 방해한다.
  6. 포함: 네트워크 분할 변경 사항

2013년 타겟사(Target Corporation) 데이터 침해에 대한 미 상원 조사 결과에는 록히드마틴 킬체인 프레임워크에 근거한 분석이 포함됐다. 그것은 제어장치가 공격의 진행을 막거나 감지하지 못한 몇 가지 단계를 식별했다.[8]

대안

서로 다른 조직들이 서로 다른 위협을 모형화하려고 그들만의 킬 체인을 구축해 왔다. 파이어아이는 록히드마틴과 유사한 선형 모델을 제안한다. 파이어아이 킬 체인에서는 위협의 지속성이 강조된다. 이 모델은 위협이 한 사이클 후에 끝나지 않는다고 강조한다.[15]

  1. 정찰
  2. 네트워크 초기 침입
  3. 네트워크에 백도어를 설치하십시오.
  4. 사용자 자격 증명을 얻으십시오.
  5. 다양한 유틸리티를 설치하십시오.
  6. 권한 상승/측면 이동/데이터 유출
  7. 끈기를 유지하다.

MITREMITRE AT&CK라고 알려진 사이버 적대행위 분류 체계를 유지하고 있다. 프레임워크는 악의적인 배우들이 사용하는 전술, 기술, 절차를 모델링하며, 레드 팀블루 팀 모두에게 유용한 자원이다. ATT&CK 전술은 순서가 없고, 추상화 수준이 낮으며, 킬 체인을 묘사하지 않는다.[16]

비평

록히드마틴의 사이버 킬 체인 모델을 위협 평가 및 예방 도구로 비판한 내용 중에는 1단계가 방어망 밖에서 발생하기 때문에 이러한 단계에서의 행동을 식별하거나 방어하기 어렵다는 점이 있다.[17] 마찬가지로, 이 방법론은 전통적인 경계 기반 및 멀웨어 방지 기반 방어 전략을 강화한다고 한다.[18] 다른 사람들은 전통적인 사이버 킬 체인이 내부자 위협을 모델링하는 데 적합하지 않다고 지적했다.[19] 이는 내부 네트워크 경계를 뚫는 공격이 성공할 가능성을 감안할 때 특히 문제가 되고 있으며, 따라서 조직들은 "방화벽 내부의 공격자에 대처하기 위한 전략을 개발해야 한다"고 말했다. 그들은 모든 공격자들을 잠재적인 내부자들로 생각할 필요가 있다.[20]

통일된

통합 킬 체인은 첨단 사이버 공격에서 발생할 수 있는 18개의 고유한 공격 단계로 구성된다.

통합 체인은 폴 폴스(Paul Pols)가 전통적인 사이버 킬 체인에 대한 일반적 비판을 극복하기 위해 폭스-IT, 라이덴대학과 공동으로 2017년 록히드마틴의 킬 체인과 MITRE의 AT&CK 프레임워크를 통합·확장해 개발했다. 킬 체인의 통합 버전은 엔드투엔드 사이버 공격에서 발생할 수 있는 18개의 고유 공격 단계를 순서대로 배열한 것으로, 방어된 네트워크 외부와 내부에서 일어나는 활동을 다룬다. 이와 같이, 통일 킬 체인은 MITRE의 ATT&CK에서 전통적인 킬 체인의 범위 제한과 시간 제한 전술의 성격에 대해 개선한다. 통합 모델을 사용하여 지능적 지속적 위협(APT)에 의한 엔드 투 엔드 사이버 공격을 분석, 비교, 방어할 수 있다.[21] 통일 킬 체인에 대한 후속 백서가 2021년에 발표되었다.[22]

참조

  1. ^ "Kill Chain Approach". Chief of Naval Operations. April 23, 2013. Archived from the original on June 13, 2013.
  2. ^ Jonathan Greenert; Mark Welsh (May 17, 2013). "Breaking the Kill Chain". Foreign Policy. Retrieved June 30, 2016.
  3. ^ a b 적대자 캠페인 및 침입 킬체인 분석을 통해 알려진 록히드마틴사-허친사, 클로퍼트 및 아민-인텔리전스 기반 컴퓨터 네트워크 방어-2011
  4. ^ John A. Tirpak (July 1, 2000). "Find, Fix, Track, Target, Engage, Assess". Air Force Magazine.
  5. ^ Benitez, Mike (May 17, 2017). "It's About Time: The Pressing Need to Evolve the Kill Chain". War on the Rocks. Retrieved April 28, 2020.
  6. ^ Sanger, David E. (July 6, 2017). "Tiny Satellites From Silicon Valley May Help Track North Korea Missiles". The New York Times. Retrieved July 7, 2017.
  7. ^ "06/30/17 - Joint Statement between the United States and the Republic of Korea U.S. Embassy & Consulate in Korea". U.S. Embassy & Consulate in Korea. 2017-06-30. Retrieved 2017-07-07.
  8. ^ a b "U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014" (PDF). Archived from the original (PDF) on October 6, 2016.
  9. ^ Higgins, Kelly Jackson (January 12, 2013). "How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack". DARKReading. Retrieved June 30, 2016.
  10. ^ Mason, Sean (December 2, 2014). "Leveraging The Kill Chain For Awesome". DARKReading. Retrieved June 30, 2016.
  11. ^ Myers, Lysa (October 4, 2013). "The practicality of the Cyber Kill Chain approach to security". CSO Online. Retrieved June 30, 2016.
  12. ^ Greene, Tim (5 August 2016). "Why the 'cyber kill chain' needs an upgrade". Retrieved 2016-08-19.
  13. ^ "The Cyber Kill Chain or: how I learned to stop worrying and love data breaches". 2016-06-20. Retrieved 2016-08-19.
  14. ^ John Franco. "Cyber Defense Overview: Attack Patterns" (PDF). Archived (PDF) from the original on 2018-09-10. Retrieved 2017-05-15.
  15. ^ Kim, Hyeob; Kwon, HyukJun; Kim, Kyung Kyu (February 2019). "Modified cyber kill chain model for multimedia service environments". Multimedia Tools and Applications. 78 (3): 3153–3170. doi:10.1007/s11042-018-5897-5. ISSN 1380-7501.
  16. ^ "FAQ MITRE ATT&CK®". attack.mitre.org. Retrieved 2021-09-03.
  17. ^ Laliberte, Marc (September 21, 2016). "A Twist On The Cyber Kill Chain: Defending Against A JavaScript Malware Attack". DARKReading.
  18. ^ Engel, Giora (November 18, 2014). "Deconstructing The Cyber Kill Chain". DARKReading. Retrieved June 30, 2016.
  19. ^ Reidy, Patrick. "Combating the Insider Threat at the FBI" (PDF). BlackHat USA 2013.
  20. ^ Devost, Matt (February 19, 2015). "Every Cyber Attacker is an Insider". OODA Loop.
  21. ^ Pols, Paul (December 7, 2017). "The Unified Kill Chain" (PDF). Cyber Security Academy.
  22. ^ Pols, Paul (May 17, 2021). "The Unified Kill Chain". UnifiedKillChain.com.

외부 링크