[논문 리뷰] BRON - Linking Attack Tactics, Techniques, and Patterns with Defensive Weaknesses, Vulnerabilities and Affected Platform Configurations.
이 논문은 공격 전략과 기술에서 기본 취약성과 영향을 받는 시스템 구성으로의 双방향, 관계 기반 추적을 가능하게 하기 위해 MITRE ATT&CK, NIST CWE, CVE, CAPEC를 통합하는 통합 프레임워크인 BRON을 소개한다. 주요 기여는 알려진 공격 패tern과 그 방어 대상 간 격차를 드러내며, 통합 과정에서 유출된 잠재적 정보를 확인하는 것이다.
Many public sources of cyber threat and vulnerability information exist to serve the defense of cyber systems. This paper proposes BRON which is a composite of MITRE's ATT&CK MATRIX, NIST's Common Weakness Enumerations (CWE), Common Vulnerabilities and Exposures (CVE), and Common Attack Pattern Enumeration and Classification, CAPEC. BRON preserves all entries and relations while enabling bi-directional, relational path tracing. It exploits attack patterns to trace between the objectives and means of attacks to the vulnerabilities and affected software and hardware configurations they target. We inventory and analyze BRON's sources to gauge any gap between information on attacks and information on attack targets. We also analyze BRON for information that is a by-product of its mission.
연구 동기 및 목표
- 문서화된 사이버 공격 패턴과 그들이 악용하는 실제 시스템 취약성 간의 괴리 문제를 해결하기 위해.
- 주요 표준에서 유래한 기존 사이버 위협 및 취약성 데이터를 보존하고 상호 연결하는 통합적이고 관계 기반 지식 기반을 구축하기 위해.
- 공격 기법에서 방어적 취약성과 영향을 받는 구성으로의 양방향 추적을 가능하게 하기 위해.
- 효과적인 사이버 방어를 저해하는 현재의 위협 및 취약성 정보의 격차를 특정하기 위해.
- 통합 과정에서 유출된 부산물(예: 새로운 공격-대상 관계에 대한 통찰)을 발견하기 위해.
제안 방법
- MITRE ATT&CK의 공격 전략과 기법을 NIST의 CWE(일반적인 약점), CVE(취약성), CAPEC(공격 패턴)와 통합하여 단일 복합 지식 그래프를 구성하기 위해.
- 원본 프레임워크에서 모든 기존 항목과 관계를 유지하여 정확성과 맥락을 보존하기 위해.
- 공격 목표에서 특정 취약성으로, 그리고 취약성에서 공격 방법으로의 추적을 가능하게 하는 이중 방향 관계 링크를 수립하기 위해.
- 표준화된 식별자와 의미적 매핑을 사용하여 서로 다른 분류 체계 간의 이질적인 데이터 소스를 정렬하기 위해.
- 그래프 기반 분석을 적용하여 통합 프레임워크 내에서 연결성, 커버리지 및 정보 흐름을 탐색하기 위해.
- 원본 데이터의 목록 작성과 분석을 수행하여 공격-대상 매핑의 완전성과 격차를 평가하기 위해.
실험 결과
연구 질문
- RQ1문서화된 사이버 공격 패턴과 실제로 악용되는 취약성 또는 시스템 구성 간에 어떤 격차가 존재하는가?
- RQ2기존의 위협 및 취약성 정보 소스들이 공격-대상 관계를 표현하는 데 얼마나 효과적으로 일치하는가?
- RQ3ATT&CK, CWE, CVE, CAPEC를 하나의 관계 기반 프레임워크로 통합함으로써 어떤 새로운 통찰 또는 부산물이 드러나는가?
- RQ4통합이 공격 기법에서 방어적 취약성으로의 추적 능력을 얼마나 향상시키는가?
- RQ5어떤 공격 패턴이 특정 유형의 취약성 또는 플랫폼 구성과 가장 자주 연결되는가?
주요 결과
- ATT&CK, CWE, CVE, CAPEC를 BRON에 통합함으로써 공격 기법과 그에 해당하는 취약성 또는 시스템 구성 간에 상당한 매핑 격차가 드러났다.
- CAPEC의 많은 공격 패턴이 특정 CWE나 CVE와 일관되게 연결되어 있지 않아, 자료 간의 완전성 또는 일관성 부족을 시사한다.
- 많은 수의 취약성(CVE)이 여러 공격 패턴과 연관되어 있어, 다양한 위협 시나리오에서 공통된 악용 경로를 공유하고 있음을 시사한다.
- BRON의 이중 방향 추적 기능은 단일 소스만으로는 불가능한 공격 전략과 방어적 취약성 간의 보다 효과적인 관련성 분석을 가능하게 한다.
- 통합 과정 자체에서, 별도의 소스에서는 드러나지 않는, 일치하지 않거나 누락된 매핑 등의 잠재적 관계와 데이터 불일치를 발견하였다.
- BRON의 복합 구조는 공격 체인에 대한 시각화를 향상시키며, 전략을 특정 시스템 수준의 취약성과 연결함으로써 더 나은 방어적 하드닝을 지원한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.