맨디언트를 제외한 다른 보안 기업들은 대부분 MITRE ATT&CK 프레임워크를 기반으로 공격을 정의
기존의 사이버 킬체인 및 라이프사이클 모델은 추상화되어 적 행동을 방어와 연관 짓기 어려움
(적합하지 않은 라이프사이클 모델 개선)
Drive-by-Compromise(드라이브 바이 컴프로마이즈) : Drive-by-Download(드라이브 바이 다운로드 용어)는 MITRE ATT&CK 프레임워크 기반으로 업데이트 됨)
현재 대부분의 침투 기법은 MITRE ATT&CK 프레임워크의 **“Initial Access”**에 나열되어 있는 기법을 통해서 침투할 수 밖에 없음 9개 정도
사고분석 MITRE ATT&CK를 이해하는 것만으로도 분석에 도움이 많이 됨
MITRE ATT&CK 프레임워크의 Tactics, Techniques는 Enterprise(기업환경), Mobile(모바일), ICS(산업제어시스템)로 구분
MITRE ATT&CK는 추가적으로 DEFEND라는 것을 정의하였으며 아직 추상화만 된 상태이다.
Conventional Wisdom in Defense (방어에 대한 관점의 변화)
최근, 자산의 이동에 따라 보안 정책이 잘 반영이 되는지 SOAR 플랫폼을 통해 자동으로 이루어지게 하게끔 하는 경향이 있다.
→ 가장 큰 취약점은 대부분 다 One-Day 즉, 알려진 취약점으로 인한 사고가 많다.
→ 이런 One-Day 취약점을 통한 공격이 실제 성공을 하고, 취약점 관리도 잘 안되기 때문
→ 단점 : 히스토리 추적이 안됨