TTPs 란? | Notion

개인적으로 공부하면서 정리한 내용이다보니 틀릴수도 있다. Threat Hunting을 공부하면서 위험 헌팅 성숙단계등 다양한 자료를 보다 보면 IOC TTP 또는TTPs단어가 자주 등장하는것을 볼 수 있다.

한번 가볍게 TTP 와 IOC를 정리를 해 볼필요가 있어서 글을 남겨본다.

PoP(Pyramid of Pain)는 위협 인텔리전스의 IOC(Indicators of Compromise) 형태를 6단계로 구분했다. 상위 단계로 갈수록 IOC를 분석하기 어려운 단계이다.

가장 하위 단계부터 Hash Value, IP addresses, domain name, network/host artifacts, tools, 가장 상위 단계로 TTPs(Tactics, Techniques and Procedures)로 정의했다.

이해하기 쉽게 말하면 IOC는 침해사고 지표로 hash, ip, domain 이러한 정수value나 스트링값(value)들을 IOC라고 부를 수 있다.

보안 장비 관점에서 보면 시그니쳐기반 장비 IDS, AV, Firewall등에 사용될 수 있는 시그니쳐로 나는 이해했다.

그와 반대로 정수값(Value)이나 스트링값(value) 으로 나타낼 수 없는것들을 TTPs(Tactics, Techniques and Procedures)라고 표현할 수 있다. 다른 단어로 표현 한다면 행위(behavior)라고 표현하면 그 의미가 가장 맞다.

하나예를 들어 보겠다.

Ex) 공격자는 ActiveX 취약점으로 최초 침투후 smb를 이용해 Lateral Movement를 통해 목표 자산까지 이동 후 권한 상승을 통해 공격 목표를 달성한다.

이러한 서술식으로 표현되는것이 TTP이다. 즉 단편적인 값으로 나타낼 수 없다.

그러면 방어자 입장에서 TTP를 어떻게 이해하고 활용해야할까?