블루 팀 레드 블루: att & amp；; CK 프레임 워크 응용 프로그램

기업의 대규모 디지털 변화의 물결 속에서 각종 네트워크 침입이 빈번하고, APT 와 해커 집단이 횡행하며, 전통적인 규정 준수 중심의 보안 건설은 더 이상 수요를 충족시킬 수 없다. 최근 몇 년 동안, 각급 빨강 블루 대항 작전이 전개됨에 따라 기업 안전 건설이 점차 실전으로 전환되고 있다. ATT &； CK 프레임워크는 이 과정에서 지도적 역할을 할 수 있는 중요한 참고 자료입니다.

ATT & amp；; Gartner Security & 의 CK 프레임워크 위험 관리 정상회담에서 F-Secure 에 의해 10 대 이슈로 선정되었다. ATT & amp；; CK 는 알려진 해커 조직, 공격 도구, 데이터 소스 감지, 사고 감지 및 완화 조치를 연결할 수 있는 공격자의 전술, 기술 및 실행 프로세스를 설명하는 * * * 공유 기술 자료 세트입니다. ATT & amp；; CK 는 록히드 마틴이 제시한 살상 체인 내용을 완전히 포괄하고 이를 바탕으로 보다 세밀한 공격 기술 매트릭스와 기술적 세부 사항을 제공할 수 있습니다. ATT & amp；; CK 는 pre-att & amp；; 라는 세 부분으로 나뉩니다 CK, ATT & amp；; 엔터프라이즈 버전의 CK 및 ATT &；; 휴대 전화의 CK. pre-att & CK 에는 우선 순위 정의, 목표 선택, 정보 수집, 취약성 식별, 공격자 오픈 플랫폼, 인프라 구축 및 유지 관리, 인력 교육 등의 전술이 포함되어 있습니다. ATT & amp；; 엔터프라이즈 CK 의 정책에는 초기 액세스, 실행, 지속, 권한 향상, 방어 회피, 자격 증명 액세스, 검색, 수평 이동, 수집, 명령 및 제어, 데이터 전송 및 영향 등이 있습니다. 이러한 APT 조직과 해커 집단이 정보를 유출한 세부 사항을 바탕으로 실제 적청색 대항을 효과적으로 지도할 수 있어 많은 분야에서 잘 활용되고 있다. (윌리엄 셰익스피어, 윈스턴, 해커, 해커, 해커, 해커, 해커, 해커)

빨강-파랑 대결에서 수비수는 앞, 중, 후 3 단계로 대응할 수 있다. ATT &；; CK 프레임워크의 안내에 따라 보안 시스템 구축, 운영, 향상을 위한 폐쇄 루프를 완벽하게 구현합니다.

첫째, 준비 단계

공격 표면 평가

공격면은 외부 서비스를 제공하는 웹 시스템, 메일 시스템 및 VPN 시스템, 내부 서비스를 제공하는 OA 시스템, 운영 및 유지 관리 시스템 및 개발 환경, 직원이 사용하는 다양한 계정 및 사무실 터미널을 포함하되 이에 국한되지 않는 내부 및 외부 침입을 당할 수 있는 초기 돌파구 또는 중간 발판을 말합니다.

기업의 공격면은 광범위하게 존재하며, 기업 내 공격면 평가는 정보 수집 및 취약성 식별 프로세스에 속하며, 기업이 공격자의 침입 활동에 조기에 대응할 수 있도록 지원합니다. 이 과정은 공격 체인에 매핑되어' 정찰' 단계에 속한다.

공격과 방어의 비대칭성 때문에 수비 측은 적청색 대결에서 종종 약세에 처해 있다. 공격측은 단 한 번의 돌파만 하면 되고, 수비측은 모든 공격면을 포괄하는 종심방어 체계를 구축해야 하기 때문에 만반의 실수가 없다. 그러나 정보 수집 단계에서는 몇 안 되는 수비수가 우세한 단계다. 주요 원인은 다음과 같습니다.

1. 공격자는 인터넷 공개 정보 (Google, 소셜 사이트, Github) 또는 기존 사회복지사를 통해서만 일부 기업 정보를 얻을 수 있으며, 방어자는 네트워크 아키텍처, 비즈니스 시스템, 자산 정보, 직원 정보 등 전체 기업 내부 정보를 얻을 수 있습니다. 이러한 정보를 파악하면 잠재적인 침입 지점을 빗질하고 방어의 약점을 찾을 수 있을 뿐만 아니라 사기 또는 사기 기술 (예: 허니팟) 을 결합할 수 있습니다.

2. 공격 표면 평가는 재보험 기간과 같은 특정 단계에서 보다 엄격한 통제 조치를 취함으로써 침입 위험을 줄이고 제한된 비용으로 공격자의 침입을 극대화하는 데 어려움을 겪을 수 있으며 높은 투자 수익을 거둘 수 있습니다. 예를 들어 VPN 채널을 얻는 것은 기업의 전통적인 보호 경계를 돌파하고 인트라넷을 로밍할 수 있는 권리를 직접 얻는 것과 같습니다. 경우에 따라 VPN 보호를 강화하여 공격자의 침입 성공 가능성을 크게 줄일 수 있습니다. VPN 을 깨는 두 가지 주요 방법은 VPN 서버 자체의 취약점을 이용하거나 합법적인 VPN 계정을 통해 침입하는 것입니다. 첫 번째 방법은 VPN 공급업체의 취약점 유출 정보에 초점을 맞추고 패치 업그레이드 관리를 잘하면 대부분의 위협을 효과적으로 줄일 수 있습니다. 0day 취약점을 이용해 VPN 을 공격하여 원격 액세스 권한을 얻는 시나리오의 경우 VPN 자체 로그를 감사하여 VPN 계정 생성 및 변경, VPN 서버 자체에서 시작된 인트라넷 액세스 트래픽과 관련된 알 수 없는 취약점 공격 행위도 적시에 발견할 수 있습니다. 합법적인 VPN 계정을 공격하는 두 번째 방법은 VPN 계정 암호의 복잡성 요구 사항을 늘리고, VPN 계정 비밀번호를 임시로 수정하도록 요구하고, 2 요소 인증 (예: 휴대폰 번호 문자 메시지 인증 바인딩) 을 늘리면 일부 사용자 경험을 희생하고 공격자의 공격 성공 가능성을 크게 낮출 수 있다.

ATT & amp；; Ck 프레임워크의 모든 공격 기술에는 해당 공격 목적, 공격을 수행하는 데 필요한 환경 및 종속성이 있습니다. 이를 분해함으로써 각 공격 기술에 적용 가능한 공격 목표를 추출하고 기업의 자산과 서비스를 참조하여 공격 표면의 노출 및 위험 수준을 평가하여 공격 표면을 감소, 제거 또는 모니터링하는 효과적인 조치를 취할 수 있습니다. 예를 들어, 빨간색-파란색 대결 전에 방어자들은 기업 내 * * * 공유 디렉토리, 파일 서버, BYOD 디바이스가 보안 기준 요구 사항을 충족하는지, 민감한 정보가 있는지, 이러한 컨텐츠에 대한 규정 준수 요구 사항 및 강제 조치를 설정하여 공격면의 노출을 줄여야 합니다.

요약하면 att & amp；; CK 프레임워크는 방어자들이 공격 목표를 이해하고, 공격면을 정련하고, 공격면을 줄이는 수단을 개발하는 데 도움이 된다. 또한 공격면 평가를 통해 위협 인식 향상, 방어 격차 요약, 개선 방안 개발을 위한 참조 기준을 제공할 수 있습니다.

위협 인식 시스템 구축

기존 보안 및 제어 조치의 주요 문제점은 파노라마 위협 인식 시스템이 없어 위협 이벤트, 보안 위험 및 침입 프로세스를 적시에 효과적으로 모니터링할 수 없다는 것입니다. 위협 인식 시스템의 구축은 고립된 보안 방어 및 보안 감사 수단을 효과적으로 연결하여 완벽한 엔터프라이즈 보안 태세를 형성하고 방어자가 실시간 위협 모니터링, 보안 분석 및 대응 폐기를 실현할 수 있는 근거를 제공합니다. 위협 인식 시스템 구축에는 주로 다음과 같은 준비가 포함됩니다.

1. 데이터 소스 빗질: 데이터는 보안 가시성을 위한 기본 요소이며, 다차원 고품질 데이터가 부족하면 모니터링 범위에 심각한 영향을 미칠 수 있습니다. 이와 동시에 많은 기업들이 네트워크 보안법과 같은 보안 표준과 같은 법률 및 규정의 요구 사항을 충족하기 위해 대량의 장비, 시스템 및 비즈니스 로그 데이터를 저장합니다. 따라서 데이터 소스의 계획 및 관리에는 일치, 활용도 저하, 효율성 저하 등 많은 문제가 있어 관리자가 해결해야 합니다.

* 우리는 우리가 볼 수없는 것을 감지 할 수 없습니다.

데이터 소스를 계획할 때는 기업의 실제 공격면, 위협 시나리오, 위험 상황에 따라 설계해야 한다. 예를 들어, 직원 사서함 계정이 공격자에 의해 폭력적으로 해독되어 사회공창고로 유출될 위험에 대해 어떤 데이터를 수집해야 합니까? 먼저 자체 구축 된 exchange 메일 서비스 사용과 같은 기업의 실제 메일 시스템을 고려해야합니다. 수집할 데이터에는 Exchange 메일 추적 로그, IIS 미들웨어 로그, SMTP/POP3/IMAP 등의 메일 프로토콜 로그가 포함됩니다. 둘째, 공격자가 OWA 를 통해 페이지에 액세스하는지 여부를 특별히 고려해야 합니다. 아니면 메일 프로토콜을 통해 폭파를 인증합니까? 아니면 Webmail 이나 클라이언트 인터페이스를 통해 라이브러리를 만드나요? 기업의 오픈 사서함 액세스 방식에 따라 노출된 공격면과 공격 방식도 다르다. 사실에 근거하여 필요한 데이터 출처를 정리해야 한다.

데이터 소스 정렬에서 많은 위협 유형 및 ATT 메소드가 포함되기 때문에 완전히 고려하기가 어렵습니다. ATT &；; CK 프레임워크는 기업 관련 공격 기술을 선택하고, 필요한 데이터 소스 유형을 집계하며, 데이터 소스 수집 및 액세스의 우선 순위를 정리합니다. 데이터 소스 우선 순위 필터링 정보, mitreatt & Red Canary 가 CKcon 2.0 컨퍼런스에서 발표한 주제: 다음 그림과 같이 전체 데이터 소스의 빈도에 따라 Top 10 으로 순위를 매겨 최소 실행 가능한 테스트로 데이터 소스의 우선 순위를 매깁니다.

통계 결과는 기업의 실제 공격 범위와 데이터 출처 획득의 난이도를 고려하지 않고 그대로 옮겨서는 안 된다. 그러나 대부분의 경우 네트워크 미러링 트래픽, 터미널 동작 감사 로그, 주요 애플리케이션 서비스 로그 등의 기본 데이터 소스를 포함한 수집 시나리오를 구축한 다음 실제 테스트 효과를 통해 향상 및 보완할 수 있습니다.

2. 테스트 규칙 개발: 대용량 데이터를 위한 지능형 보안 플랫폼 (또는 Gartner 가 제시한 현대 SIEM 아키텍처 참조) 이 기존 SIEM 제품을 점차 대체하여 기업 위협 감지 시스템의 핵심 뇌가 되었습니다. 기존의 공격 탐지 방법은 대부분 서명을 기반으로 하며 IOC 충돌을 통해 구현됩니다. 실제 공방 대항 과정에서 경보 소음이 너무 크고, 신고가 심하며, 외부 정보 데이터 및 기능 라이브러리 업데이트가 제때에 이루어지지 않는 등의 문제가 있어 방어측은 탐지 효과와 평가 능력을 측정할 수 없다. 따라서 새로운 탐지 개념은 행동과 동기에서 시작하여 공격자가 수행할 수 있는 작업에 대한 감사 및 모니터링 메커니즘을 보완한 다음 큰 데이터 상관 분석을 사용하여 공격 활동을 식별해야 합니다.

ATT & amp；; CK 프레임워크는 여기서 매우 중요한 참고 역할을 한다. 지식 기반은 프레임워크의 각 공격 기술에 대해 해당 탐지 수단 및 프로세스를 설명합니다. T 1 1 10 폭력 해독을 예로 들면, 그 검출 설명은 다음 그림과 같습니다.

구체적인 탐지 방법과 규칙을 추상화하지는 않았지만 모니터링해야 할 장치와 공격 흔적을 추출할 수 있는 로그를 추출했다. 이 섹션을 참조하여 방어측은 관련 데이터 수집, 내부 공격 기술 시뮬레이션, 피쳐 추출을 통해 탐지 방법 및 테스트 규칙 개발, 배포 및 테스트를 효율적으로 수행할 수 있습니다. 또한 고급 영구 위협 (APT) 은 더 많은 흰색 취약성 활용 기술을 사용하여 공격자와 일반 근로자를 효과적으로 구분할 수 없습니다. 그러나 이러한 공격은 탐지 규칙을 개발하여 데이터 소스를 필터링 및 정련하고, 기술로 태그를 지정한 다음 모든 비정상적인 동작을 종합하여 발견할 수 있습니다. 이런 전통적인 검출 방법의 결합은 더욱 효과적인 보충 수단을 제공한다.

요약하자면, 위협 인식 시스템의 구축은 데이터 소스 빗질과 탐지 규칙을 통해 이루어져야 하며 att& 는 기본 준비 작업을 완료합니다. CK 프레임워크는 방어자가 필요한 데이터 소스를 신속하게 이해하고 방어자가 보안 가시성의 사각 지대에서 벗어나 정량화 가능하고 향상된 보안 보호 기능을 제공하는 테스트 규칙을 개발하는 데 도움이 됩니다.

내부 시뮬레이션 대결

현재 사이버 보안 방어 능력을 정확히 파악하기 위해 취약점을 파악하기 위해 일부 기업들은 내부 빨강 블루 대항 시뮬레이션 훈련, ATT &；; CK 지식 기반은 레드팀 공격과 훈련 조직 내 대항을 시뮬레이션하는 데 높은 참고가치를 가지고 있다.

1. 레드 팀 기술 지침: att & amp；; CK 프레임워크에는 266 가지 공격 기술에 대한 설명이 포함되어 있으며, 시뮬레이션 레드팀은 이러한 중 일부를 사용하여 특수 테스트나 특정 전술적 목적을 위한 포괄적인 장면 테스트를 수행할 수 있습니다. 인트라넷 정보 수집을 위한 특수 테스트를 수행할 때' 발견' 과' 수집' 의 전술적 목적을 위해 공격 기술을 참조하고 재현하여 인트라넷에 노출된 공격면을 하나씩 테스트할 수 있습니다. 시뮬레이션 시나리오 연습을 할 때 다른 전술적 목적을 선택하여 시뮬레이션 공격 프로세스를 개발하고 매트릭스에서 관련 기술 구현을 선택할 수 있습니다. 전형적인 레드팀 낚시 공격 장면을 예로 들자면, 공격 기술체인은 낚시->; Hta 실행-> 서비스 상주->; 자격 증명 가져오기-> 원격 시스템 검색->; 관리자 * * * 는 아래 그림의 빨간색 링크에 나와 있습니다.

2. 블루팀 효과 평가: 내부 모의대결은 기업 방어검사의 실제 위협 감지 능력을 점검하는 최선의 수단으로 블루팀에 빈틈을 조사하는 역할을 한다. 공격 행위가 기록되는지 여부, 규칙이 유효한지 여부, 우회 또는 거짓 경찰이 있는지 여부, 공격 면이 빗겨졌는지 여부, 위협 장면이 충분히 고려되는지 여부 등 많은 문제가 실제 테스트에서만 드러납니다. 이와 함께 방어측은 모의연습을 통해 방어적 요격 조치 임시 증가, 업무 접근 통제 요구 사항 증가, 인력 안전의식 교육 강화, 기준 관리 등 극단적인 완화 방안을 구체화할 수 있다.

요약하자면, 내부 시뮬레이션은 실전 단계에서 각 준비 작업의 유효성을 검증하는 수단이다. 수능 전 모의시험으로서, 누락을 점검하고 답변을 최적화하는 데 큰 역할을 하고, ATT &；; 이 단계에서 CK 프레임워크는 레드팀 공격을 시뮬레이션하고 블루팀 발견에 도움을 주는 데 참고역할을 했다.

둘째, 개발 단계

준비 과정이 충분할수록 수비수는 실제 빨강 블루 대결 단계에서 더 쉬워진다. 성숙한 위협 인식 시스템이 이 방면에서 주도적인 역할을 할 것이다.

자산 위험 모니터링

잠재 레드 팀 ATT & amp；; IP 차단 및 보고, 경계 보호를 돌파하여 인트라넷 로밍 단계로 진입하는 공격자의 경우 att & amp； 를 기반으로 합니다. CK 프레임워크는 자산 (터미널/서버) 의 위험을 효과적으로 식별하고 의심스러운 인트라넷 호스트를 찾아냅니다.

별도의 att &；; CK 호스트 위협 분포 매트릭스는 호스트에서 최근에 감지된 모든 공격 기술 활동을 수집한 다음 매트릭스에 표시된 공격 기술 분포 특성에 따라 비정상적인 모델을 훈련시켜 호스트가 함락되었는지 여부를 모니터링합니다. 예외 모델은 다음 세 가지 측면에서 공격을 식별합니다.

1. 공격 기술 분포 이상: 다양한 전술적 공격, 하나의 전술적 여러 가지 공격 등.

2. 공격 기술의 수가 비정상적입니다. 호스트에서 대량의 공격 기술이 감지되어 기준 요소와는 큰 차이가 있습니다.

3. 특정 고 신뢰 손실 표시기: 호스트에서 고 신뢰 규칙 감지를 트리거하는 고위험 경고 (기존 트리거 메커니즘).

다음 그림을 예로 들어 보겠습니다. 호스트는 단기간에' 검색' 전술에 따른 일련의 공격 기술을 트리거하는데, 이는 일상적인 운영 유지 보수에서 보기 드물며 호스트 또는 같은 유형의 호스트와의 기준 편차가 크다. 피해 호스트가 통제되면 이러한 작업이 많이 수행될 수 있으므로 기계 위험이 높고 손실/고위험 자산으로 판단됩니다.

의심스러운 프로세스의 결정 및 추적 가능성

수집된 터미널 동작 로그 (프로세스 활동, 레지스트리 활동, 파일 활동 및 네트워크 활동 포함) 에 따라 고유 프로세스 ID(GUID) 를 통해 상위-하위 프로세스를 연관시킬 수 있습니다. 의심스러운 프로세스 활동이 발견되면 시스템이 처음에 프로세스를 호출하고 모든 하위 프로세스를 아래로 포함하고 att & amp；; 를 추가할 때까지 프로세스의 프로세스 트리로 드릴다운할 수 있습니다 CK 공격 기술 라벨 (예: 네트워크 요청, 도메인 이름 요청, 파일 릴리스 등) 은 방어측의 보안 분석가가 프로세스가 의심스러운지 판단하고 적시에 폐기 조치를 취하는 데 도움이 됩니다.

다음 그림을 예로 들어 보겠습니다. 의심스러운 프로세스의 wscript.exe 를 찾은 후 느낌표로 표시된 하위 프로세스가 att& 에 의해 명중된 프로세스 트리로 드릴다운합니다. CK 공격 기술의 프로세스, 느낌표가 없는 하위 프로세스도 의심스러운 프로세스 트리에 속합니다. 공격자가 사용하는 정상적인 시스템 프로세스이거나 감지 규칙을 피하여 감지되지 않은 프로세스일 수 있습니다. 이 프로세스 트리에 표시된 정보를 통해 wscript 프로세스와 파생된 powershell 프로세스에서 수많은 의심스러운 행동을 시각적으로 발견할 수 있으며, 이러한 프로세스 정보는 연결된 터미널 보호 소프트웨어 또는 수동 기계 조사 처리를 후속 처분하는 데 충분한 정보를 제공합니다.

비상 대응 도킹

누락된 자산을 찾아 의심스러운 프로세스로 드릴다운한 후 프로세스 트리에서 프로세스 엔티티 경로, 프로세스 명령줄, 프로세스 생성 파일, 프로세스 네트워크 연결 등의 정보를 익스포트하고 정리를 위해 응급 팀에 제출할 수 있습니다. 위의 정보를 통해 응급 팀은 호스트의 침입 경로를 신속하게 폐기 및 분석하고 공격자가 트로이 목마를 이식하는 수단을 통해 데이터 및 규칙 누락으로 인한 누락 공격이 있는지 여부를 더 자세히 조사할 수 있습니다. 또한 유사한 동작을 가진 모든 터미널을 연결하여 알 수 없는 다른 누락된 자산이 있는지 확인합니다.

위의 내용은 att &；; CK 프레임워크가 설정한 자산 위험 모니터링 및 의심스러운 프로세스 판단 방법은 적청색 대항 과정에서 공격자가 성공적으로 공격한 흔적을 효과적으로 찾아내 추적 및 비상 대응에 대한 데이터 지원을 제공합니다. 이들은 위협 인식 시스템을 핵심으로 블루팀을 만드는 이념과 ATT &；; CK 프레임워크 적응의 응용 방법은 미래에 풍부하고 강화될 것이다.

셋째, 복구 단계

방어 효과 평가

빨강-파랑 대결의 끝에서 수비 효과에 대한 수비수의 평가는 매우 중요하다. 구체적으로 다음을 포함합니다.

보안 장치 누락 분석: 공격자가 제공한 보고서에 따라 각 공격 유형을 해당 보안 감지 장치에 할당하고 관련 장치의 경고가 보고서의 공격 프로세스와 일치하는지 확인하여 보안 장치의 현재 탐지 기능을 분석합니다. 체크 아웃률이 낮은 장비의 경우 강화 및 개선을 위해 제조업체와 최적화 업데이트 규칙을 조정해야 합니다.

규칙 허경 최적화: 적청색 대항 발전 단계에서 공격자 공격 과정에 대한 전면적인 커버 감지를 보장하기 위해, 보통 느슨한 규칙 감지 모드를 채택하여 누락이 수비측에 영향을 미치지 않도록 방지한다. 예를 들어, 폭력적인 크래킹 시나리오의 경우 경고를 트리거하는 연속 로그인 실패 요청의 임계값을 낮게 설정할 수 있습니다. Webshell 이식 장면의 경우 동적 스크립트 파일을 업로드하려는 모든 시도가 감시되거나 차단되어 공격자가 일부 인코딩 및 혼동을 통해 피쳐 감지를 우회하지 않도록 할 수 있습니다. 이러한 규제가 느슨한 검사 규칙은 빨강-파랑 대항 과정에서 검사 누락 횟수를 최소화할 수 있어 효과가 좋다. 그러나 규제가 엄격하지 않아 발생하는 경보 소음도 늘어난다. 빨강-파랑 대결 복구 과정에서 오보 된 데이터와 원인에 대한 통계 분석을 수행하고, 탐지 규칙과 경계 조건의 논리를 개선하고, 적절한 화이트리스트 필터링을 구성하고, 후속 일상적인 작업을보다 운영 가능하고 실용적인 위협 탐지 규칙을 제공해야합니다.

공격면 재평가 및 데이터 가시성 분석: 적청색 대항 준비 단계와 적청색 대항 발전 단계에서 방어자와 공격자는 각각 공격면 평가와 공격 대상 정보 수집을 실시합니다. 따라서 복구 단계에서는 양측이 파악한 공격면 정보와 공격 대상의 선택을 비교함으로써 이전에 누락한 변두리 자산과 알 수 없는 공격면이 있는지 파악해 공격자의 시각으로 누락을 보완할 수 있다. 또한 누락된 공격면은 관련 데이터 소스 요구 사항을 통해 분석되어 누락된 데이터 가시성과 위협 인식을 보완할 수 있습니다.

수비격차 평가와 개선: 레드블루 대항에서 발견된 취약점에 대해 수비수는 개선 목표를 구체화하고 후속 안전건설 업무를 지도할 수 있다. 기업의 공격면이 다르기 때문에 핵심 자산과 목표도 다르기 때문에 준비 과정에서 우선 발전을 위해 몇 가지 중점 분야를 선택하고, 적청색 대결을 통해 발견된 다른 약한 부분을 통해 후속 작업에 대한 참고 자료를 제공할 수 있습니다. 예를 들어, 생산 환경의 안전을 강화하는 데 주력하는 사람들은 직원들의 안전의식 배양을 소홀히 하여 공격자의 낚시법이 침입을 돌파하게 될 수 있습니다. 웹 사이트 보안에 중점을 둔 사람들은 공격자가 감지를 통해 발견한 서버에 노출된 다른 포트나 서비스의 존재를 간과할 수 있습니다. 알려진 취약점이나 0day 취약점을 이용하여 서버를 우회합니다. Att&CK 프레임워크와 함께 해당 데이터 소스와 공격 기술 탐지 수단을 보완하여 이러한 누락을 신속하게 보완할 수 있습니다.

방어 효과 평가는 빨강-파랑 대 복판 단계의 중요한 요약 과정이며 지속적인 최적화 개선을 위한 참고 자료입니다. 여기 att & amp；; CK 프레임워크의 역할은 주로 양측의 언어를 통일하고 각 공격 사건을 쌍방이 이해할 수 있는 기술과 절차로 분할하여 빨강-파랑 대결을 빨강-파랑 협력으로 나아가게 하는 것이다.