Binary Presence 기반 Heatmap의 허구성과 Telemetry 중심의 탐지 공백 분석

Your ATT&CK Heatmap Is Counting Rules, Not Coverage

Chris Ray2026년 6월 3일6분intermediate

AI 요약

Context

보안 벤더들이 제공하는 MITRE ATT&CK Heatmap이 실제 탐지 능력이 아닌 Rule의 단순 존재 여부(Binary Presence)만으로 Coverage를 표시하는 한계 존재. 이로 인해 Execution, Persistence 등 단일 이벤트 기반 탐지가 쉬운 영역에만 Rule이 집중되는 Lopsided Shape 현상 발생.

Technical Solution

Rule Metadata 내 Technique ID 및 Tactic Tag를 직접 파싱하여 Rule 개수 기반의 정량적 Scoring 모델 도입
Binary(0 or 1) 방식의 시각화를 Rule Count 기반의 밀도 분석으로 전환하여 실제 탐지 집중도 파악
Discovery, Lateral Movement 등 복합 이벤트 상관관계가 필요한 영역의 탐지 공백을 Telemetry 부족 문제로 정의
Endpoint/Cloud-audit 로그 중심의 데이터 모델에서 Network Layer(East-West flow, SMB, RPC) 중심의 데이터 수집 체계로 확장 제안
Rule 작성 노력(Effort)이 아닌 가시성(Visibility) 관점에서 탐지 갭을 분석하는 방법론 적용

실천 포인트

- 벤더 제공 Heatmap 수용 전, Public Repo의 Rule Metadata를 추출하여 Tactic별 Rule 분포 직접 검증 - 탐지 공백 발생 시 Rule 추가 작성 전, 해당 Tactic을 식별할 수 있는 Telemetry(예: Network Tap, Flow Data) 확보 여부 우선 확인 - 단일 이벤트 매핑(One-event-one-rule)이 불가능한 행동 기반 탐지를 위해 Session Reconstruction 및 Time-series Baselining 설계 검토

태그

#Visibility #Detection Engineering #MITRE ATT&CK #Lateral Movement #Telemetry

원문 읽기