위협 헌팅 성숙도 모델 설명 및 예시

가이드 시리즈에서는 위협 사냥 기본에 대해 여러 주제를 다뤘습니다. 기법 and 도구 위협 사냥 팀들이 사용하는 인증 전문가와 초보자를 위한. 하지만 뛰어난 사이버 사냥, 을 만드는 것은 무엇이며, 어떻게 평가할 수 있을까요? 사냥 절차의 효과를 측정하는 방법 중 하나는 위협 사냥 성숙도 모델 (HMM)을 사용하는 것입니다. 이는 위협 사냥 프로세스의 숙련도를 평가하고 개선 기회를 정의하는 데 유용합니다.

이번 블로그에서는 조직의 성숙도 수준을 평가하는 방법과 보안 태세를 강화하기 위해 무엇을 수정할 수 있는지 알아보겠습니다. 위협 사냥에 처음 도전하는 사람이나 현재의 설정을 강화하고자 하는 사람 모두, SOC Prime 플랫폼 의 행동 기반 탐지를 갖추는 것은 항상 좋은 생각입니다.

탐지 및 사냥 위협 컨텍스트 탐색

위협 사냥 성숙도 모델 소개

참조하기 위협 사냥 성숙도 모드는 조직의 사이버 사냥 을 유지하는 훌륭한 방법입니다. 물론, 모든 회사에 동일하게 적용되는 사냥 모델은 없습니다. 그러나 조직의 위협 사냥 능력을 평가할 때는 다음 요소들을 항상 고려해야 합니다:

• 조직이 수집한 데이터의 품질과 양은 어떠한가요?
• 조직이 다양한 종류의 데이터를 얼마나 잘 해석하고 분석할 수 있나요?
• 분석가의 통찰력을 향상시키기 위해 조직이 사용할 수 있는 자동화된 분석 기법은 무엇인가요?

언제 위협 사냥 성숙도 모델 개발되었나요?

현재의 위협 사냥 성숙도 모델 는 Sqrrl 에 의해 2017년에 조직의 사냥 능력을 평가하기 위해 만들어졌습니다. 특히, Sqrrl 위협 사냥 모델 은 사냥꾼이자 보안 설계자인 David J. Bianco (@DavidJBianco)에 의해 개발되었습니다. 이 위협 사냥 프레임워크 의 주요 아이디어는 조직의 사이버 사냥 능력을 다양한 단계로 나타내는 것입니다.

무엇인가요 위협 사냥 성숙도 모델?

위협 사냥 성숙도 모델 는 조직이 얼마나 효과적으로 사이버 사냥 운영되는지를 평가하는 다섯 단계의 평가 시스템입니다. Sqrrl 위협 사냥 모델은 다음 기준을 평가합니다:

• 데이터 수집 (회사가 환경으로부터 추출하는 데이터의 양과 질)
• 가설 생성 (가설을 생성할 때 고려하는 요소들)
• 가설 검증을 위한 도구와 기술
• 패턴과 전술, 기술 및 절차 (TTPs) 탐지
• 분석 자동화 (위협 사냥 절차가 얼마나 자동화되었는지)

The 위협 사냥 성숙도 모델 조직의 효과적인 사이버 사냥 및 위협 대응 능력을 정의합니다. 비즈니스가 더 유능할수록 사냥 성숙도 모델 (HMM) 수준이 높습니다. HMM0는 가장 유능하지 않은 수준이고 HMM4는 가장 효율적인 수준입니다. 이제 각 수준을 자세히 살펴보겠습니다.

HMM0 – 초기 수준의 위협 사냥 성숙도 모델

HMM0에서는 조직들이 일반적으로 IDS, SIEM 또는 안티바이러스와 같은 자동 경고 시스템을 사용하여 유해한 행동을 식별합니다. HMM0의 대부분의 인간 작업은 경고 해결에 초점을 둡니다.

이 기업들은 대부분 오픈 소스 서비스에서 위협 인텔리전스 지표와 위협 피드를 활용할 가능성이 높습니다. 이 지표는 주로 고통 피라미드의 하위 수준에 해당하며, 재사용될 가능성이 적은 간단한 데이터(도메인, 해시, URL, IP 주소)입니다. HMM0 조직은 실제 위협 인텔리전스 능력.

이 부족한 경향이 있습니다.

HMM0에서는 기업들이 일반적으로 SIEM과 같은 플랫폼을 로그 수집을 위해 사용합니다. 아마도 공급업체의 기본 기본 설정(예: 경고를 위한 상관규칙)을 사용하는 경향이 있습니다. 또한, HMM0 업체는 시스템에서 많은 데이터를 수집하지 않으며, 이는 위협을 사전에 발견할 수 있는 능력을 크게 제한합니다. 그 결과, 이러한 조직의 환경 가시성은 거의 없거나 전혀 없습니다. 이 모든 것은 HMM0 조직이 위협 사냥을 수행할 수 없게 만듭니다. 사이버 사냥 HMM0는 무엇입니까?

• 데이터 수집: 거의 없거나 수집되지 않은 데이터.
• 가설 생성: 가설을 생성하지 않고, 안티바이러스, 방화벽, SIEM, IDS 등이 생성한 경고를 해결하는 과정에 그칩니다.
• 가설 검증을 위한 도구와 기법: 절차는 어떤 선제적인 조사도 포함하지 않습니다. 도구는 일반적으로 SIEM 검색이나 경고 콘솔을 포함합니다.
• 패턴 및 TTP 탐지: 없음.
• 분석 자동화: 없음.

HMM1 – 최소 수준의 위협 사냥 성숙도 모델

HMM1에서는 조직들이 여전히 대부분 자동 경고를 사용하여 사건 대응 프로세스를 안내합니다. 그러나 이 단계에서는 다양한 로그 수집 덕분에 환경 가시성이 향상됩니다.

HMM1에서 기업들은 분석을 위해 SIEM 플랫폼을 계속 사용하지만, 이 성숙도 수준에서는 SIEM 콘텐츠가 기본 상관규칙 이상으로 다양화됩니다. 다양한 데이터 수집으로 인해 추가 분석을 위한 보고서를 생성할 수 있습니다. 그 결과, 분석가는 새로운 위협이 발생할 때 이러한 보고서에서 지표를 추출하고, 관련 흔적이 있는지 이력을 확인할 수 있습니다.

최소 수준의 위협 사냥 프레임워크, 조직들은 자신이 생성한 IOC를 풍부하게 해주는 위협 인텔 플랫폼을 통합하여 얻은 세부 사항을 얻는 것을 목표로 합니다. 이러한 기업들은 주로 인텔리전스 주도 감지를 위해 최신 위협 보고서를 따릅니다. 위협 인텔리전스 능력 by integrating a threat intel platform that enriches their individually-generated IOCs. These companies frequently follow up on the most recent threat reports as they strive for intelligence-driven detection.

HMM1은 일부 형태의 사이버 사냥이 제한적으로 이루어지는 Sqrrl 위협 사냥 모델의 첫 번째 수준입니다.

HMM1는 무엇입니까? 사이버 사냥 HMM0는 무엇입니까?

• 데이터 수집: 기본 인프라 포인트로부터의 기본 데이터 수집.
• 가설 생성: 위협 인텔 리뷰에 기반하여 새로운 가설 생성.
• 가설 검증을 위한 도구와 기법: 로그 분석 도구나 SIEM을 사용한 기본 쿼리 검색.
• 패턴 및 TTP 탐지: 도메인, 해시, URL과 같은 가장 단순한 IOC 식별.
• 분석 자동화: 기본 위협 인텔리전스 능력 이 자동 경고에 통합됨.

HMM2 – 절차 수준의 위협 사냥 성숙도 모델

HMM2는 대다수 기업들 사이에서 가장 널리 퍼진 위협 사냥 성숙도 수준으로 여겨집니다. HMM2 조직들은 거의 정기적으로 다른 사람들이 만들어낸 분석 및 사냥 과정을 활용합니다. 그들이 외부에서 가져온 기법에 소소한 수정을 가할 수는 있지만, 자신만의 맞춤 절차를 개발할 수 있는 수준은 아닙니다.

HMM2 기업들은 대부분의 방법이 최소 빈도 분석에 의존하기 때문에 일반적으로 회사 전체에서 대량의(종종 매우 큰) 데이터를 수집합니다.

HMM2는 무엇입니까? 사이버 사냥 HMM0는 무엇입니까?

• 데이터 수집: 특정 데이터 유형의 높은 일관된 데이터 수집.
• 가설 생성: 가설 생성을 위한 위협 인텔리전스 검토.
• 가설 검증을 위한 도구와 기법: 기본 도구와 히스토그램을 사용한 검색 및 데이터 분석.
• 패턴 및 TTP 탐지: 고통 피라미드의 중하위 수준에 해당하는 IOC 식별. 사냥 과정은 IOC 경향 매핑을 포함할 수 있습니다.
• 분석 자동화: 효과적인 사이버 사냥 절차의 라이브러리를 구축하고 정기적으로 수행.

HMM3 – 혁신 수준의 위협 사냥 성숙도 모델

HMM3 조직은 데이터 분석 기술의 다양한 종류를 이해하고 악성 행동을 감지하는 데 적용할 수 있는 최소한의 위협 사냥 팀을 보유합니다. 이들은 제 3자 절차에 의존하는 HMM2 기업과 달리, 사냥 방법을 개발하고 출시하는 조직입니다. 분석 능력은 초기 통계부터 링크 데이터 분석, 데이터 시각화 또는 기계 학습과 같은 보다 복잡한 주제에 이르기까지 다양할 수 있습니다. 이 시점에서 분석가들은 기록되고 정기적으로 수행되는 반복 가능한 절차를 개발하는 것이 중요합니다.

HMM3에서 데이터 수집은 HMM 2만큼이나 일반적이며, 경우에 따라서는 더 많습니다. 적대자 활동을 식별하고 대응하는 면에서 HMM3 조직은 상당히 효과적입니다. 그러나 사이버 사냥 프로세스가 확장됨에 따라 확장성 문제를 가질 수 있습니다. 이 모든 절차를 제때 수행하는 데 압도될 수 있으며, 이는 위협 사냥 팀이 이에 상응하여 성장하지 않는 한 해결하기 어려울 수 있습니다.

HMM3는 무엇입니까? 사이버 사냥 HMM0는 무엇입니까?

• 데이터 수집: 특정 데이터 유형의 높은 일관된 데이터 수집.
• 가설 생성: 새 가설 개발을 위한 지속적인 위협 인텔리전스 검토와 수동 사이버 위험 점수화.
• 가설 검증을 위한 도구와 기법: 새로운 사냥 절차를 개발할 때 그래프 검색과 시각화를 활용합니다.
• 패턴 및 TTP 탐지: 고통 피라미드의 상단을 포함한 다양한 IOC를 식별할 수 있습니다.
• 분석 자동화: 기본 데이터 과학 활동을 수행하고 효과적인 사이버 사냥 절차의 라이브러리를 구축합니다.

HMM4 – 선도 수준의 위협 사냥 성숙도 모델

HMM4와 HMM3 조직의 주요 차이점은 자동화입니다. HMM4에서는 대부분의 사냥 기술이 운영화되어 가능한 자동 감지로 전환됩니다. 이는 분석가가 동일한 프로세스를 반복하여 수행할 필요를 줄이고, 기존 운영을 강화하거나 새로운 것을 개발하는 데 집중할 수 있게 합니다.

HMM4 수준의 조직은 적대자 활동을 중단하고 감지하는 데 효과적입니다. 높은 수준의 자동화 덕분에 사냥 팀은 지속적으로 사냥 기법을 개선하는 데 노력을 집중할 수 있으며, 이는 지속적인 발전으로 이어집니다.

HMM4는 무엇입니까? 사이버 사냥 HMM0는 무엇입니까?

• 데이터 수집: 일관되게 다양한 데이터를 고수준으로 수집.
• 가설 생성: 새로운 가설 개발을 위한 지속적인 위협 인텔리전스 검토와 자동화된 사이버 위험 점수화.
• 가설 검증을 위한 도구와 기법: 자동 사냥 절차를 통한 고급 그래프 검색 및 시각화.
• 패턴 및 TTP 탐지: 자동화된 TTP 발견 및 보고서를 수집하는 관련 조직과 IOC를 공유할 가능성.
• 분석 자동화: 가능한 곳에서는 자동화를 적용하며, 기계 학습(ML) 및 기타 고급 기술을 적극적으로 사용합니다.

결론 위협 사냥 성숙도 모델

기업들이 다양한 위협 사냥 유형의 절차를 향상시키는 동안, 정확한 로드맵을 수립하는 것이 중요합니다. 위협 사냥 성숙도 모델 은 성숙한 조직과 다양한 사냥 모델은을 처음 점검하기 시작한 조직 모두에게 좋은 시작점입니다. 이 접근법을 사용하여 조직들은 자신이 어디에 있는지뿐만 아니라 어디에 가야 하는지, 그리고 어떻게 거기에 도달할 것인지도 결정할 수 있습니다.

위협 사냥을 증가시키기 위해서는 SOC Prime의 코드로서의 탐지 플랫폼에 가입하십시오. 이는 25개 이상의 SIEM, EDR 및 XDR 솔루션에 적합한 세계 최대의 큐레이션된 Sigma 규칙 컬렉션에 대한 액세스를 제공합니다.