위협 헌팅 프로세스 단축하기

위협 사냥 프로세스를 단축해야 하는 이유는?

모든 보안 운영 작업과 마찬가지로, 우리는 최소한의 자원으로 최고의 결과를 얻기 위해 효율성과 효율성을 균형 잡으려고 합니다.

불행히도 위협 사냥은 종종 모호한 성과와 비즈니스 가치를 가진 사냥 연습에 전문가 자원과 시간을 투자할 수 있는 충분한 예산을 가진 가장 발전된 보안 운영 팀에게만 허용되는 ‘사치’로 여겨집니다. 위협 사냥 프로세스는 전형적인 Tier I/II SOC 분석가의 워크플로보다 확실히 복잡합니다. 또한 역사적으로 위협 사냥의 결과를 이해 당사자에게 의미 있게 보여주는 것이 어렵다는 것도 사실입니다.

그러나 SOC Prime에서는 더 나은 기술, 도구, 커뮤니티 협력을 통해 현 상태를 바꾸는 것을 목표로 하고 있습니다. 이 기사에서는 현재 위협 사냥 프로세스가 어떻게 보이는지 검토하고, 모든 규모, 수준 및 성숙도의 팀이 위협을 사전 탐지하게 함으로써 이 프로세스를 단축하는 방법을 살펴봅니다.

위협 사냥 프로세스는 어떻게 보이는가?

위협 사냥을 위한 매우 일반적인 프레임워크를 설정하며 시작하겠습니다.

1. 연구 주제 또는 주제 식별
2. 연구 수행
3. 가설 설정
4. 가설 테스트
5. 발견 내용을 기록하고 조치 취하기

 제가 의도적으로 세부사항을 생략한 것을 아마 눈치챘을 것입니다. 이 주제에 대한 전문가 의견의 본문은 매우 크지는 않지만, 위협 사냥이 어떻게 보이는지를 진정으로 이해하기 위한 주요 자원이어야 합니다. 그러나 일반적으로 대부분의 위협 사냥꾼들은 위의 요점들이 일반적인 프로세스를 공정하게 요약한 것이라고 동의합니다.

*참고 – SOC Prime은 이 비디오의 소유권을 주장하거나 Insomni’hack 또는 발표자와의 제휴를 주장하지 않습니다. 위의 비디오 참조는 위협 사냥에 대한 일반적인 접근 방식을 위한 추가적인 맥락을 제공하기 위한 것입니다.로베르토 로드리게스와 호세 루이스 로드리게스의 이 프레젠테이션은 제가 가장 좋아하는 것 중 하나입니다. 두 발표자는 오픈 소스 위협 사냥 개발 커뮤니티의 잘 알려진 사고 지도자 및 기여자들입니다. 전체 비디오를 시청하고 그들의 블로그를 꼭 확인해보세요.

위협 사냥 프로세스를 단축하는 방법

효율성 및 효율성을 균형 잡을 때 실제로 다음 문제를 해결하는 것입니다.

•  기술

시간에 따라 복잡한 검색을 실행할 때 속도가 중요합니다. 특정 플랫폼에 대해 비판하지 않고 더욱 빠르게 검색할 수 있는 일부 로그 저장소 및 SIEM 기술이 있습니다. 30초와 3분 걸리는 검색의 차이는 매년 수백 개의 연습에서 진정한 효율성을 높이는 데 도움을 줍니다.

• 정보

‘정보’라는 용어를 사용하여 의도적으로 넓은 범위를 포착하고 있습니다. 위협 사냥 관행 내에서 정보는 내부 및 외부 여러 장소에서 나와 연습을 집중시키고 풍부하게 해야 합니다. 간단히 말해, 정보에 입각하고 전략적인 위협 사냥은 무작위 검색 및 대시보드로 맹목적인 사냥보다 더 효과적입니다.

1. 위협 인텔리전스 피드
   • 내부 허니넷
   • 외부 허니넷
2. 위협 모델링 (이상적으로는 MITRE ATT&CK 프레임워크와 매핑되고 기술 및 비즈니스 이해 당사자 모두에게 정보를 제공받는 방식으로)
3.  OSINT
4.  멀웨어 역공학
   • 이상적으로는 MITRE ATT&CK 프레임워크와 매핑되고 기술 및 비즈니스 이해 당사자 모두에게 정보를 제공받는 방식으로.

• 사람들

올바른 사람을 확보하는 것이 왜 중요한지를 설명할 수도 있지만, 현재 산업의 기술 격차를 고려할 때 이러한 종류의 대화는 덜 영향력 있음을 알고 있습니다. 이 영역에서 의미 있는 대화는 오히려 기존 인력을 자동화하거나 보강하는 것입니다.

• 프로세스

이것이 모든 것을 함께 유지하고 기술, 정보 및 사람들에게 효과성과 효율성을 가져오는 접착제입니다.

I. 성과물/영향 이해

• 위협 사냥은 전체 보안 태세를 어떻게 개선합니까?
  • GRC
  • 보호
  • 탐지
  • 대응

II. 진행/가치 정량화

• 위협 사냥 프로그램의 진행을 어떻게 측정합니까?
  • 성과물의 증가 또는 감소가 비즈니스 가치와 관련이 있습니까?

솔직히 말하자면, 이 모든 요소는 깊이 관련되어 있으며 별개의 엔티티로 통합하기 어려울 수 있습니다. 요컨대, 위협 사냥 프로세스를 단축하기 위해서는 다음의 해결책이 필요합니다 (a) 최고의 기술과 함께 작동하고, (b) 고급 및 관련 정보를 제공하며, (c) 자동화 또는 풍부화로 작업량을 줄이고, (d) 가치를 이해하고 정량화하기 위한 일종의 절차적 구조를 제공합니다.SOC Prime의 Detection as Code 플랫폼지난 5년 동안 SOC Prime은 Detection as Code 플랫폼을 통해 위협 사냥 운영을 실현할 수 있도록 조직을 지원해 왔습니다.

플랫폼은 위협 사냥의 기술, 정보, 사람 및 프로세스 문제를 해결하기 위해 설계된 100,000개 이상의 교차 플랫폼 위협 관련 규칙의 무기고입니다.항목 (a), SOC Prime의 Detection as Code 플랫폼 콘텐츠는 모든 주요 SIEM 플랫폼과 호환됩니다.

우리는 업계 최고의 SIEM 플랫폼을 위해 콘텐츠를 개발합니다. 현재 사용 중이거나 마이그레이션을 고려 중인 플랫폼에 관계없이 적절한 탐지를 제공할 준비가 되어 있습니다.항목 (b), 우리의 탐지 콘텐츠는 최신 위협에 적합하고 관련성이 있습니다.

커뮤니티 플랫폼으로서, SOC Prime의 Detection as Code 플랫폼은 SOC Prime의 R&D 팀, 독립적인 Threat Bounty Hunter 및 커뮤니티 개발자가 만든 새로운 탐지 콘텐츠의 집계 역할을 합니다. 우리는 새로운 콘텐츠를 매일 릴리스하고 업데이트하여 팀이 빠르게 변화하는 위협 환경에 대응할 수 있도록 돕습니다.항목 (c), 플랫폼은 Elastic과 통합되며 케이스/사건 관리, 풍부화 및 자동화를 위한 SOC Workflow 애플리케이션을 제공합니다.

30,000개 이상의 규칙이 제공되므로, 콘텐츠를 신속히 운영하는 것이 성공의 열쇠입니다. 대부분의 유료 티어에 포함된 SOC Workflow 앱은 스택에서 바로 네이티브 케이스 관리 및 SOAR 유사 기능을 제공합니다.항목 (d), 우리의 탐지 콘텐츠는 MITRE ATT&CK 프레임워크와 연결되어 개념 구조를 제공하고 가치를 이해 관계자에게 전하는 도구 역할을 합니다.우리는 탐지 콘텐츠의 95% 이상을 MITRE ATT&CK 프레임워크와 대조하여 매핑합니다. 이를 통해 조직은 우리의 커뮤니티의 전문적인 전문성을 활용하여 자체 역량을 강화할 수 있습니다. 여기에서 팀은 빠르게 사냥 대상을 식별하고 관련 위협 행위자 및 TTP에 대한 추가 연구를 수행하며, 몇 번의 클릭만으로 사냥을 시작할 수 있는 위협 관련 쿼리 및 규칙에 접근할 수 있습니다.

우리가 규칙을 ATT&CK 프레임워크에 매핑하기 때문에 환경 전체에서 탐지 범위를 측정하고, 시간이 지남에 따라 진행 상황을 벤치마킹할 수 있습니다.

예를 들어, 6개월 전에는 144개 기술 중 20개에 대해 커버리지가 있었습니다. 오늘날에는, 누락된 기술에 대한 추가 규칙을 체계적으로 구현한 후, 이제 144개 기술 중 60개에 대한 커버리지를 보유하고 있습니다. 이는 탐지 커버리지를 세 배로 늘린 것입니다! 또한, 보안 운영 로드맵을 통해 다음을 정의했습니다:

• 현재 탐지 격차
  • 전술
  • 기술
  • 위협 행위자
• 수집/온보딩할 로그 소스
• 설정할 이벤트 유형

 예시:

https://tdm.socprime.com/tdm/info/FHh5xhYB3zlf/예를 들어, 우리는 ‘권한 상승을 위한 취약점 악용’ 기술을 ‘권한 상승’ 전술 아래에서 선택했습니다. 여기에서 ‘Hurricane Panda Activity’ Sigma 규칙을 발견했으며, 이 위협 행위자가 사용하는 기술 및 명령에 대한 특정 조건과 함께 기반이 된 연구 기사에 대한 직접 참조를 포함하고 있습니다. 규칙이 준비되어 있는 상태에서, 위협 사냥꾼은 가장 길고 자원 집약적인 연구 및 가설 설정 단계를 건너뛰며 빠르게 연습을 시작할 수 있습니다.

요약:

제품으로서, SOC Prime의 Detection as Code 플랫폼은 위협 사냥 프로세스를 가속화하기 위해 설정한 네 가지 요구 사항을 모두 충족합니다. 물론, 우리가 만성적으로 인력이 부족한 경우에도 이러한 가치를 전달하는 데 도움이 되는 전문 서비스 전체 카탈로그도 제공하고 있습니다.

플랫폼에 대한 커뮤니티 접근은 무료입니다! 지금 가입하여 우리의 탐지 콘텐츠를 탐색해 보세요 “TDM.SOCPRIME.COM“. 항상, 질문이나 회의 요청이 있는 경우 직접 문의해 주세요.