SOC Prime CEO의 관점에서 본 불확실한 시기에서의 비즈니스 성장 추진: 파트 II
목차:
Sigma와 MITRE ATT&CK®의 융합이 글로벌 사이버 전쟁에서 경쟁 우위를 얻기 위해 집단 사이버 방어를 어떻게 강화할 수 있는지
이 기사는 AIN.UA 에 의해 수행된 원래 인터뷰를 기반으로 하며 관련 기사에 다루어졌습니다.
SOC Prime의 설립자, CEO 및 회장인 Andrii Bezverkhyi와의 인터뷰 두 번째 파트에서는 Sigma와 MITRE ATT&CK의 조합이 사이버 방어의 미래를 어떻게 형성하는지에 대한 통찰력을 제공합니다. SOC Prime의 비즈니스 연속성 전략에 대해 더 알고 싶으시면 SOC Prime의 CISO와의 최초 인터뷰를 확인하세요 SOC Prime의 CISO와의 초기 인터뷰를 확인하세요 의 전용 기사 시리즈.
Sigma 및 MITRE ATT&CK란 무엇인가 — 사이버 위협의 “주기율표”
Sigma는 전 세계 모든 사이버 보안 전문가들이 사용하는 공통 언어로, 2016년에 만들어졌습니다. 당시 Florian Roth와 Thomas Patzke가 SigmaHQ GitHub 저장소에 첫 커밋을 했습니다. 이 언어는 어떻게 작동합니까?
전통적으로 안티바이러스는 모든 기존 위협에 대한 서명 데이터베이스(지표 리스트)를 사용합니다. 독점 안티바이러스 및 그 후속 EDR 솔루션의 서명 데이터베이스는 일반적으로 폐쇄되어 있어 일반 사용자는 구현 결과만 관찰합니다. 그러나 Sigma 지식을 통해 사용자는 기존 또는 신규 위협에 대한 서명을 생성하고 누구나 접근할 수 있는 공개 데이터베이스에 서명을 추가할 수 있습니다.
Sigma는 Microsoft Windows의 로컬 이벤트 레지스트리나 Sysmon에서 AWS 텔레메트리 또는 Docker 컨테이너에 이르기까지 모든 보안 기술의 행동 서명을 표현할 수 있게 하며, 이를 통해 탐지 엔지니어는 정확한 문제와 발생 위치를 식별할 수 있습니다. Sigma를 활용하면 회사 관리자는 이메일 URL을 통한 피싱, 조직의 웹 애플리케이션에서 발견된 제로데이 취약점의 악용 시도 또는 기업용 Slack 워크스페이스에 영향을 미치는 멀티팩터 인증(MFA) 공격을 식별할 수 있습니다.
SOC Prime 전문가들은 효과적인 위협 탐지와 주도적인 사이버 방어를 위해 Sigma 규칙 을 사용하는 선구자 중 하나입니다. 또한 SOC Prime은 Sigma 규칙에 MITRE ATT&CK 프레임워크 를 태그하는 것을 처음으로 도입하여, 모든 사이버 수비수들이 사이버 보안 분야와 사용 중인 기술 스택에 상관없이 활용할 수 있는 전 세계적으로 접근 가능한 적대행위 TTP의 지식 베이스로 작용합니다. 이 프레임워크는 MITRE에 의해 만들어졌으며, Sigma와 마찬가지로 전 세계 전문가 커뮤니티에 의해 유지되고 개발되는 오픈 소스 프로젝트입니다.
Sigma 규칙은 폭넓게 권장되고 있습니다 연방수사국(FBI), 국가안보국(NSA), 호주 사이버 보안 센터(ACSC), 캐나다 사이버 보안 센터(CCCS)와 같은 기관에서는 위협을 식별하고 사이버 공격을 주도적으로 탐지하는 효율적인 방법이라고 권장합니다. 사이버 보안 및 인프라 보안 기관(CISA)은 ATT&CK를 “실제 관찰을 기반으로 하는 적대행위 전술 및 기술의 전 세계적으로 접근 가능한 지식 베이스”라고 언급합니다. 언급합니다 ATT&CK는 “실제 관찰을 기반으로 하는 적대행위 전술 및 기술의 전 세계적으로 접근 가능한 지식 베이스”라고 합니다.
MITRE ATT&CK가 나오기 전까지 사이버 보안의 성숙도 수준은 주기율표 발명 전 물리학과 화학의 수준과 같았습니다. 이는 전 세계적으로 발생하는 모든 사이버 공격을 분류한 지식 베이스입니다. 따라서 Sigma는 언어로서, ATT&CK 프레임워크는 모든 규모의 사이버 위협과 맞서 싸우기 위한 방법론으로 작용합니다.
Andrii BezverkhyiSOC Prime의 설립자, CEO, 및 회장
그렇다면 실제로 어떻게 작동합니까? 악명 높은 NotPetya 공격의 경우, Florian Roth와 사이버 보안 전문가 Tom Ueltschi가 위협 탐지를 위한 Sigma 규칙을 만들었습니다. 동시에 SOC Prime 팀은 Sigma를 ATT&CK 및 Lockheed Martin Cyber Kill Chain (LMCKC) 기술과 결합하여 NotPetya 공격의 피해자들을 현장에서 돕는 데 사용했습니다. 이것은 Sigma 알고리즘을 ATT&CK와 결합하여 실제 위협을 식별하고 귀속하는 세계 최초의 사용 사례였습니다.
2022년 4월 우크라이나 전력 시설에 대한 Sandworm 공격 동안, SOC Prime 팀은 동일한 기술을 사용하여 위협 행위자가 사용하는 13가지 방법 중 9가지를 식별했습니다. 이 공격을 위한 Sigma 규칙은 2년 전인 2020년에 개발된 것이었습니다.
SOC Prime은 Sigma 및 MITRE ATT&CK를 활용하여 이전보다 더 쉽게, 빠르게, 효율적으로 위협을 탐지하는 유명한 전문가 중 하나입니다. 2022년 5월, SOC Prime의 CEO는 브뤼셀에서 개최된 제9차 EU MITRE ATT&CK 커뮤니티 워크숍 에서 발표했습니다. 그의 발표 동안, Andrii Bezverkhyi는 사이버 전선에서의 러시아 침략에 맞서기 위해 Sigma와 ATT&CK를 사용하는 것에 대해 이야기하였으며, 이러한 프레임워크를 집단 사이버 방어의 주요 기둥 중 하나로 사용하고 전 세계 사이버 위협을 물리치는 데 있어 필수적인 역할을 하는 것에 대해 설명하였습니다. 그리고 지금부터 이러한 기술들은 우크라이나 국가에 서비스를 제공할 것입니다.
Sigma와 MITRE ATT&CK의 조합이 우크라이나가 적과 싸우는 데 어떻게 도움이 되는가
전면전 발발 이후, Andrii Bezverkhyi는 전장 실제로 검증된 기술로서 Sigma를 ATT&CK와 결합하여 적용하는 제안을 SSSCIP에 제안했습니다.
우리는 적의 공격을 탐지하기 위한 세계 최대의 서명 저장소를 보유하고 있으며, 이 서명을 우크라이나 내 조직에 제공할 준비가 되어 있습니다. 또한 설치 및 설정을 지원하며, 직원 교육을 제공하고, 이 모든 작업의 99%를 무료로 수행합니다. 이렇게 우리는 SSSCIP 및 CERT-UA 팀과 협력하기 시작했습니다.
Andrii BezverkhyiSOC Prime의 설립자, CEO, 및 회장
SOC Prime은 주립 사이버 보호 센터와 CERT-UA 팀에게 사이버 방어 기술과 맞춤형 전문 교육을 무료로 제공합니다. SSSCIP의 추천을 받은 우크라이나의 중요한 인프라(전력 회사, 운송 회사, 우편 또는 통신 서비스 제공자 등) 대표자가 SOC Prime에 문의하면, 팀은 그들에게 적과 맞서 싸우기 위한 기본 기술을 제공합니다.
SSSCIP는 관료적인 정부 기관의 전형적인 이미지를 갖추고 있지 않습니다. 워크플로우와 커뮤니케이션은 순전히 민주적이며, 서비스는 조언을 제공하고, 강요하지 않으며, 그 팀은 주도하지만 강요하지 않습니다. 이는 아마도 러시아인들과의 주요 차이점일 것입니다. 혁신적인 기술 활용 외에도 우리는 컨설턴트로 활동합니다. 이는 불행히도 지역 행정이나 클리닉에는 사이버 보안 전문가가 크게 부족하다는 점에서 중요합니다.
Andrii BezverkhyiSOC Prime의 설립자, CEO, 및 회장
더불어 SSSCIP는 법률에 정해진 데이터 보호 및 통신 분야의 규제자로 활동합니다. 또한 서비스는 국가 전체의 모든 자산이 보호되어야 한다는 점을 고려하여 우크라이나 기업을 지원합니다. 이는 국가 사이버 탄력성의 주요 전제 조건입니다.
적이 사이버 공간에서 사용하는 첨단 기술은 단지 허구에 불과합니다. 침략자는 세계가 수년간 활용해온 기술을 사용합니다. 공공 및 민간 모든 조직이 Sigma와 ATT&CK를 사용하고, 가장 일반적인 횡적 이동 방법을 자동으로 차단하며, 적의 인프라에 대한 세부 정보를 공유한다면, 어떤 사이버 공격도 쉽게 초 단위로 탐지될 것입니다. 하지만 이는 3년 또는 5년 후에 가능할 이상적인 미래의 비전일 뿐입니다.
이 미래 비전을 실현하기 위해, 사이버 보안 커뮤니티는 새로운 기술에 능숙한 사이버 실무자의 차세대를 훈련하고 지원해야 합니다. 이 야심찬 목표를 달성하는 방법 중 하나는 SOC Prime의 위협 현상금 프로그램.
사이버 위협과 싸우기 위한 첫 번째 단계는 그것을 식별하는 것입니다. 그렇지 않으면, 어떤 사이버 방어 작업도 효율적일 수 없습니다. 업계는 30년 이상 네트워크, 웹 사이트 및 서비스에서 발견된 보안 취약점을 보고하는 전문가에게 금전적 보상(현상금)을 제공해왔습니다. 이제 프로그램은 공격의 논리를 식별하고 설명할 수 있는 사람들에게 보상을 제공할 때가 되었습니다. 이는 동전의 다른 면일 뿐입니다. 사이버 위협에 효과적으로 대응하기 위해 방어를 설명하는 사람의 수는 공격을 설명하는 사람의 수와 같아야 합니다.
위협 현상금 커뮤니티는 현재 620명 이상의 회원들과 연결되어 있으며 이 숫자는 지속적으로 증가하고 있습니다. 프로그램 시작 이후, 지급된 보상의 총액은 이미 37만 7천 달러에 달합니다. 특정 경우, 한 회원의 월간 현상금은 2,700달러에 달했으며, 이는 정규직 직장의 급여와 비교될 수 있습니다. SOC Prime이 시리즈 A 자금을 모으기 전에는 회사 수입에서 현상금이 지급되었으나, 곧 투자자가 이니셔티브를 지원했습니다. 또한, SOC Prime은 Google 및 Microsoft와 그들의 후원 참여 기회를 논의하고 있습니다. — 이전에는 SOC Prime이 시리즈 A 자금을 유치하기 전에는회사 수익에서 현상금이 지급되었지만, 곧 투자자가 이 이니셔티브를 지원하게 되었습니다. 더불어, SOC Prime은 Google과 Microsoft와의 협력 기회를 논의하고 있습니다.
집단 사이버 방어를 강화하기 위해, 업계는 혁신적인 사이버 보안 기술에 능숙하고 몇 초 안에 모든 위협을 식별하고 분류할 수 있는 전문가가 더 많이 필요합니다. 그리고 이러한 전문가에 대한 수요는 모든 영역, 즉 육지에서 사이버 공간까지 모든 영역에서 방어하면서 전선에 서 있는 우크라이나에서 매우 높습니다.
설령 모르도르가 내일 자멸하더라도, 사이버 전쟁은 계속될 것입니다. 따라서 우크라이나는 자국 방어 능력을 갖추고 있어야 합니다. 그리고 그것이 더 안전한 미래를 보장하기 위해 사이버 방어에 참여할 사람들을 훈련해야 하는 이유입니다.
Andrii BezverkhyiSOC Prime의 설립자, CEO, 및 회장
