개발자 인터뷰: 아담 스완

개발자 프로그램의 참가자와의 인터뷰 시리즈를 계속 진행하고 있습니다 (https://my.socprime.com/en/tdm-developers), 위협 헌터 및 사이버 보안 애호가를 통해 웹에서 관련 위협을 검색하고 탐지를 위한 독특한 콘텐츠를 만드는 이 훌륭한 사람들을 소개합니다. 만나보세요 SOC Prime의 시니어 위협 헌팅 엔지니어 – Adam Swan.

Adam, 자신에 대해 조금 이야기해주시고, 당신의 위협 헌팅 경험에 대해 알려주세요.

AOL 채팅방이 인기를 끌던 어린 시절, 내가 만들었던 링크에 접근하여 다른 사람의 부재 메시지를 변경할 수 있게 했던 트릭에 매료되었던 기억이 납니다. ‘해킹’이라는 개념을 엿볼 수 있었던 이런 순간들이 저를 몇 년 후 일부러가 아닌, 이 직업 경로로 끌어들였습니다. 고등학교 때 이용 가능한 모든 코딩 수업을 들었고 (솔직히 말해 가장 관심 있던 수업이었습니다) 대학 프로그램을 보면서 사이버 보안을 경력 경로로 삼을 수 있다는 것을 알게 되었습니다. 결국 저는 Pennsylvania College of Technology의 정보 보증 프로그램에 입학하게 되었습니다. 이 프로그램은 기술과 정책을 혼합한 것이었고, 결국 위협 헌팅으로 이어지는 문을 열어주었습니다.

대학을 졸업하자마자 즉시 미국 국방부의 8570 규정을 준수하기 위해 자격증을 모으기 시작했습니다. 이러한 자격증들이 제가 근무하던 곳에서 더 많은 기술적인 기회를 열어줄 것을 기대했습니다. 하지만, CISSP을 포함하여 여러 자격증을 통과한 후에도 ‘모든 요건을 만족했음에도 불구하고’ 여전히 아무것도 *알지 못한다*고 느꼈습니다. 그 때 멀웨어 분석 직책이 열렸고, 매니저가 GREM 인증을 받아야 지원 자격이 있다고 말했습니다. 멀웨어 분석에 대한 사전 지식이 없음에도 불구하고 몇 주간의 집중적인 공부 끝에 인증 획득에 도전했습니다. 자료가 정말 재미있었고 마침내 고도로 기술적인 직무로의 경로가 밝아졌다고 느꼈습니다. 주니어 직책에 수락되었고, 멀웨어 분석, 사고 대응, 데드 박스 포렌식에 있어 제 기술을 연마하며 몇 년을 보냈습니다.

그러나 Nate (@neu5ron)가 저에게 그의 팀에 합류할 것을 요청했을 때가 진정 위협 헌팅에 심취하게 되었습니다. 그는 저에게 Elastic을 소개해주었고, 우리는 윈도우 이벤트 로그를 중앙 관리하고 검색하는 것에 매료되었습니다. 이는 윈도우 로그의 힘을 전파하는 논객 일정으로 이어졌습니다. 이 시기는 제가 헌터가 되었고 결코 돌아보지 않은 때였습니다. 현재까지 약 2년 반 동안 훈련을 해오고 있습니다. 그래서 SOC Prime이 인터뷰한 다른 애널리스트들에 비해 아직은 신인입니다.

당신이 생각하기에 현재 업계에서 가장 중요한 위협 헌팅 트렌드는 무엇인가요?

제가 다루고 싶은 세 가지 트렌드가 있습니다.

첫째로, 더 많은 기관들이 위협 헌팅 프로그램을 시작하거나 핵심 위협 헌팅 개념을 기존 SOC 기능에 추가하고 있습니다. 이는 위협 헌팅의 기본이 제 생각에는 보안 프로그램을 개선하는 데 매우 효과적이기 때문에 엄청난 기회입니다.

둘째로, 위협 헌팅에서 또 다른 트렌드는 Endpoint Detection and Response (EDR)에 대한 의존입니다. 저는 분석가가 탐지 논리를 작성하거나 수동 분석을 수행할 수 있는 시스템에서 중요한 이벤트에 대한 풍부한 수동 데이터를 제공하는 것을 선호합니다. 리더십은 탐지 작업을 완전히 단순화하거나 자동화한다고 주장하는 공급업체에 대해 신중해야 합니다. 적들은 이러한 도구를 알고 있으며 이를 우회할 수 있습니다.

마지막으로, 위협 헌팅 커뮤니티는 공유가 없었다면 존재하지 않았을 것입니다. 위협 헌팅에서 공유를 가능하게 하는 SIGMA와 같은 프로젝트는 향후 성공에 대한 견고한 기반을 마련했습니다.

Adam, Sigma에 대해서는 어떤가요? Sigma를 사용하기 시작했을 때의 첫 경험은 어땠나요.

SIGMA는 발표 이후 제 인식 속에 있었지만, 프로덕션에서 처음 사용한 것은 2018년 초였습니다. 당시 고객이 여러 달 간의 윈도우 로그를 수집했지만, 기본 옵션 외에 탐지가 거의 없었습니다. SIEM 엔지니어의 도움을 받아 관련 공개 SIGMA 규칙을 배포했습니다.

그리고 Sigma를 위협 헌팅 도구로서 사용할 때 주된 이점은 무엇이라고 생각하나요? Sigma가 조직이 그들의 사이버 방어를 구축하는 방식을 어떻게 변화시킬 수 있을까요?

첫째로, SIGMA는 서로 다른 아키텍처를 가진 조직 간에 탐지 논리를 공유할 수 있게 해줍니다. 공통 데이터 소스와 위협을 가지고 있다면, 제가 Splunk를 사용하고 여러분이 Elastic을 사용하여 Windows Logs를 수집한다고 해도, SIGMA를 공통 언어로 사용하여 랜섬웨어와 같은 공통 위협에 대한 탐지 논리를 공유할 수 있습니다.

둘째로, SIGMA는 탐지 논리를 작성하고 주위에 쉽게 SIEM 경고에 통합될 수 없는 매력적인 메타데이터를 추가할 수 있게 해줍니다. 예를 들어, MITRE ATT&CK의 커버리지를 추적하는데 있어 SIEM에서 이러한 규칙을 연관된 기술로 연결하기는 명확하지 않을 수 있습니다. SIGMA YAML 파일을 사용하면 원하는 대로 규칙에 태그를 지정할 수 있는 권한을 갖게 됩니다.

셋째로, SIGMA에 탐지 논리를 작성한다면 새로운 SIEM의 채택에 성공적으로 대비할 수 있습니다. 예를 들어, 여러분의 SOC가 새 SIEM을 급히 채택해야 한다거나 (인수되는 경우) 또는 리더십이 새로운 SIEM 으로 전환을 결정했을 때 SIGMA로 인해 새로운 기술의 기민한 전환이나 채택이 용이해집니다. 이는 특히 SOC/위협 헌팅을 서비스로 제공하는 경우 (MSSP) 중요합니다.

Sigma 규칙을 새로 작성할 때 가장 복잡하고 시간이 많이 걸리는 부분은 무엇이라고 생각하시며, 평균적으로 새로운 규칙을 작성하는 데 얼마나 시간이 걸리나요? Sigma를 도구로 사용해 새로운 규칙을 쓰기에 편리한가요? 그리고 어떤 규칙을 만들지 어떻게 결정하시나요?

보다 즉시 실행 가능한 규칙은 직접적인 관찰을 기반으로 합니다. 그러나 적의 행동에 대한 교육된 가설이나 적의 행동이 특정 시스템에 미치는 영향을 기반으로 한 규칙도 유효합니다. SIGMA 규칙 작성에서 가장 시간이 많이 걸리는 부분은 논리로 의도된 기술/도구/위협을 탐지할 것인지 연구하고 검증하는 것입니다. SIGMA에서 규칙을 작성하는 것은 어떤 SIEM에서도 쿼리를 수행하는 것보다 시간이 많이 걸리지 않습니다. 이는 SIGMA가 방해하지 않으며, 까다롭지 않고, 구문이 빠르게 익숙해지기 때문입니다.

품질을 보장하기 위해, SIGMA 경고를 작성하는 모든 사람이 Daniel Bohannon의 탄력적인 서명에 대한 강연을 깊이 받아들일 것을 강력히 추천합니다 (https://www.slideshare.net/DanielBohannon2/signaturesaredead-long-live-resilient-signatures).

Sigma UI와의 경험은 어떠셨나요, Adam? 개발자들에게 더 유용하거나 편리하게 만들기 위한 아이디어가 있나요?

SIGMA UI는 훌륭하며, sigma 규칙이 변환될 것임을 uncoder.io를 사용해 검증합니다. 규칙을 복사 및 붙여넣기는 매우 간단합니다. SIGMA UI가 호환성에 대한 제안/권장 사항을 제공한다면 좋을 것입니다. 예를 들어, 와일드카드를 많이 사용하는 것은 Elastic 호환성과 관련해 문제를 일으킬 수 있습니다.

Adam, 콘텐츠 작성자로서 실험실이 있을 텐데요. 규칙을 어떻게 테스트하고 어떤 로그 소스를 주로 사용하시나요?

공격을 시뮬레이트하고 서명의 내구성을 확인/테스트하는 실험실을 갖추는 것은 매우 중요합니다. 저는 평균 조직이 접근할 수 있는 로그를 사용하는 것을 선호합니다. 오늘날, 네이티브 엔드포인트 로깅을 위한 규칙을 작성하는 것이 가능한 가장 넓은 범위를 포괄할 수 있는 방법입니다.

다가오는 해에 조직에게 가장 큰 위험을 초래할 사이버 위협 유형은 무엇일까요? 그러한 위협에 대한 탐지 능력을 어떻게 개선할 수 있는지에 대한 제안이 있다면?

위협은 조직마다 크게 다릅니다. 저는 평균 조직에게 가장 큰 위협은 웜 가능한 익스플로잇/기술을 웜 가능한 랜섬웨어 (또는 모든 유형의 파괴적인 멀웨어)로 채택하는 것이라고 말하고 싶습니다. 평균 조직에게 관측되지 않는 침입의 시대는 막을 내렸으며, 대부분의 조직은 데이터가 인질로 잡혔을 때 해킹당한 것을 알게 될 것입니다. 다행히도 이러한 유형의 공격을 예방하고 탐지하는 방법은 상대적으로 성숙해 있습니다. 이러한 방법의 실행은 사람들이 방어하는 네트워크/시스템의 범위와 복잡성에 따라 비교적 간단하거나 매우 복잡할 수 있습니다. 따라서, 제 권고는 진정으로 리더십을 위한 것입니다. 가능할 경우, 단순함을 추구하세요.

SOC Prime에서는 사이버 보안 전문가 간의 콘텐츠 공유를 장려하기 위해 Threat Bounty Program을 시작했습니다. Adam, Sigma 규칙 및 기타 위협 탐지 콘텐츠를 공유한 개발자에게 보상을 주는 아이디어에 대해 어떻게 생각하시나요?

예. 어떤 종류의 보안 연구를 하고 있다면, 탐지를 공유할 수 있는 방법에 대해 생각해 보세요. 실험실의 로깅 수준을 높이고 증명된 개념을 실행한 후 가능한 탐지를 위해 로그를 검토하는 것이 전부입니다. 시작하는 방법을 몰라 막막하시다면 저에게 연락해 주세요 @acalarch 그러면 믿을 수 없을 만큼 간단한 과정임을 약속 드립니다.

Adam, 경로를 새로 결정하고 있는 젊은 사이버 보안 전문가들에게 추천하실 것이 있나요?

제가 했으면 좋았을 것 같은 것들이 있습니다:

1. 컨퍼런스에 참석하여 받을 수 있는 교육을 최대한 활용하세요. 더 저렴하고 동료 및 잠재적 멘토들과 함께 할 수 있습니다.
2. 자기 자신을 옹호하고 회의적/현실적이 되세요. 여러분의 경력 경로 의도를 경영진에게 명확히 전달하고, 길을 밝히는 바퀴가 되도록 노력하며, 멘토를 찾아보세요. 그리고 새로운 시작을 두려워하지 마세요.