개발자 인터뷰: Den Iuzvyk

[post-views]
4월 27, 2020 · 3 분 읽기
개발자 인터뷰: Den Iuzvyk

SOC Prime는 SOC Prime Threat Bounty Developer Program의 참가자와의 또 다른 인터뷰를 소개합니다 (https://my.socprime.com/en/tdm-developers). 우리는 Threat Bounty Program에 참여한 6개월 동안 60개 이상의 최고 품질과 탐지 가치를 지닌 커뮤니티 규칙을 발표한 Den Iuzvyk를 소개하고자 합니다.블로그에서 콘텐츠 개발자와의 인터뷰를 더 읽어보세요: https://socprime.com/en/tag/interview/

자기 소개와 위협 사냥 경험에 대해 조금 말씀해 주세요.

제 이름은 Den Iuzvyk이고, 우크라이나 키이브 출신이며 34세입니다. 저는 Simplerity라는 회사에서 CTO로 일하고 있습니다.

저는 2003년 소프트웨어 개발자로 경력을 시작했습니다. 2015년에 사이버 보안에 관심을 가지게 되었습니다. 이후에 로그 분석과 위협 사냥을 위한 플랫폼을 만든 회사를 공동 창업했습니다. 다양한 멀웨어 탐지 도구를 만들고, 공격 자동화 시뮬레이터를 개발하고 현대 탐지 시스템의 취약점을 점검했습니다.

Den, 위협 사냥과 위협 탐지의 차이점은 무엇인가요?

위협 사냥은 기존의 보안 및 경보 시스템을 통해 필터링된 위협을 사전 탐지하는 데 중점을 두는 위협 탐지 프로세스의 일부입니다. 위협 탐지는 위협의 수명주기 각 단계에서 위협을 탐지하기 위한 행동 집합입니다.

Sigma는 위협 사냥에서 효율적인 도구가 되는 이유는 무엇이라고 생각하십니까?

Sigma는 위협 사냥자에게 이상적인 선택입니다. 이는 고급 형식 덕분에 특정 백엔드에 얽매이지 않고 분석을 사용, 저장 및 공유할 수 있게 해줍니다. Sigma는 로그에서 필드 이름을 제쳐두고 결과에 집중할 수 있도록 도와줍니다. 제가 Sigma에서 가장 좋아하는 부분은 ‘참조’입니다. 이는 탐지 작성을 영감한 출처입니다.

위협 사냥을 위한 Sigma 규칙을 개발하는 데 필요한 기술은 무엇입니까?

무엇보다도 데이터 처리의 분석적 접근입니다. 효과적인 탐지를 위해 사용할 수 있는 패턴을 발견해야 하기 때문입니다.

두 번째 기술은 공격자의 TTP를 아는 것입니다.

세 번째로는 운영 체제 내부 구조에 대한 충분한 이해입니다.

네 번째는 네트워크 보안과 데이터 보안에 대한 이해입니다. 

탐지하기 가장 복잡한 위협은 무엇인가요? Den, 실생활에서의 예를 들어 주실 수 있나요?

탐지하기 가장 어려운 것은 루트킷입니다. 다음은 버그가 포함되어 있어 커널 모드에서 직접 작업이 가능한 서명된 드라이버로, 이로 인해 범죄자가 보안 시스템을 우회할 수 있습니다. 그 다음은 .NET Framework(AppDomainManager 및 어셈블리 로딩)과 관련된 위협입니다. 하지만 기쁘게 할 수 있는 것은 가능한 위협 벡터에 대한 이해가 증가하고, 그 결과로 .NET 버전 4.8과 ETW (Event Tracing for Windows) 같은 새로운 가시성이 나타나는 것입니다.

SOC Prime의 Threat Bounty Program의 가장 큰 이점은 무엇이라고 생각하십니까?

탐지 규칙 작성자의 관점에서 Threat Bounty Program은 고객의 요구를 보여주고 연구를 깊이 탐구하며, SOC Prime으로부터 지식과 경험을 얻고 보상을 받을 수 있는 기회를 제공합니다.

데이터 유출은 현재 많은 조직에 매우 흔한 문제입니다. (부주의한 직원에 의해 발생하지 않은 경우) 데이터 유출을 방지하는 데 가장 효율적일 수 있는 조치는 무엇이라고 생각하십니까?

회사 유형에 따라 다를 수 있는 선택된 전략에 따라 달라집니다. 그러나 다음 단계는 필수적입니다:

현재 보안 시스템의 평가, 취약 영역의 문제 해결.

데이터 분류. 정보가 어디에 저장되고 어떤 정보인지 아는 것이 매우 중요합니다. 모든 정보가 보호되어야 하는 것은 아닙니다.

접근 분류. 정보에 대한 액세스를 가진 사람, 물리적 및 네트워크적 모두를 아는 것이 필수적입니다.

지속적인 모니터링. 데이터 저장 및 작업자로부터 받은 로그의 수집 및 분석.

직원 교육 및 적시 정보 제공.

암호화. 저장되고 전송된 모든 데이터는 암호화되어야 합니다.

패치 관리.

경험이 풍부한 위협 사냥꾼으로서, 강력한 사이버 방어 구축을 원하는 조직에 대해 #1 우선 순위는 무엇이어야 한다고 생각하십니까? (그리고 이유는 무엇인가요)

MFA 활성화 🙂 제 생각에 우선 각 단계의 중요성을 이해해야 합니다. 마법의 은탄환은 없습니다. 이는 지속적인 프로세스입니다. 선제적 접근이 여기서 가장 좋은 선택이 될 것입니다. 처음에는 다소 비싸지만 장기적으로 가장 비용 효율적입니다. 회사의 사이버 보안 접근 방식 개발에서의 우선 순위는 전체 비즈니스 운영이 의존하는 비즈니스 핵심 자산을 정의하는 것입니다.  

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물