개발자와의 인터뷰: Nate Guagenti
네이트 과겐티와 만나다10년 이상 동안 네이트는 다중 TB/일의 인게스트를 처리하는 네트워크 및 엔드포인트 SIEM을 배포하고 설계했으며, 동시에 배포된 솔루션을 사용하고 다른 사람들을 교육했습니다. 네이트는 IT의 모든 측면에서 일했기 때문에 엔드포인트와 네트워크 보안 모니터링을 모두 수행한 사람의 독특한 경험을 제공합니다. 그의 위협 사냥 및 내부자 위협 탐지 작업은 다양한 회의에서 발표되었습니다. 네이트는 오픈 소스 HELK 프로젝트 (https://github.com/Cyb3rWard0g/HELK)의 기여자로, Elastic Stack을 사용하여 엔드포인트 데이터를 통한 위협 사냥에 중점을 두고 있으며, 시그마 프레임워크는 서명 및 탐지 방법을 표준화하는 오픈 소스 프로젝트입니다.네이트, 사이버 보안에서의 당신의 경험과 왜 엘라스틱과 같은 오픈 소스 솔루션에 집중하게 되었는지 알려주세요.저는 2012년에 사이버 보안 경력을 시작했고, 그때 정부 고객으로 일했습니다. 그 뒤로 SOC 분석가에서 멀웨어 분석까지 옮겼고, 시간이 지나면서 위협 사냥 및 10Gbps 이상의 NSM Zeek (Bro) 센서 배포 및 엘라스틱 클러스터를 설계하는 역할까지 확장되었습니다.
수비자로서 우리는 많은 도전 과제에 직면했으며 그 중 많은 부분은 통제할 수 없습니다. 그러나 우리가 통제하고 수정할 수 있는 것들이 있으며, 다음 분기까지 공급업체로부터 수정이나 기능을 기다릴 수 없습니다. 엘라스틱과 같은 오픈 소스 소프트웨어를 배포함으로써, 저는 다음 날 중요한 방어 격차를 수정할 수 있었습니다. 또한 제품 사용 및 학습에 있어 금전적 장벽이 제거됨으로써 집에서의 이해를 가속화할 수 있었습니다.당신의 생각으로는, 현재 산업에서 가장 중요한 위협 사냥 트렌드는 무엇인가요?산업은 이미 수집(텔레메트리) 및 빅 데이터를 해결할 수 있는 문제를 보여주었습니다. 이는 많은 트렌드와 프로세스가 발전하고 성숙하며 존재하게 하는 길을 열었습니다. 이러한 트렌드 중 하나는 데이터 문서화(OSSEM에서 @Cyb3rWard0g)에 의해 보여지며, 데이터 표준화 및 표준 질의 언어(SIGMA)입니다. 또한, 내장형 텔레메트리가 기업 솔루션을 대체하거나 보완하기 위해 탐구되고 있으며, 공개적으로 공유되고 있습니다. 그 대가로 사람들은 이제 공유 데이터를 검증하고, 탐색하며 사용하여 비용이 많이 드는 기업 솔루션이나 큰 실험실 환경의 필요 없이 탐지 및 모델을 구축할 수 있습니다. 또한, 커뮤니티는 전술 및 기술에 대한 넓은 탐지를 구축하고 있습니다. Mitre ATT&CK 프레임워크와 같은 것은 이것을 실천하는 완벽한 예입니다. 환경 발견이나 Microsoft Office 프로세스 생성에 대한 기존의 SIGMA 규칙은 이를 실천하는 것을 보여줍니다.
마지막으로 우리는 데이터의 그래프화, 피벗팅, 조인에 대한 계속된 초점을 볼 것입니다. 이는 이 두 가지 모두가 헬크 플랫폼이 주피터 노트북을 통해 보여주고 구현하는 데 있어 훌륭한 작업을 수행했다는 것을 믿습니다.솔루션 아키텍트로서, 당신은 SIGMA가 조직이 사이버 방어를 구축하는 방식을 변화시킬 수 있다고 생각하십니까?스노트 규칙으로 20년 이상, 야라 규칙으로 10년 이상 동안 산업은 SIGMA와 같은 보편적인 발전을 갖지 못했습니다. 그뿐만 아니라, 산업은 로그와 텔레메트리에 대한 보편적인 형식을 갖지 못했습니다. 이는 사이버 보안의 근본을 이루고 있습니다! 추가로 중요한 것은, 기업으로서 절대 하나의 기술에 매달리고 싶지 않습니다. 당신의 분석가/운영자는 탐지를 구현하는 데 집중해야 하며 로그 솔루션을 배우는 데 시간을 낭비해서는 안 됩니다. 오늘 엘라스틱, 스플렁크, 큐레이더를 사용하고 있고 내일 새로운 솔루션이 나온다고 하더라도 SIGMA가 이를 지원할 것임을 확신할 수 있습니다.
제 의견과 상관없이, 커뮤니티는 이미 SIGMA가 위협 감지 방식을 계속 변화시킬 것임을 보여주었습니다. 최고의 오픈 소스 사냥 솔루션 중 두 가지인 HELK와 SecurityOnion이 SIGMA를 구현하였으며, 기업 공급업체의 SIGMA에 관한 튜토리얼과 블로그가 있습니다.어떤 규칙이나 다른 유형의 위협 탐지 콘텐츠를 제일 먼저 배포할지 결정할 때 어떻게 결정합니까?이것은 업계의 기본적인 진리로 가장 잘 설명될 것 같습니다. a) 모든 자산을 보호할 수 없습니다, b) 당신의 사업에 중요한 것이 무엇인지 파악하십시오. 가장 가능성 높고 영향을 미칠 수 있는 위협을 방어하십시오. 예를 들어, 관리 네트워크를 방어한 제 경험은 이 진리를 바로 눈앞에 놓았습니다. 도메인 관리자가 가장 걱정되는 위협도 아니었고 전통적인 멀웨어도 아니었습니다. 이미 권한이 부여된 사용자에 직면해 있었습니다. 그것이 구성 변경이거나 비정상 프로세스 생성일 경우 문제 해결이었을까요, 아니면 악의적인 의도의 시작이었을까요? 이 수백 명의 사용자 중에서 제가 방어할 범위를 좁혀야 했습니다. 파괴적이거나 네트워크 열화, 환경 발견, 필요문서 읽기, 악의적인 구성 변경과 같은 것이었습니다. 더 실질적인 예로는, 엑스체인지/메일 서버가 있다면 이들 서버에서 프로세스 생성 또는 파일 수정에 대한 SIGMA 규칙을 배포하는 것이 될 것입니다.내년에는 어떤 유형의 사이버 위협이 조직에 가장 큰 위험을 초래할 것이라고 생각합니까? 그러한 위협에 대한 탐지 기능을 개선하는 방법에 대한 제안이 있습니까?웹 서버 공격, API 남용, 클라우드 솔루션 자격 증명 도용/남용입니다. 웹과 API 공격과 관련하여, 이는 SIGMA에서 계속 발전할 것입니다. WAF와 같은 규칙, 프로세스/엔드포인트 규칙을 공유할 수 있는 능력을 가지며, 예를 들어, 단일 IP가 10개의 400/404 웹 서버 오류를 초래한 후 웹 서버로부터 500 오류를 발생시키는 등의 고급 규칙과 결합할 수 있습니다. 이는 공격자가 탐색에서 이 서버를 성공적으로 공격하기 시작했음을 나타낼 수 있습니다.
또한, ICS (산업 제어 시스템)는 계속 위험 요소로 남을 것입니다. ICS는 제 전문 분야가 아님에도 불구하고, SIGMA 내의 Zeek 로그 지원을 통해 이 산업의 탐지 가능성을 이미 보고 있습니다. Zeek는 많은 ICS 프로토콜에 대한 분석기를 가지고 있습니다. 회사가 Zeek 로깅을 배포하고 커뮤니티가 ICS용 SIGMA 규칙을 작성한다면, 결과는 자명하다고 생각합니다.조직이 반응에서 사전 대책으로 사이버 방어를 전환하려 할 때 일반적으로 어떤 문제에 직면합니까?무엇을 우선시해야 하고 어디에서 시작해야 할지 파악하는 것이 모두에게 도전이 된다고 생각합니다. 질문 4에서 언급한 많은 것들이 이 질문에도 매우 진실합니다. 중요한 자산을 파악한 후 로그/텔레메트리 수집 및 관련 분석/탐지를 검증하는 데 있어 큰 장애물이 있을 수 있습니다. 그러나 원자적 레드 팀 테스트 프레임워크, 오픈 소스 데이터셋 (Mordor), 커뮤니티 규칙의 조합은 이 장애물을 크게 줄입니다.네이트, 지금 막 어떤 길을 선택할지 결정하는 젊은 사이버 보안 전문가들에게 당신의 추천은 무엇입니까?첫째, 몇 가지 목표와 그것을 달성했을 때를 계속 기록하십시오. 가능한 한 많은 메모(온라인)를 하십시오. 당신은 많은 것을 아주 빠르게 배우게 될 것이며, 그 과정에서 많은 어려운 일에 직면할 것입니다. 따라서 자신이 얼마나 먼 길을 왔는지 스스로를 상기시키는 것이 중요합니다. 당신의 전 생애에 걸쳐 참고할 메모가 될 것입니다.
학습 관점에서, 트위터에 가서 가능한 한 많은 연구자와 기술 회사를 팔로우하십시오. 그곳에서 RSS 리더를 사용하여 그들의 블로그와 튜토리얼을 읽고 팔로우하십시오. 이 산업에는 많은 거인들이 있으며, 그들의 어깨 위에 서기만 해도 쉽게 하나가 될 수 있습니다. 단지 항상 공로를 인정하고 겸손한 시작을 잊지 마십시오.SOC Prime의 위협 현상금 프로그램이 조직이 위협을 보다 효율적으로 탐지하는 데 도움을 줄 수 있다고 생각하십니까?위협 현상금 프로그램은 수천 개의 조직에서 이미 사용되고 있는 IDS 규칙 세트 (예: Emerging Threat 또는 Sourcefire 규칙 세트)와 유사한 이점을 제공합니다. 그러나 세계 여러 산업에서 일하는 연구자들의 탐지를 사용할 수 있는 독특한 혜택이 있습니다. 추가로, 내용을 작성하는 연구자들은 SOC Prime의 프로그램 내에서 본질적으로 자신들만의 독립체/비즈니스입니다. Etsy가 운영되는 방식과 유사하게, 소비자들은 이 경우 연구자일 의욕 넘치는 상점의 혜택을 받습니다.
토마스 파츠케와의 이전 인터뷰는 여기 있습니다: https://socprime.com/en/blog/interview-with-developer-thomas-patzke/
