위협 바운티 개발자인 미셸 드 크르부아지에 인터뷰
SOC Prime Developers 커뮤니티에 대한 최신 뉴스 캐스트를 만나보세요! 오늘 우리는 2020년 11월부터 우리의 Threat Bounty Program에 기여하고 있는 다작 개발자 Michel de Crevoisier를 소개하고자 합니다. Michel은 Sigma 규칙에 집중하는 활발한 콘텐츠 제작자로, Threat Detection Marketplace에서 최고 품질과 가치를 자랑하는 Michel의 탐지를 참조할 수 있습니다.
1. 본인 및 사이버 보안 분야의 경험에 대해 조금 말씀해 주세요.
저는 시스템 관리, 네트워크 및 가상화 분야에서 다양한 경험을 쌓은 후 2017년에 SOC 분석가로서 보안 경력을 시작했습니다. 제 경력은 항상 보안을 중심으로 이루어져야 한다는 생각을 가지고 있었습니다. 실제로 보안이 우선되지 않아 조직이 불필요한 위험에 노출되는 프로젝트에 너무 많이 관여하게 되었습니다. 블로그를 시작하고 다양한 보안 행사에 참여하면서 개인적인 도전으로 삼아 보안 발표자로도 활동하게 되었습니다. 최근에는 GIAC 인증을 얻기 위해 SANS 보안 과정에서 위협 탐지에 대해 배우면서 지식과 기술을 확장하게 되었습니다.
2. 위협 사냥의 주요 도구 중 하나로 Sigma 규칙에 집중하게 된 이유는 무엇인가요?
위협 사냥 관점에서 SIGMA는 간단하거나 복잡한 IOC 로직을 모든 분석가가 이해하고 사용할 수 있는 공통 형식으로 공유할 수 있는 고급 기능을 제공하고 있습니다. 이 오픈 포맷의 출시와 “정보보안의 GitHub화”의 부상과 함께 (출처), SIGMA는 제가 필요로 했던 도구임이 분명했습니다.
3. Sigma 규칙 작성을 숙달하는 데 얼마나 걸렸나요? 이를 숙달하기 위해 필요한 기술적 배경은 무엇인가요? 평균적으로 새로운 IOC Sigma 규칙과 위협 사냥 규칙을 작성하는 데 얼마나 걸리나요?
SIGMA 규칙을 숙달하는 데 몇 주밖에 걸리지 않았으며 규칙 작성 자체는 보통 제 실험실에서 위협을 평가하여 규칙의 품질을 보장하기 위해 약 1시간 정도 걸립니다. 또한 분석가가 상황을 쉽게 이해할 수 있도록 실제 로그 샘플을 첨부하려고 노력합니다.
그러나 제 견해로는 언어의 기초를 이해하는 것만으로는 충분하지 않습니다. 좋은 규칙을 작성하려면 위협과 그 행동, 발생 가능한 다양한 IOC에 대한 적절한 이해가 필요합니다. Metasploit이나 Cobalt Strike와 같은 보안 프레임워크에 대한 지식과 공격 기술도 매우 도움이 됩니다.
4. 사이버 보안에서 관심 있는 주제는 무엇인가요? 탐지 및 대응하기 가장 어려운 위협은 어떤 유형인가요?
CCleaner, 와 같은 공급망 공격은 탐지하기 매우 어렵습니다: 위협은 신뢰할 수 있고 다수의 기업이 사용하는 합법적인 소프트웨어에 내장되어 있습니다. 침입에는 수개월이 걸리며 매우 잠행적입니다. 또한, 클라우드 침입이 온프레미스 환경으로의 수평 이동과 결합되는 경우(또는 그 반대의 경우)도 탐지 커버리지 성숙도가 양쪽 측면에서 항상 동일하지 않거나 다른 사고방식을 가진 그룹에 의해 처리되기 때문에 대응하기 매우 어렵습니다. 물론 공통적인 침입 벡터도 여전히 유효하며, 피싱, 웹 서버 취약점 공격, , 와 같은 공급망 공격은 탐지하기 매우 어렵습니다: 위협은 신뢰할 수 있고 다수의 기업이 사용하는 합법적인 소프트웨어에 내장되어 있습니다. 침입에는 수개월이 걸리며 매우 잠행적입니다. 또한, 클라우드 침입이 온프레미스 환경으로의 수평 이동과 결합되는 경우(또는 그 반대의 경우)도 탐지 커버리지 성숙도가 양쪽 측면에서 항상 동일하지 않거나 다른 사고방식을 가진 그룹에 의해 처리되기 때문에 대응하기 매우 어렵습니다. 물론 공통적인 침입 벡터도 여전히 유효하며, 피싱, 웹 서버 취약점 공격, or 와 같은 공급망 공격은 탐지하기 매우 어렵습니다: 위협은 신뢰할 수 있고 다수의 기업이 사용하는 합법적인 소프트웨어에 내장되어 있습니다. 침입에는 수개월이 걸리며 매우 잠행적입니다. 또한, 클라우드 침입이 온프레미스 환경으로의 수평 이동과 결합되는 경우(또는 그 반대의 경우)도 탐지 커버리지 성숙도가 양쪽 측면에서 항상 동일하지 않거나 다른 사고방식을 가진 그룹에 의해 처리되기 때문에 대응하기 매우 어렵습니다. 물론 공통적인 침입 벡터도 여전히 유효하며, 피싱, 웹 서버 취약점 공격, (WMI) 악용을 잊어서는 안 됩니다. (WMI) 악용을 잊어서는 안 됩니다. or (WMI) 악용을 잊어서는 안 됩니다. (WMI) abuses.
5. 현재 많은 위협 행위자 그룹이 존재하며 그 수는 계속 증가하고 있습니다. 당신의 의견으로는 가장 큰 위협이 되는 위협 행위자는 누구인가요? 위협 행위자 그룹이 얼마나 위험한지를 어떻게 측정하시나요?
공급망 공격을 수행한 그룹과 같은 행위자들은 그들이 얼마나 강력할 수 있는지를 보여주었습니다. 그들은 최종 목표를 공격하기 전에 서드파티 제공자에 대한 준비 및 침투 능력을 분석하여 정말로 두렵습니다. 이들은 다면적이며 클라우드와 온프레미스 인프라를 타겟으로 하며, 빌드 및 코드 서명 인프라를 손상시킬 수 있습니다… 그리고 이 모든 것을 레이더 감시 하에서 거의 보이지 않도록 수행합니다. 공급망 공격을 수행한 그룹과 같은 행위자들은 그들이 얼마나 강력할 수 있는지를 보여주었습니다. 그들은 최종 목표를 공격하기 전에 서드파티 제공자에 대한 준비 및 침투 능력을 분석하여 정말로 두렵습니다. 이들은 다면적이며 클라우드와 온프레미스 인프라를 타겟으로 하며, 빌드 및 코드 서명 인프라를 손상시킬 수 있습니다… 그리고 이 모든 것을 레이더 감시 하에서 거의 보이지 않도록 수행합니다. supply chain attack have demonstrated how powerful they can be. Analyzing their capacities of preparation and infiltration into 3rd party providers before attacking their final target is really frightening. They are multifaceted, targeting cloud and on-premise infrastructure, capable of compromising build and code signing infrastructure… And all this while remaining nearly invisible under the radar coverage.
6. SOC Prime Threat Bounty Program에 대해 어떻게 알게 되었나요? 참여를 결정한 이유는 무엇인가요? Threat Bounty Program 참여를 통해 얻을 수 있는 가장 큰 가치는 무엇인가요?
Threat Bounty 프로그램에 참여한 것은 무엇보다도 제가 새로운 위협과 TTP를 탐색하기 위해 편안함의 한계를 벗어남으로써 제 지식을 확장할 수 있는 기회였습니다. 시간이 지나면서, 내가 SOC 조직을 더욱 강력하게 하고 재능 있는 개발자 커뮤니티의 일원이 되는데 더 폭넓게 기여하고 있음을 깨달았습니다.
위협 사냥 기술을 수익화하고 사이버 방어 경험을 강화하고 싶으신가요? SOC Prime은 숙련된 Blue Team 멤버를 찾고 있으며 최신 사이버 보안 동향에 가까운 시선을 유지하고 있습니다! 우리의 Threat Bounty 프로그램은 SOC 콘텐츠에 대해 반복적인 보상을 제공합니다 이는 위협 탐지, 위협 사냥 및 사건 대응을 목표로 Sigma, Yara, Snort, 로그 파서 및 Native SIEM Content와 같은 것들입니다. Wanted List에 대한 요청을 해결하기 위한 탐지를 제출하시면, 신흥 사이버 위협에 대응하기 위한 Threat Detection Marketplace 커뮤니티를 돕는 동시에 수익을 두 배로 늘릴 수 있습니다.
사이버 보안 지식을 풍부하게 할 방법을 찾고 계신가요? SOC Prime의 사이버 라이브러리를 탐색하여 SIEM 하드 기술을 마스터하고, 심층적인 교육 동영상을 시청하며, 위협 사냥에 대한 가이드를 확인하세요.
