SOC Prime’s Privacy-Centric Mindset

디지털 보안에서 프라이버시는 핵심 가치입니다. 사이버 보안의 진화는 프라이버시 보호의 중요성을 강조하며, 이는 사용자 신원을 보호하고 데이터를 온라인에서 비공개, 안전하고 안전하게 유지하는 것을 포함합니다. 이 블로그 기사에서는 20년 이상의 현장에서의 경험과 SOC Prime의 CISO로서의 전문성을 공유하고자 합니다.

SOC Prime에서 지난 7년 동안 우리는 고객과의 소통, 피드백 수집, 제품과 서비스를 적절하고 확장 가능한 비율로 결합하는 방법을 찾았습니다. 포춘 500 및 글로벌 2000 기업을 위한 전문 SIEM 및 공동 관리 서비스를 제공하면서, 제한된 자원을 이용하여 적절한 탐지 메커니즘을 구축한 다양한 조직과 산업의 사이버 보안 엔지니어들이 적용한 많은 숙련된 접근 방식을 목격했습니다. 프라이버시 문제의 근본 원인과 해결 방법을 설명하기 위해 제조 역사를 유추해 봅시다.

인류는 긴 역사적 시도와 실수 끝에 적절한 제품 제조 방법을 찾아냈습니다. 이 여정은 개인 소비를 위한 수제품 제작에서 시작하여, 중세 시장에서 판매를 위한 물품 제작으로 이어졌으며, 자동화된 제조 과정을 통한 대량 시장을 위한 대규모 생산에 이르렀습니다.

이 유추를 사이버 보안 분야의 콘텐츠 개발에 적용하면, 대부분의 기업들은 여전히 청동기 시대에 머물러 있으며, 자체 개발한 콘텐츠가 현재의 위협과 동기화되지 않고 있습니다. 몇 가지 이유가 있습니다. 첫째, 소유권의 문제로 대기업에서는 무언가를 진정으로 소유하기 어렵습니다. 따라서 잘못된 결정을 내리는 책임을 맡기 어려운 일이 됩니다. 또 다른 도전은 숙련된 전문가를 채용하고 유지하는 문제입니다. 이는 약 300만 명의 인재 부족뿐만 아니라, 최상급 전문가들이 종종 전문화된 사업으로 진출하기 때문입니다. 예를 들어, 강력한 멀웨어 연구 및 역공사 기술을 가진 전문가가 EDR 공급업체로 전환될 가능성이 크기 때문에, 그들을 내부에 유지하기 위해서는 큰 노력이 필요합니다. 제한된 예산과 콘텐츠 개발에 투입할 시간이 또 다른 장애물입니다.

마지막으로, 콘텐츠 개발의 도전에 있어, 프라이버시 문제는 여전히 문제로 남아 있습니다. 사내 콘텐츠 개발을 제외한 모든 옵션은 조직의 민감한 데이터에 대한 제3자 접근이 필요합니다. 동시에, 엣지, 클라우드, SaaS 및 ‘왕관 보석’ 애플리케이션에서 나오는 모든 종류의 로그와 원격 분석에는 규제 대상이 되는 민감한 데이터가 포함되어 있으며 종종 회사의 자산(IP)을 포함할 수 있습니다. 이러한 데이터는 일반적으로 SIEM, 로그 분석 및 EDR 사일로에 끝나며, 접근은 종종 특권적이고 제한이 없습니다. 오늘날의 시장에서 이 과제를 해결하는 가용한 옵션은 제3자에게 완전한 접근을 허용해야 합니다. 그 제3자가 잘 확립된 MSSP나 MDR이라면 프라이버시 문제는 덜 긴급하지만, 상당히 자주 콘텐츠 개발이 수십 명의 팀을 보유한 신생 제3자 벤더에게 외주로 맡겨지며, 비공학적 포지션을 포함해 Fortune-100 회사의 데이터를 ‘자신의 것처럼’ 보호하려고 노력합니다.

정부나 연방 기관과 같은 조직의 경우, 그러한 제3자 접근을 민감한 데이터에 승인하는 것은 거의 불가능합니다. 여기서는 기존의 프라이버시 문제를 밝히고 콘텐츠 개발의 산업 혁명이 진정으로 일어났음을 증명하려고 합니다. 프라이버시는 더 이상 탐지 알고리즘 개발, 자동화된 프로세스를 포함하는 데 있어 장애물이 아닙니다.

먼저, 용어에 대한 합의가 필요합니다. 경고, 신호 또는 탐지 — 무엇이라고 부르든지 — 이는 로그, 원격 분석, API 정보(데이터)에 적용되는 탐지 규칙 또는 사냥 쿼리(알고리즘)와 특정 결과(결과)로 구성됩니다.

콘텐츠 개발 성숙 모델 소개

프라이버시 관점에서 고품질 규칙을 만들기 위해서는 SIEM / EDR / XDR / 데이터 분석 / 로그 분석 / 위협 사냥 플랫폼(이하, 플랫폼)

1. 이외에도 데이터 원천 및 경고 결과에 대한 접근이 필요합니다. 제3자를 참여시키기 전까지는 프라이버시 문제가 존재하지 않습니다. 고객의 다양한 규칙을 분석하고, 경보를 처리하는 그들의 고유한 방식을 포함하여 SOC Prime이 프라이버시 위험을 완화할 수 있는 다음과 같은 콘텐츠 개발 성숙 모델을 구축했습니다. 이 모델은 콘텐츠 개발 성숙도를 설명하고 프라이버시 보호 관점에서 단계가 높을수록 더 성숙한 콘텐츠 개발 과정을 뜻합니다: 컨설팅 서비스를 통한 콘텐츠 개발.
2. 이 단계에는 라이브 인프라에서 로그 수집, 의심스러운 패턴을 찾아 이를 규칙, 쿼리 또는 특정 플랫폼 형식에 맞는 기계 학습(ML) 레시피로 설명하고 동일한 인프라에 이러한 콘텐츠 항목을 구현하는 것이 포함됩니다. 이는 고객의 플랫폼에서 원시 로그, 규칙, 쿼리 및 트리거된 경고에 대한 접근이 필요합니다. 일반적으로 이 단계에서 탐지 콘텐츠 개발은 컨설팅 서비스에 의해 제공됩니다. 공동 관리 서비스를 통한 콘텐츠 개발.
3. 이 단계에서는 랩 환경에서의 전형적인 로그/이벤트 분석, 최신 위협 및 공격 시뮬레이션을 통해 로그에서 공격 패턴을 파악하는 데 중점을 둡니다. 또한 고객 측에서 실시간 탐지 규칙, 위협 사냥 쿼리 또는 ML 레시피를 생성하고, 결과를 확인하고 규칙/쿼리를 미세 조정하는 것이 포함됩니다. 이러한 작업은 고객의 플랫폼에서 규칙/쿼리 및 트리거된 경고에 대한 접근이 필요합니다. 일반적으로 이 단계에서 탐지 콘텐츠 개발은 공동 관리 서비스에 의해 제공됩니다. 피드백 루프가 포함된 크라우드소싱 개발 모델.
4. 피드백 루프가 없는 크라우드소싱 개발 모델. 이 단계는 전 세계의 수백 명의 외부 보안 엔지니어 및 연구원을 참여시키고, 로그를 랩 환경에서 분석하며, 다양한 SIEM, EDR 또는 기타 유형의 로그 분석 플랫폼에 의해 지원되는 보편적인 언어를 사용하여 규칙 또는 쿼리를 설명하고, 사전 정의된 사용자 지정 세트를 사용하여 다양한 인프라에 이러한 규칙 또는 쿼리를 자동으로 구현하는 크라우드소싱 개발 모델을 대표합니다. 규칙/쿼리를 지속적으로 개선하기 위해 고객 피드백을 수집하는 것이 이 단계에서 매우 중요하며, 이는 규칙/쿼리에 접근하는 것(선택사항*)을 포함합니다.

이 단계에서 탐지 콘텐츠 개발은 성숙도의 최고 수준에 도달합니다. 다양한 SIEM, EDR 또는 기타 유형의 로그 분석 플랫폼에 대한 크로스툴 콘텐츠 개발은 고객의 지속적인 피드백을 받지 않고 진행할 수 있습니다. 이 단계는 세 번째 단계와 매우 유사하지만, 규칙 또는 쿼리의 정확성은 다양한 고객으로부터 수집된 피드백에 의존합니다. 고객 피드백은 높이 평가되지만 필수는 아닙니다. 이 단계는 고객의 플랫폼에서 규칙/쿼리(선택사항*)에 대한 접근이 필요합니다. — 고객이 수동으로 콘텐츠 항목을 배포하는 경우 접근이 필요하지 않습니다.

설명된 콘텐츠 개발 성숙 모델의 첫 번째 단계는 프라이버시 위험에 가장 취약합니다. 고객의 프라이버시 문제 외에도, 첫 번째 단계에서의 콘텐츠 개발은 IP(지적 재산권) 권리와 관련된 추가적인 도전을 제기합니다. 고객의 로그를 기반으로 한 고객 인프라에서 만든 콘텐츠는 고객에게만 속하기 때문입니다. 이러한 도전은 SOC Prime의 제품 및 서비스가 가장 미성숙하고 프라이버시 취약한 첫 번째 단계에서는 제공될 수 없는 이유를 명확히 설명합니다. SOC Prime은 공동 관리 서비스를 제공하여 두 번째 단계에서 작업할 수 있지만, 세 번째 및 네 번째 단계에서 제공되는 크라우드소싱 개발 모델은 더 큰 성숙도 및 프라이버시 인식을 제공합니다. 네 번째 단계에서 달성된 콘텐츠 개발의 높은 성숙도가 SOC Prime을 다른 사이버 보안 벤더와 차별화시키는 요소입니다. 오랫동안 고객의 피드백을 수집함으로써 고객 피드백 루프에 대한 의존도를 줄일 수 있었습니다.

프라이버시 문제를 더 깊게 탐구하기 위해, 다음에 SOC Prime의 핵심 제품 및 기능의 예를 들어 우리의 고객에 대한 일반적인 프라이버시 위험을 어떻게 완화하는지 설명하겠습니다. 먼저 Uncoder.IO부터 시작하겠습니다. 이는 프라이버시 측면에서 매우 주목할 만한 SOC Prime의 선구적 프로젝트 중 하나입니다.

Uncoder.IO

Uncoder.IO SIEM에 저장된 검색, 쿼리, 필터, API 요청을 위한 온라인 시그마 번역 엔진으로, SOC 분석가, 위협 사냥꾼 및 탐지 엔지니어가 탐지를 선택한 SIEM 또는 XDR 형식으로 즉시 변환할 수 있도록 도와줍니다.

Uncoder.IO를 사용하여 모든 사용자에게 데이터 프라이버시 보호를 보장하기 위해 다음의 산업 모범 사례를 적용합니다:

• 완전히 익명: 등록 없음, 인증 없음, 로그 없음
• 모든 데이터는 세션 기반으로 메모리에 저장되며 서버 디스크에는 저장되지 않습니다
• 매 24시간마다 완전 재이미지
• 마이크로서비스 기반 아키텍처
• 커뮤니티에서 검증된 프로젝트 ‘sigmac’에 기반
• 아마존 AWS 호스팅
• 휴식 중인 데이터는 산업 표준인 AES-256 암호화 알고리즘을 사용하여 암호화됨
• 전송 데이터는 TLS 1.2 암호화 프로토콜을 사용하여 암호화됨
• Qualys SSL Labs에 따르면 전반적인 등급 A+

Uncoder CTI

Uncoder CTI 및 이의 공개 버전, CTI.Uncoder.IO,는 IOC 기반 위협 사냥을 쉽게 하고 빠르게 해주는 온라인 변환 도구입니다. Uncoder CTI를 사용하면 위협 인텔리전스 전문가와 위협 사냥꾼이 IOCs를 선택된 SIEM 또는 XDR에서 실행할 준비가 된 맞춤형 사냥 쿼리로 쉽게 변환할 수 있습니다.

표준 위협 인텔리전스 플랫폼(TIP)과는 달리, Uncoder CTI는 모든 피드 또는 소스에서 IOCs를 가져갈 수 있도록 합니다. Uncoder.IO처럼, Uncoder CTI는 프라이버시를 염두에 두고 설계되었습니다. 각각의 특정 Uncoder CTI 세션을 실행하는 사용자만 자신의 IOC 데이터에 접근할 수 있습니다. SOC Prime은 IOCs나 그들의 로그를 수집하지 않으며, 이 데이터에 접근할 수 있는 제3자는 없습니다.

Uncoder CTI는 다음과 같이 프라이버시 문제를 해결합니다:

• 완전히 익명: 등록 없음, 인증 없음, IOC 로그 없음, IOC 수집 없음
• 모든 데이터는 세션 기반으로 메모리에 저장되며 서버 디스크에는 저장되지 않습니다
• 매 24시간마다 완전 재이미지
• 마이크로서비스 기반 아키텍처
• 아마존 AWS 호스팅
• 커뮤니티에서 검증된 프로젝트 ‘sigmac’에 기반
• 시그마 변환은 전용 마이크로서비스에서 수행되며, 어떤 단계에서도 저장되지 않음
• 모든 변환은 RAM(임의 접근 메모리)에서 수행된다. 이는 높은 성능, 확장성 및 프라이버시를 보장함
• 플랫폼은 사용자의 브라우저 환경에서 로컬로 IOCs를 구문 분석하며, IOCs는 Uncoder CTI 서버 측에 전송되지 않음
• 플랫폼은 암호화된 채널을 통해 브라우저에 직접 사용 준비가 된 쿼리를 반환함
• 휴식 중인 데이터는 산업 표준인 AES-256 암호화 알고리즘을 사용하여 암호화됨
• 전송 데이터는 TLS 1.2 암호화 프로토콜을 사용하여 암호화됨
• CTI 보고서는 귀하의 로컬 환경(귀하의 컴퓨터 및 브라우저)을 벗어나지 않음

로그 소스 및 MITRE ATT&CK 커버리지

협업적 사이버 방어, 위협 사냥 및 발견을 위한 세계 최초의 플랫폼 은 SIEM이나 XDR을 사용하여 위협 탐지 효과 및 데이터 커버리지를 추적하기 위한 관리 도구를 보안 전문가에게 제공합니다.

로그 소스 커버리지는 조직별 로그 소스가 위협 탐지 마켓플레이스의 SOC 콘텐츠에 의해 어떻게 커버되는지를 시각화하여 회사의 전체 위협 탐지 프로그램을 추적하고 조정할 수 있도록 합니다. MITRE ATT&ACK® 커버리지는 탐지 콘텐츠에 탐구되거나 배치된 것에 기반해 ATT&ACK 전술, 기술 및 하위 기술을 해결하는 라이브 진척도를 표시합니다.

로그 소스 및 MITRE ATT&ACK® 커버리지는 다음의 정보 보호 수단으로 프라이버시 위험을 완화하기 위해 설계되었습니다:

• Detection as Code 플랫폼에서 처리된 사용자 데이터에 대한 제3자 접근 없음
• 휴식 중인 데이터는 산업 표준인 AES-256 암호화 알고리즘을 사용하여 암호화됨

곧 전체적인 커버리지 데이터를 CSV 및 JSON 형식으로 내보내는 기능을 MITRE ATT&ACK Navigator 에 호환되는 형식으로 내보낼 수 있도록 할 것입니다. 이 기능은 엑셀 또는 웹 기반 MITRE ATT&ACK Navigator 도구. 

Quick Hunt

Quick Hunt는 위협 사냥꾼이 한 번의 클릭으로 SIEM 및 XDR에서 최신 위협을 시각화하고 사냥할 수 있도록 돕습니다. Quick Hunt는 특히 프라이버시 보호 모범 사례에 따라 설계되었습니다:

• 모든 사냥 쿼리는 기존 브라우저 세션에서 실행됨
• 전송 데이터는 TLS 1.2 암호화 프로토콜을 사용하여 암호화됨
• 사용자의 피드백은 완전히 익명화되고 사용자의 선택에 따라 독점적으로 제공됨

위협 탐지 마켓플레이스

SOC 콘텐츠를 위한 세계 최초의 바운티 기반 위협 탐지 마켓플레이스는 300명이 넘는 연구자들의 가장 최신의 시그마 기반 위협 탐지 콘텐츠를 집계하여 20개 이상의 SIEM 및 XDR 플랫폼을 통해 네이티브로 제공합니다. SOC Prime Threat Detection Marketplace는 130,000개 이상의 탐지를 포함하고 있으며, MITRE ATT&ACK 프레임워크에 맞추어 지속적으로 업데이트됩니다. 사용자의 보안 역할 및 필요에 콘텐츠 검색을 맞추기 위해, SOC Prime Threat Detection Marketplace는 사용자 프로필 내에서 구성된 다양한 사용자 지정 설정 및 필터를 제공합니다. 그러나 권장 엔진에 기반한 이 사용자 프로필 사용자 지정은 선택사항입니다.

SOC Prime Threat Detection Marketplace는 데이터 프라이버시 보호를 보장하기 위해 다음의 모범 사례를 준수합니다:

• 일회용 비밀번호 (OTP)
• 이중 인증 (2FA)
• 로그온, 보기 및 다운로드 기록은 전용 분석 서버에 저장됨
• 보안 로깅 (감사 추적)
• 아마존 AWS 호스팅
• 웹 애플리케이션 방화벽 (WAF) 보호
• 휴식 중인 데이터는 산업 표준인 AES-256 암호화 알고리즘을 사용하여 암호화됨
• 전송 데이터는 TLS 1.2 암호화 프로토콜을 사용하여 암호화됨
• Qualys SSL Labs에 따르면 전반적인 등급 A+

연속 콘텐츠 관리

SOC Prime의 Detection as Code 플랫폼으로 구동되는 연속 콘텐츠 관리(CCM) 모듈은 호환 가능한 SOC 콘텐츠를 사용자 환경으로 직접 스트리밍합니다. CCM 모듈은 보안 팀이 탐지하는 데 더 많은 시간을 할애할 수 있도록 하고, 사냥하는 데 적은 시간을 소비하도록 하기 위해 가장 관련성 높은 탐지 콘텐츠를 실시간으로 자동으로 제공합니다. 실시간 콘텐츠 전송 및 관리를 가능하게 하고, 커브를 넘어서기 위해, CCM 모듈은 CI/CD 워크플로우 개발 관행에 대한 적극적인 접근 방식을 따라 만들어졌습니다.

CCM 모듈은 다음 방식으로 프라이버시 위험을 완화합니다:

• 당신의 SIEM, EDR 또는 XDR 환경으로부터 수집된 로그 데이터 없음
• SOC Prime은 어떤 규칙이 실행 중이고 그들의 히트율에 대한 정보만 가지고 있음
• 사용자 데이터, IP 또는 호스트 정보는 CCM을 통해 수집되지 않음
• 오픈 소스 API 스크립트, 읽기 쉽고 검증함
• 휴식 중인 데이터는 산업 표준인 AES-256 암호화 알고리즘을 사용하여 암호화됨
• 데이터 전송 중 암호화는TLS 1.2 암호화 프로토콜을 사용합니다

결론적으로, SOC Prime의 프라이버시 접근 방식과 관련된 가장 중요한 사항을 모든 기술 통제 및 독립적인 감사에 의해 검증된 그들의 효율성을 포함하여 강조하고 싶습니다. SOC 2 타이프 II 준수를 달성하는 것은 SOC Prime이 자신의 사이버 보안 솔루션, 비즈니스 운영 절차 및 기술 인프라에 대해 위에서 언급된 모든 기술적 통제를 갖추고 있음을 검증합니다. 모든 프로젝트는 SOC Prime의 인하우스 팀에 의해 운영되며, Detection as Code 플랫폼에 대한 제3자 접근이 없음을 보장합니다. 데이터 보안 및 프라이버시에 대한 SOC Prime의 헌신을 보여주는 것은 휴식 중 데이터 암호화에 대한 산업 표준 및 모범 사례를 사용한 AES-256 암호화 알고리즘과 데이터 전송 중 TLS 1.2 암호화 프로토콜을 사용한 것입니다. SOC 2 Type II compliance validates that SOC Prime has all the above mentioned technical controls in place for its cybersecurity solutions, business operations procedures, and technical infrastructure. All the projects are run by SOC Prime’s in-house team, ensuring no third-party access to the SOC Prime’s Detection as Code platform. Data encryption using industry standards and best practices, like AES-256 encryption algorithm for data encryption at rest and TLS 1.2 encryption protocol for data in transit, illustrates SOC Prime’s commitment to data security and privacy.   

SOC Prime에서 프라이버시 요구 사항을 어떻게 적응하는지에 대한 더 자세한 내용을 보려면, https://my.socprime.com/privacy/.