위협 탐지의 미래는 커뮤니티에 달려있다
목차:
공개 정보 출처에 의존하기
생각해보세요 — 최신 악성코드 분석이 담긴 블로그 글을 열어, 우리 위협 팀이 간절히 필요로 하는 IoC를 찾기 위해 샅샅이 훑어볼 때마다, – 약간 지치는 느낌이 들지 않나요?
우리의 좋아하는 보안 벤더가 이미 같은 작업을 했고, 위협 인텔리전스 피드가 해시, 파일 이름, 그리고 알려진 악성 IP 주소로 업데이트되었기를 바랍니다.
하지만 최신 악성코드 샘플에 대해 응답 팀이 기회를 얻어 (특권?) 수행할 수 있는 고도로 기술적이고 매우 기회적인 작업 없이 생존할 수 없다는 것이 적어도 조금은 어색하지 않나요? 불과 12시간 전에 동유럽의 전력망 절반을 차단시킨 버그를 해체할 수 있는 보안 연구원은 많지 않지만, 우리 모두는 그 분석 결과가 필요합니다.
쓸모없는 재고 탐지 콘텐츠
CTI 이전에 위협 탐지가 얼마나 잘 작동했는지를 기억할 만큼 “운이 좋은”가요? 그 당시에 잘 알려진 봇넷 CC IP 주소로의 네트워크 트래픽을 보는 것이 우리가 처음으로 사실이라는 사고가 일어났다는 것이었습니다. 말할 필요도 없이, 정확하지 않았습니다.
재고 SIEM 콘텐츠는 열망적이었습니다 최소한의 수준에서. 2000년대 후반에 ArcSight 규칙을 “침해된 호스트” 같은 것에서 “잠재적으로 의심스러운 활동”으로 부끄럽게 이름을 바꾼 것을 여전히 기억합니다. “경고”와 “사고”의 개념이 같은 것을 의미하던 시절을 지나 산업은 장기적으로 발전해 왔습니다. 오늘날 우리는 자동화된 분류나 심지어 클러스터링을 따르는 “신호”로 충분히 만족합니다.
결론은 — 과거의 행동 규칙은 일반적으로 원하는 결과를 제공하지 못했습니다. 왜일까요? 주요 이유는 보안 소프트웨어 벤더가 사실상 위협 연구를 하는 사업이 아니라는 사실일 수 있습니다. 그들은 소프트웨어를 만들고 판매하는 사업에 종사하고 있습니다(놀랍죠, 알고는 있었지만). 공정하게 말하자면 대부분의 SIEM 벤더는 자체적으로 올바른 도메인 전문성을 키웠지만, 실제로는 대부분의 재고 탐지 콘텐츠가 실제 요구를 충족하지 못했습니다. 벤더 규칙은 SecOps 팀에 의해 빠르게 폐기되고 자체 제작한 것으로 대체되었습니다.
커뮤니티 협력 시도 실패
이 문제를 해결하기 위한 시도로 대부분의 벤더는 고객들이 “사례를 공유”할 수 있는 자신만의 “커뮤니티 포털”을 개설했습니다. ArcSight Protect247에서 SplunkBase에 이르기까지, 사용자들이 커뮤니티로 모여 최신 정보를 기여하는 아이디어는 매력적이었습니다.
안타깝게도, 자명하게도 오늘날까지 이러한 시도 중 성공한 것은 없습니다. 저는 제 경험에서 커뮤니티를 처음부터 성장시키는 것이 극도로 어렵다는 것을 알고 있습니다 (아무도 @SIEMguru를 기억하지 못합니까?). 하지만 아마 가장 중요하게는, Jon Stewart를 빌려 표현하자면, 위협 탐지 콘텐츠의 “유통 기한”은 계란 샌드위치와 비슷합니다. 진심으로 동기 부여된 관리와 관심 없이는 새 규칙이 흐르기 어렵습니다.
이러한 노력이 벤더별로 구체화된다는 점도 도움이 되지 않습니다. 그래서 QRadar 사용자들이 Mimikatz 규칙을 만들고 있을 때, Elastic을 사용하는 그들의 동료들도 규칙을 만들되 다른 문법으로 만들어야 했습니다. Florian Roth와 Thomas Patzke의 시그마 표준이 모든 SIEM 및 EDR/XDR 플랫폼에서 탐지 규칙을 공식화하도록 마침내 경로를 제시했습니다.
올바른 접근법
공공연히 말하자면, Sigma 표준은 완벽하지 않습니다. 모든 탐지 쿼리 언어로 규칙 번역을 지원하는 것은 현실적이지 않습니다. 하지만 또 한 번, 아마도 역매칭 탐지를 to 공통 표준으로 가지고 있는 것이 그렇게 중요하지 않을지도 모릅니다. 사이버 보안 연구원이 Sigma를 행동 위협 탐지 규칙에 대한 공통 표준으로 수용하고, 한 번만 제공되면 규칙과 쿼리를 자동으로 정확히 올바른 문법으로 변환할 수 있다면, 왜 안 되겠습니까? 이 접근 방식의 장점은 명백합니다 — 기술과 관계없이, 회사 내부의 위협 탐지 팀은 새로운 초능력을 얻은 것입니다.
그리고 Sigma가 멋지지만, SOC Prime의 공개 소스, 벤더 중립적인 Threat Detection Marketplace가 행동 분석에 별을 정렬시키는 데 필요했습니다. 오늘날 전 세계의 모든 사이버 보안 전문가가 최고 연구원의 작업 결과를 출판되는 즉시 활용할 수 있습니다. 이것이 글로벌 커뮤니티의 힘이며, 이것이 행동 위협 탐지가 모든 사이버 방어자의 무기고에서 필수적인 능력이 되는 이유입니다.
