The New Era of Threat Bounty Program

크라우드소싱이 미래의 사이버 방어 전략을 형성하는 방식

크라우드소싱은 현대 위협 환경의 새로운 도전에 대응할 수 있는 고급 사이버 방어를 구축하는 데 중요한 기둥 중 하나입니다. 2023년에만 3만 개 이상의 새로운 취약점이 발견되고 매 분마다 사이버 공격이 발생함에 따라 독립적인 팀은 기존 위협의 산사태에 대처하기가 어렵습니다. 적을 앞서고 더 똑똑하게 대처하기 위해 지식 공유는 필수입니다.

다양한 출처에서 데이터와 인사이트를 집계함으로써, 크라우드소싱된 위협 탐지 이니셔티브는 공격 표면에 대한 풍부한 이해를 제공하고 더욱 빠르고 체계적인 대응을 가능하게 합니다. 이러한 협력적 접근 방식은 자원을 최적화하고, 실시간 정보 공유를 보장하며, 반복적인 피드백 루프를 통해 지속적인 개선을 촉진합니다. 전 세계적으로 혁신성을 갖춘 크라우드소싱은 복원력 있는 확장 가능한 방어 네트워크를 구축하여, 진화하는 복잡한 사이버 위협에 대처하기 위한 효과적이고 커뮤니티 주도적인 사이버 보안 실천을 추진합니다.

집단 사이버 방어 접근 방식의 전도사로서, 2019년 5월 세 번째 EU ATT&CK 커뮤니티 워크숍에서, SOC Prime는 사이버 방어자를 위한 업계 최초의 현상금 프로그램을 시작했습니다. 위협 현상금 프로그램의 5주년을 기념하면서, 현대 사이버 보안의 핵심 원칙을 반영하고 크라우드소싱 커뮤니티 회원들에게 탐지 엔지니어링을 위한 SOC Prime의 가장 진보된 기술을 제공합니다.

위협 현상금 참여하기

근본으로 돌아가기

개인적 우수성의 인정과 저작권 인정은 전 세계의 전문가를 하나로 묶고 글로벌 사이버 방어에 기여할 수 있도록 기회를 제공하는 SOC Prime의 기본 이니셔티브입니다.

위협 현상금 이니셔티브는 프로그램 발표 후 신청과 사전 등록을 서두른 사이버 보안 커뮤니티 회원들에게서 지원을 받았습니다. 커뮤니티의 준비성과 수요에 대한 신속한 반응으로, 우리는 2019년 6월 초에 개발자 포털을 시작하여 5년간 SOC Prime에 탐지 규칙을 기여하는 주요 허브로 활용되었습니다.

처음부터 SOC Prime의 위협 현상금 프로그램은 탐지 엔지니어링 기술을 시험하고 자신의 탐지 규칙이 전 세계 기업이 새롭게 등장하거나 알려진 사이버 위협에 맞서도록 돕는 것을 관찰하면서 약간의 현금을 얻고자 하는 사람들을 위한 신뢰할 수 있고 지원적인 환경으로 알려져 왔습니다.

프로그램의 개발과 변형은 항상 산업과 기술의 발전에 맞추어 진행되었으며, 탐지 엔지니어링 실무를 확장하고 전 세계 조직에 탐지를 제공하는 크라우드소싱된 블루 팀의 일부가 되려는 사람들에게 높은 전문성과 동기를 유지할 수 있게 했습니다. 요즘 우리는 위협 현상금 회원들의 사용자 경험을 완전히 새로운 수준으로 끌어올리며, 탐지 엔지니어링을 위한 가장 진보된 SOC Prime 기술과 도구를 제공합니다.

커뮤니티 조정

커뮤니티 내의 무한한 지식 공유 아이디어로 2018년 SOC Prime은 Uncoder.IO, 빠르고 프라이빗하며 사용하기 쉬운 Sigma 규칙 온라인 번역기로 작동하여 사용자 프라이버시를 100% 보호했습니다. 커뮤니티 도구로서 Uncoder의 성공을 본 SOC Prime 팀은 2023년 11월에 Uncoder.IO를 완전한 오픈 소스 도구 로 Apache 2.0 라이선스 하에 출시했습니다. Uncoder는 프라이버시 부문을 중시하여 개발되어 있었기 때문에, 도구의 SaaS 버전은 https://uncoder.io 에서 제공되며 쿠키 추적, 데이터 또는 코드 로깅, 제3자와의 정보 공유가 없습니다. 따라서 경험이 풍부한 보안 전문가나 사이버 방어 초보자 모두 기본적인 IOC 변환, 콘텐츠 번역, Sigma 및 Roota 규칙 생성 기능을 통해 이점을 얻을 수 있습니다.

2019년 4월 최초의 위협 현상금 프로그램 사전 등록 이후, SOC Prime은 거의 2,000건의 신청을 받아 프로그램에 참여했고, SOC Prime을 통해 글로벌 사이버 방어에 기여할 준비를 보여준 600명 이상의 개인을 환영했습니다. 크라우드소싱된 탐지 엔지니어링에 기여하는 것은 종종 위협 탐지 규칙의 저자들이 직장, 조직, 심지어 산업에서 형성된 익숙한 전문적 관심사와 기술 너머로 여정을 떠나 글로벌 사이버 위협 환경에 대한 전문 역량과 분석을 확장할 것을 필요로 합니다.

크라우드소싱된 위협 탐지 엔지니어의 노력을 실제 시장 수요와 맞추는 것이 위협 현상금 프로그램의 중요한, 심지어 중요한 부분이지만, 콘텐츠 저자들이 탐지의 복잡성과 끊임없이 변화하는 위협 환경에 관한 현대적 요구에 맞춰 자신의 기술을 유지하는 것은 항상 도전적입니다.

커뮤니티 초기부터 함께했던 프로그램 회원들은 SOC Prime 플랫폼에 콘텐츠를 게시하는 것이 얼마나 쉽고 간단했는지 기억합니다. 저자는 탐지 알고리즘을 프리미엄 또는 커뮤니티 게시물로 제출할 수 있었으며, 이러한 접근 방식은 탐지 논리가 복잡하지 않을 때 저자에게 더 많은 유연성을 제공하였습니다. 그러나 전 세계 커뮤니티에 가장 적은 노력을 기울인 기여를 장려하고 촉진하는 것은 프로그램의 원칙에 반하는 것입니다.

위협 현상금 프로그램은 어떤 조직의 사이버 보안 인력과 사이버 보안 벤더에서 개인 재능 개발을 촉진하는 요구가 많은 환경입니다. 이 프로그램은 다양한 기술을 전문으로 하는 전문가들이 윤리적이고 경쟁적인 환경에서 자신의 적용 기술을 더욱 발전시키고 활용할 수 있게 하며 성과 없는 탐지 내용에 대한 법률 및 규정 준수와 IP 권리 및 개인 데이터에 대한 이해를 요구합니다.

또한 Uncoder.IO 의 개발 및 진화와 사용자 정의 사냥 쿼리로의 IOC 변환 도입은 위협 현상금 프로그램 변형과 콘텐츠 수락 요건에 또 다른 돌파구를 마련했습니다. 프로그램 진화에 대응하여 자신의 탐지로 수익을 모으고자 하는 콘텐츠 저자들은 더욱 까다로운 환경에 적응하고 더 복잡한 규칙 개발에 시간을 투자해야 했습니다.

보상

SOC Prime의 위협 현상금 프로그램을 통해 탐지 규칙을 수익화할 수 있는 가능성은 자신의 전문 지식으로 추가 수익을 얻을 기회를 찾고 있는 이들에게 고려해야 할 중요한 사항입니다.

평점 기반 보상 시스템은 기술, 특정 로그 소스, 행동, 특정 APT 그룹 도구의 탐지 범위에 대한 수요 동향을 반영하는 등을 포함하여 탐지 콘텐츠에 전 세계 피드백을 제공하는 수단입니다.

이 접근 방식은 채택된 규칙에 대한 일반적인 권장 사항을 정기적인 플랫폼 사용자들의 실제 수요와 맞추는 데 매우 유용했습니다. 예를 들어, 최소 기능 탐지나 낮은 수준의 IOC는 세계 커뮤니티에 대한 SOC Prime의 제공의 일부로서 효율적인 위협 탐지 기여를 할 수 없다는 것이 명확해졌습니다.

평점 기반 보상 시스템과 제출물 품질 기준은 SOC Prime이 실제 비즈니스 및 정부 환경에서 악의적인 도구 및 행동을 탐지할 수 있는 실용적인 콘텐츠를 제공하는 저자들에게 보상할 수 있게 합니다.

정보는 열쇠입니다

지속적인 피드백 공유는 크라우드소싱 콘텐츠 개발의 높은 기준을 유지하고, 실용적인 탐지 개발에 대한 사이버 커뮤니티의 지속적인 참여를 보장하며, 콘텐츠 품질을 향상하고 사용자 신뢰도를 높이는 데 필요합니다. 우리는 저자들에게 제출된 규칙에 대한 피드백을 이메일로 제공하지만, 출판을 위해 제안된 탐지를 검증하는 SOC Prime 엔지니어들은 개인적인 전문 상담이나 코칭을 제공하지는 않습니다. 대신, 우리는 프로그램 회원들이 커뮤니티 주도 토론에 참여하도록 격려하며, 이는 개별적 상담보다 위협 현상금 커뮤니티에 더 가치 있다고 믿으며, 투명성을 증가시키고, 정보 교환을 촉진하며, 저자들의 기술 개발을 장려합니다.

위협 현상금 프로그램 회원에게 열린 학습과 지식 교환 커뮤니티를 제공하기 위해, 우리는 Discord 채널을 도입하여 경험 많은 실무자들이 지식을 기꺼이 나누고, 흥미로운 토론에 참여하고, 최신 사이버 보안 트렌드를 따라가며, 하드 스킬을 고도화하도록 하였습니다.

새로운 내용은?

크라우드소싱된 위협 탐지는 항상 통일된 언어와 함께 제공되며, 모든 보안 실무자가 집단 사이버 방어에서 혜택을 얻을 수 있습니다. 위협 현상금 프로그램은 본질에 Sigma 규칙을 두어 커뮤니티 기여를 다양한 SIEM 및 EDR 언어로 이식 가능하게 하였습니다. 그러나 Sigma 규칙의 한계를 극복하기 위해, SOC Prime 팀은 복잡한 행동 기반 탐지를 설명하고 이식하기 위해 Roota 를 2023년에 도입했습니다.

과 함께 Roota 랩퍼로 작동하며, 사이버 방어자들이 Uncoder AI의 도움으로 메타데이터를 추가하여 기본 규칙이나 쿼리를 다른 SIEM, EDR, 데이터 레이크 언어로 번역할 수 있게 합니다. Yara 및 Sigma 규칙의 성공에 영감을 받은 Roota는 더 넓은 사이버 방어 커뮤니티에 의해 사용될 수 있도록 설계되었습니다. 이는 기존 지식을 가지고 있는 사람은 모든 언어로 Roota에 쓸 수 있고, Uncoder가 다른 일반적인 언어로 번역하여 새롭고 특정한 쿼리 언어를 배울 필요성을 제거하는 것을 의미합니다. 목표는 규칙 작성 경험을 가진 모든 사람에게 더 나은 업무 도구로 무장하는 것입니다. 이를 통해, 숙련된 위협 헌터, DFIR, Sigma 규칙 전문가뿐만 아니라, 위협 현상금 프로그램을 통해 종합적으로 좋은 기여를 하고자 하는 SOC 분석가들도 이제 Uncoder가 중심에 있는 SOC Prime의 고급 탐지 엔지니어링 도구를 사용합니다. SOC Prime은 현재 위협 현상금 회원에게 자신의 코드를 공유하지 않는 AI를 제공하며, 탐지 규칙 라이선스 준수와 IP 저작권이 번역 중에 손실되지 않음을 보장하며, 생성 AI에 의해 스크랩되지 않는 개인 개발 환경과, 클라우드 SOC 2 유형 II 환경에 자신의 탐지를 저장하기 위한 개인 리포지터리를 제공하고, 코드 자동 완성, MITRE ATT&CK 태깅, QA, 수정 및 코드 리뷰 및 사용에 대한 내장 워크플로 등 여러 IDE와 같은 기능을 제공합니다.

위협 현상금 참여하기

SOC Prime의 새로운 크라우드소싱 탐지 엔지니어링 프로그램 시대는 모든 커뮤니티 이니셔티브를 통합하여 개인 재능을 해방하고, 탐지 엔지니어링 및 위협 사냥 기술을 강화하며, 기술 전문성을 확장하는 사용하기 쉬운 올인원 워크플로를 창출합니다. 위협 현상금 프로그램은 참여자들이 사이버 방어에 기여하는 동안 인정을 받고 노력에 대한 실제적인 혜택을 얻을 수 있는 안전하고 윤리적이며 경쟁적인 환경을 제공합니다.