사이버 위협 헌팅이란 무엇인가? 궁극 가이드
목차:
사이버 위협 사냥 은 기업 네트워크 내의 사이버 위협을 해치기 전에 찾아내기 위한 새로운 접근 방식의 위협 탐지입니다. 이는 의도적으로 취약점을 탐색하거나 디지털 인프라 내에서 진행 중인 공격의 징후를 찾는 것을 포함합니다. 위협 사냥은 수동적인 위협 탐지보다 더 복잡하며 특정한 절차, 솔루션, 전문 지식이 필요합니다.
정교한 사이버 공격을 식별하는 것은 쉬운 일이 아니므로, 실제 SOC 환경에서 사이버 위협 사냥이 무엇인지 그리고 그것이 어떻게 작동하는지 더 깊이 이해해 봅시다. 위협 사냥의 정의를 넘어, 우리는 모든 위협 사냥꾼이 매일 수행하는 일반적인 일상에 대해 이야기할 것입니다.
학습을 시작하기 전에, 우리 사이버 위협 검색 엔진에서 관심 있는 위협의 위협 인텔리전스 타임라인을 꼭 확인하십시오. 필요한 모든 정보를 손에 쥐고 나면, 브라우저에서 수정하고 여러 보안 환경과 원활하게 통합하여 사냥 경험을 향상시킬 수 있는 Detection as Code 플랫폼에서 위협 사냥 쿼리에 액세스할 수 있습니다.
위협 사냥을 어떻게 시작할 것인가?
능동적 위협 사냥의 첫 단계는 전체 성공을 정의합니다. 간단히 말해 위협을 찾기 위해서는 무엇을 찾아야 할지에 대한 아이디어가 필요합니다. 평균적으로 하루에 20,000개의 이벤트를 생성하는 조직을 상상해 보세요. 이는 하루에 1,728,000,000개의 이벤트가 됩니다. 그럼, 매일 등록되는 450,000 개의 악성코드 샘플이 있습니다. 자동화된 알고리즘은 완벽히 숨겨진 위협이나 새로운 유형의 악성 코드를 찾기에 이상적인 솔루션가 아닙니다. 그러니 이렇게 거대한 데이터를 다루기 위해 얼마나 많은 사이버 보안 인력이 필요할까요? 사실, 정말 중요한 위협 연구 범위를 줄이지 않는 한 보안 전문가들은 결코 충분하지 않습니다. 이제 위협 사냥의 주요 방향을 어떻게 식별할지 살펴봅시다.
상황 인식
현재로서, 위협 사냥꾼은 시스템 아키텍처, 네트워크 인프라 및 자산 구성을 알고 있어야 합니다. 조직의 디지털 생태계에 대한 세밀하게 조정된 가시성은 전술적 및 전략적으로 다음 단계로 나아갈 수 있도록 합니다.
상황 인식이란 위협 사냥꾼이 공격자의 잠재적 목표물과 현재 보호 수준을 알고 있다는 것을 의미합니다. 환경의 요소에 관해서는, 사냥꾼은 “시간과 공간의 볼륨 내에서, 그들의 의미의 이해, 그리고 가까운 미래로의 상태 예측”을 본다는 것입니다. OODA 루프 는 John Boyd 대령이 제안한 개념입니다. 이런 가시성을 갖기 위해서는 보안 도구 및 솔루션의 올바른 구성이 매우 중요합니다. 예를 들어, 명령줄 및 PowerShell 스크립트의 로그 없이는 많은 종류의 심각한 공격을 식별하는 것이 불가능합니다.
위협 환경 및 공격 표면 인식
사이버 위협 환경 이란 현재 존재하고 위협이 될 수 있는 모든 사이버 위협의 포괄적인 그림입니다. 많은 위협은 위협 사냥꾼에 의해 추측됩니다(다음 섹션에서 이에 대해 이야기할 것입니다) 왜냐하면 그들이 어떻게 작동하는지, 목표가 무엇인지에 대한 정보가 충분하지 않기 때문입니다. 그렇지만 연구자의 눈에는 보이지 않을 수 있습니다. 어떤 자료에서는 위협 환경을 알려진 모든 위협의 목록이라고 설명하지만, 이 관점은 제한적입니다. 위협 환경의 일부가 여전히 그림자 속에 있지만 여전히 존재한다는 것을 인정하는 것이 좋습니다. 그리고 위협 사냥꾼은 일반적으로 그 그림자 부분과 함께 작업합니다. 위협 환경의 또 다른 독특한 특징은 그것이 역동적이라는 것입니다. 수많은 상황으로 인해 변형되고 발전합니다; 따라서 항상 뉴스, 인텔리전스 및 최신 연구를 추적하는 것이 중요합니다.
공격 표면 은 조직의 디지털 인프라에서 알려진 것과 제로데이를 포함한 모든 취약점, 잠재적인 잘못된 구성 및 이상 현상의 총합입니다. 오늘날 많은 소프트웨어 애플리케이션이 수많은 종속성을 가지고 있으며 종종 클라우드 서버에 배포됩니다. 네트워크 경계를 정의하는 것은 거의 불가능합니다. 따라서 공격 표면은 증가합니다. 동시에, 20년 전 제조된 프린터를 하나의 개인 컴퓨터에 완벽히 패치된 Windows와 인터넷 연결 없이 연결하면 공격 표면은 더 작습니다. 물론 네트워크의 복잡성이 증가함에 따라 공격 표면이 기하급수적으로 증가한다는 점은 이해할 만합니다. 그리고 취약점이 없어도 위협은 존재한다는 것을 잊지 마십시오. 이것이 NIST가 보안 설계에 의해 안전한.
위험 우선순위 설정
사이버 보안 위험 관리 생성 및 유지에 대한 많은 접근이 있습니다. 조직은 NIST, ISO 270001, DoD 등의 프레임워크를 사용합니다. 결국, 특정 비즈니스 상황에 맞는 위험을 정의하고, 위험 우선순위를 설정하고, 위험 허용 범위를 결정하고, 완화 대응책을 기록하며, 정기적으로 효율성을 검토하는 것입니다.
위험 관리는 위협 사냥과 무슨 관련이 있습니까? 그것은 모든 것이 시작되는 곳입니다. 예를 들어, 100%의 위험 패턴 중 50%는 패치되고, 30%는 네트워크 구성을 이유로 적용되지 않으며, 10%는 자동화된 보안 솔루션에 의해 처리되며, 5%는 수동으로 해결됩니다. 그래서 남은 것은 5%의 미지의 위험입니다. 위협 사냥은 여기서 시작됩니다.
위협 사냥 단계란 무엇인가?
위협 사냥꾼은 미지의 위협에 직면하는 사람들입니다. 그래서 그들이 작업할 수 있는 의심스러운 무언가를 얻으면, 위협 사냥 단계를 시작합니다. 의심스러움을 식별하는 것 자체도 많은 도메인 지식과 경험이 필요합니다. 예를 들어, DDoS 공격처럼 보이는 것이 네트워크의 여러 컴퓨터가 동시에 부팅한 것일 수도 있습니다. 그래서 잘못된 방향으로 가지 않기 위해, 모든 위협 사냥 단계는 잘 생각해야 합니다. 일반적으로 세 가지 단계를 개괄할 수 있습니다.
위협 사냥 가설 생성
The 위협 사냥 가설 은 다른 유형의 연구 작업에서처럼 처음에 옵니다. 사이버 위협 사냥 가설 예제에 대한 안내서를 살펴보십시오. 더 알고 싶다면 말입니다. 가설이 틀렸더라도, 여전히 후속 연구를 위한 가치 있는 정보를 얻을 수 있습니다. 예를 들어, 드문 HTTP 사용자 에이전트가 악의적인 것으로 가정했지만, 나중에 아니라는 것을 알게 되었습니다. 괜찮습니다. 이제 회사 내에서 무슨 일이 일어나고 있는지에 대한 더 좋은 상황 인식을 갖게 되었습니다. 가설을 도전하고 대안들과 비교하는 것이 자신을 만족시키기만 하려는 접근보다 더 유용할 수 있습니다.
검사 및 분석 수행
이제 가설을 세웠으니, 테스트할 차례입니다. 위협 사냥꾼은 여러 가지 위협 사냥 도구 를 사용하여 가설을 테스트할 수 있습니다. 시스템 로그에서 특정 행동을 찾고, 샘플 악성코드를 에뮬레이트된 환경에서 테스트하고, 네트워크 데이터 흐름을 살펴보는 등 여러 방법을 사용할 수 있습니다. 가장 어려운 부분은 찾고자 하는 것을 식별하는 방법을 찾는 것입니다. 예를 들어 비콘 탐지를 수행하고 싶은 경우, 네트워크가 DNS over HTTPS 암호화를 사용한다면 알아야 할 몇 가지 요령이 있습니다. 이 경우 악성 신호를 찾는 것이 가능하지만, 시스템 구성의 특정 요소가 성공적인 검색을 방해할 수 있습니다. 결과적으로 거짓 부정으로 이어집니다.
데이터로 작업하는 방법은 여러 가지입니다. 수학적 알고리즘인 요인 분석을 사용하는 것이 더 좋을 때도 있고, 위협을 시각화하는 것이 더 나을 때도 있습니다. 많은 위협 모델링 도구가 있습니다. 예를 들어, TypeDB는 위협 사냥꾼이 종종 사용합니다. 그래프, 차트, 다이어그램을 사용하여 이상점과 같은 것을 찾는 것이 특히 재미있습니다. 분포 그래프, 표준 편차, 박스 플롯, 산점도, 고립 숲을 프로그래밍하고 패턴을 찾을 수 있으면 이 유형의 분석에서 훌륭한 결과를 얻을 수 있습니다.
그러나 자동화된 모든 것이 비수치형 데이터와 잘 작동하지 않는 경우가 많습니다. 기계 학습은 컨텍스트에 들어가지 않고도 차이를 식별하기에 좋습니다(텍스트 콘텐츠에는 일반적으로 Naïve Bayes가 좋습니다).
어떤 시점에서는 위협 사냥에 인간 요소를 추가하는 것이 필요합니다. 이 시점이 되면, 침입 분석의 다이아몬드 모델과 TTP 기반 사냥 방법을 시도하십시오. 대량의 데이터로 인해 수동 검토가 오래 걸릴 경우, Clearcut 같은 도구가 도움이 될 수 있습니다. 그런 다음, 사용자의 습관을 파악하고 영감을 한 스푼 추가하십시오. 통계, 데이터 과학 또는 심리학과 같은 주제를 배우는 것은 사냥 경험을 풍부하게 만듭니다.
해결
자유 사냥꾼이자 창의적인 연구자로서의 역할이 좋을 수 있지만, 위협 사냥 파이프라인의 끝에는 중요한 책임이 따릅니다. 분석 결과를 얻은 후, 발견된 위협이 피해를 주지 않도록 문서화하고 조치를 취해야 합니다. 대규모 조직에서는 인시던트 대응이라고 불리는 것이 정기적으로 일어납니다. 이를 SOC 구성원이 수행하고 위협 사냥꾼은 가설 및 분석으로 돌아갑니다.
알려진 취약점은 패치가 가능합니다. 이 부분은 아마도 더 쉬운 부분일 것입니다. 그러나 모든 종류의 자산에 대한 모든 종류의 패치를 감시하는 것은 도전적입니다. 일부 자산은 패치를 전혀 좋아하지 않는데, 24/7 가동해야 하는 대형 서버는 유지보수가 비즈니스 운영에 변동을 줍니다. 이러한 패치는 적절히 계획되어야 합니다. 그렇지 않으면, SOC 팀은 제로 다운타임 패치 옵션을 탐색할 수 있습니다.
어려운 경우에는 독특한 접근이 필요하여 보통 수동으로 처리됩니다. 전반적으로 인시던트 대응에는 여러 가지 다른 행동이 포함될 수 있습니다. 위협 사냥 인증 교육에서는 이러한 이론과 실습을 통합합니다. 효과적인 해결 외에도 때때로 데이터를 복구해야 할 필요가 있습니다. 예방적 위협 방어의 일환으로, SOC 구성원은 위협 사냥꾼의 예측에 기반하여 시스템 보호를 강화합니다. 위협이 무해하다면, 아무것도 하지 않을 수도 있습니다.
위협 사냥 서비스
아웃소싱 서비스는 IT 분야에서 상당히 일반적이므로 왜 위협 사냥 서비스를 아웃소싱하지 않습니까? 외부에서 보안 전문가를 고용하는 것이 장기 전략에 유익하며, 내부 팀의 과도한 업무 부담을 덜고, 협상된 가격으로 많은 가치를 전달할 수 있다면 그것을 선택하는 것이 현명합니다.
많은 제공업체가 IBM, CrowdStrike, Verizon, ESET, Palo Alto Networks와 같은 소프트웨어 위에 위협 사냥 서비스를 제공합니다. SOC Prime 보안 엔지니어는 MITRE ATT&CK® 커버리지의 SIEM 감사를 제공합니다. 이들은 귀하가 사용할 수 있는 다양한 보안 제품에서 구성 문제, 오류 및 제한 요소를 식별하는 데 도움을 드릴 수 있습니다. 초기 감사 후, 이들은 다음과 같은 관리 보안 서비스를 수행할 수 있습니다:
- SIEM 정리
- 저장 비용 절감
- 콘텐츠 조정
- 로그 소스 필터링 및 로드맵
- 성능 최적화
- MITRE ATT&CK® 정렬
- 아키텍처 크기 조정 및 총비용 최적화
- 하드 스킬 교육 계획
- 기술 증강
- 프로세스 변환
- 예산 및 이해관계자 조정
- 진화 로드맵
이 모든 향상은 운영적에서 전략적 수준에 이르기까지 다양한 수준에서 작용하여 위협 사냥꾼들이 숨겨진 위협을 감지할 수 있도록 돕습니다.
위협 사냥의 종류
위협 사냥꾼은 여러 유형의 사이버 보안 사냥을 인식하여 책임을 나누고 목표를 더 효율적으로 달성합니다. 위협 사냥 기법 은 위협 사냥의 다양한 유형에 걸쳐 동일할 수도 있으며 보안 CI/CD 파이프라인의 복잡성에 따라 다를 수도 있습니다.
구조화된
구조화된 위협 사냥은 MITRE ATT&CK® 적대자 전술, 기술 및 절차(TTP)에 기반한 공격 지표(IoA)를 기반으로 합니다. 이것은 David Bianco의 고통의 피라미드의 정점입니다. 킬 체인에 대한 이러한 세분화된 관점의 목적은 공격자가 알기 전에 그들을 사냥하는 것입니다(즉, 그들에게 큰 고통을 줍니다).
TTPs는 재미있습니다. 왜냐하면 한 가지 기술이 필연적으로 다른 기술을 야기하기 때문입니다. 발견(Discovery)을 찾았을 때 실행(Execution)도 찾으십시오. 실행을 찾았을 때 지속성(Persistence)도 찾으십시오. 특정 기술이 활용되었다면, 어떤 데이터 소스가 필요한지, 이 소스 안에서 어떤 곳으로 갈 것인지 분명히 알 수 있습니다. 일반적으로, 구조화된 위협 사냥은 확인된 지표가 없을 때 제로데이 익스플로잇을 탐지하기에 좋습니다.
비구조화된
의심스러운 이벤트 또는 이벤트 시퀀스가 비구조화 사냥을 시작하는 트리거로 작동할 수 있습니다. 더 많은 컨텍스트를 얻기 위해, 사이버 위협 사냥꾼은 모든 종류의 정보를 수집하고자 합니다. 트리거 전후에 무슨 일이 일어났습니까? 무엇이 더 일어났습니까? 이러한 이벤트는 서로 관련이 있습니까? 이들은 모든 질문에 답하고자 합니다.
위협 인지표(Indicators of Compromise, IoC)는 URL, 도메인 이름, IP 주소보다 훨씬 더 넓게 확장될 수 있다는 점에 유념하십시오. 사실, 많은 종류의 이상 이벤트는 꽤 실체적입니다. 위협 인텔 또는 내부 로그에서 그들의 식별자를 얻을 수 있습니다.
위협 인텔이 제공할 수 있는 모든 것을 알고 싶다면, STIX 사이버-관찰 가능한 객체의 목록을 확인하십시오. 내부 소스, 예를 들어, Sysmon 로그는 프로세스, 세션, 네트워크 연결 등을 포함합니다. 이러한 로그는 GUID(전역 고유 식별자)를 포함합니다. 따라서, 잘 만들어진 위협 사냥 규칙은 다음과 같이 타협을 나타내는 식별 가능한 값을 조작할 수 있습니다:
- 이상 데이터베이스 읽기 볼륨
- 의심스러운 인바운드 및 아웃바운드 트래픽
- 시스템 파일에서의 의심스러운 변경 사항
- 그리고 훨씬 더
보시다시피, 모든 이상치 현상은 너무 작거나 너무 큽니다. 너무 큰 명령 줄, 너무 작은(난독화된) 문자열, 너무 많은 숫자와 문자가 포함된 너무 많은 DNS 이름, 등. 보통, 보안 엔지니어는 SIEM의 기준선 설정과 임계값으로 그것들의 탐지를 자동화합니다. 그래서, 왜 위협 사냥꾼을 귀찮게 하는지, 궁금할 수도 있습니다. 의외로 그와 같은 IoC들이 얼마나 쉽게 무시되는지 놀라움을 느낄 것입니다. 예를 들어, 의심스러운 도메인 이름은 프록시 DNS 서버를 통해 이동하고, SOC 팀은 단순히 그것을 보지 못합니다. 그것은 사냥이 필요한 순간입니다.
효율성을 높이기 위해, 위협 사냥꾼은 분석가처럼 Tier 1, 2, 3으로 나눌 수 있습니다. 첫 번째 그룹은 실시간 사이버 보안 위협 사냥을 수행하고, 두 번째 그룹은 TTP를 탐구하며, 세 번째 그룹은 ML 도구, 수학, 데이터 과학을 사용하여 고급 분석 작업을 수행합니다. 기업의 위협 사냥 성숙 모델에 따라 이 방어 전술이 실행 가능할 수도 있고 아닐 수도 있습니다.
상황적
상황적 위협 사냥은 두 가지 주요 출처에서 유래할 수 있습니다: 내부 및 외부. 내부 소스는 정기적인 위험 평가, Crown 분석의 보석 및 기타 고유 인프라와 트래픽 고려 사항을 포함합니다. 외부 소스는 위협 인텔, 뉴스, 취약성 피드, 연구 결과입니다.
기업 수준의 위협 인텔리전스는 상황적 위협 인식의 주요 소스이지만, 대안 소스도 트렌드를 형성하고 있습니다. 예를 들어, Twitter는 사이버 세계에서 무슨 일이 일어나는지 알기에 좋습니다. 다음 계정을 확인하십시오:
Twitter를 넘어, 탐구할 가치가 있는 다른 많은 소스가 있습니다. 오픈 소스 위협 인텔리전스는 사냥할 가치가 있는 흥미로운 데이터를 대량으로 끌어옵니다. 또한 SOC Prime Detection as Code 플랫폼의 빠른 사냥 모듈에서는 새로운 쿼리를 항상 사용할 수 있습니다. 이들은 광범위한 준비와 경험을 요구하지 않으며, 초보 위협 사냥꾼에게 좋습니다.
위협 사냥과 위협 인텔리전스의 차이점은 무엇인가?
간단히 말해, 위협 인텔리전스는 유용한 정보이고, 위협 사냥은 그 정보를 이해하는 것입니다. 위협 사냥꾼은 조직의 네트워크 내에서 적극적으로 적을 찾습니다. 그들은 위협 인텔리전스 피드를 사냥 프로세스를 시작하는 입력으로 사용합니다.
일부 위협 사냥 플랫폼, 예를 들어 SOC Prime Detection as Code 는 SIEM, EDR/XDR 또는 SOAR 환경에 규칙을 발견하고 편집할 수 있는 기능과 더불어 위협 인텔리전스 컨텍스트를 포함하고 있습니다. 서로 다른 민간 및 공공 네트워크에서 발견된 최신 사이버 위협에 대한 정보를 포함한 Threat Intelligence 피드를 지속적으로 모니터링하는 것이 필요합니다.
위협 사냥이 중요한 이유는 무엇인가?
정교한 위협은 쉽게 탐지되지 않습니다. 랜드에서 벗어나는 것이건 몇 달 동안 탐지를 회피하는 것이건, 현대의 악성코드는 전통적인 보안 제어를 우회하는 방법을 가지고 있습니다. 사이버 보안 위협 사냥은 고급 악성 소프트웨어의 가시성을 향상시키고 그것이 야기할 수 있는 피해를 방지하는 데 중요합니다. 선제적 위협 사냥은 공식적으로 CISA와 FBI.
에 의해 제안됩니다. 위협 사냥꾼은 위협 연구자로서 사이버 보안 방어 개선에 기여합니다. 기술적 및 과학적 지식을 전체 스펙트럼에 적용하여, 사냥꾼은 악성코드 샘플 및 킬체인의 단계를 분해하여 그것이 어떻게 작동하는지를 이해합니다. 그러한 이해가 이루어지면, 더 복잡한 위협 탐지 및 대응 방법을 개발할 수 있습니다.
참여하기 SOC Prime Detection as Code 플랫폼은 가장 최신의 공격을 예상하는 수천 개의 사이버 사냥 쿼리에 액세스할 수 있습니다. Sigma 기반의 규칙으로 SOC 파이프라인을 강화하십시오. 이는 여러 공급업체의 특정 포맷으로 번역되어 SIEM 환경에 즉시 배포될 수 있습니다. 그리고 자신만의 전문 지식을 가지고 있다면, 글로벌 크라우드소싱 이니셔티브인 위협 현상금 프로그램에 탐지 항목을 기여하는 것을 권장합니다. 여기서 보안 엔지니어 및 연구자는 협력적 방어를 강화하고 노력의 대가로 반복적인 보상을 받습니다.
