탐지 엔지니어링이란 무엇인가?
목차:
위협 탐지 엔지니어링(DE)은 처음에는 복잡하게 느껴질 수 있습니다. 사건이나 비정상적인 활동의 탐지를 넘어선 것입니다. DE 프로세스에는 사건 대응이나 디지털 포렌식에 더 적용 가능한 상태와 조건을 감지하는 것이 포함됩니다. 플로리안 로스가 그의 블로그에서 언급한 것처럼, 탐지 엔지니어링의 정의는 “진행 중인 작업으로 간주되어야 합니다.” 이러한 보안 작업은 위협 행위자들이 사용하는 전술, 기술 및 절차를 이해하고 그 지식을 효과적인 탐지 전략으로 번역하는 전문가가 필요합니다.
탐지 엔지니어링은 여러 팀이 함께 협력하여 위험을 해결하고 잠재적인 위협을 더 잘 타겟팅할 수 있는 환경을 조직 내에 개발하는 것입니다. 탐지 엔지니어링은 위협 탐지 논리를 설계, 개발, 테스트 및 유지 관리하는 것을 다룹니다. 이 위협 탐지 논리는 규칙, 패턴 또는 텍스트 설명일 수 있습니다. DE의 범위는 위험 관리에서 위협 인텔리전스까지 다양한 차원에서 확장됩니다.
소스: SANS
위협 탐지 엔지니어링이 정보 보안 분야에서 점점 더 많은 인기를 얻고 있지만, 여전히 발전 단계의 비교적 새로운 개념입니다. 우리가 가진 실제 정보는 상당히 제한적이며, 이 특정 사이버 보안 영역에 전념하는 전문가도 그다지 많지 않습니다. 그러나 수많은 기업이 이론을 사용하여 탐지 및 응답 능력을 강화하기 위한 방법을 테스트 중입니다.
탐지 엔지니어링의 중요한 개념 중 하나는 코드로서의 탐지 (DaC)입니다. 본질적으로 DaC는 최신 애자일 CI/CD (지속적 통합 및 지속적 전달) 파이프라인을 사용하여 소프트웨어 공학의 최고의 구현 관행을 탐지에 적용하는 것을 의미합니다.
탐지 엔지니어링의 이점은 무엇인가요?
보안 엔지니어는 DE 프로세스 를 사용하여 탐지를 생성, 테스트 및 조정하며 팀에 악의적인 활동이 있음을 알리고 잘못된 긍정 경고를 최소화합니다. 탐지 엔지니어링의 몇 가지 이점은 다음과 같습니다:
동적 위협 식별: 고급 기술과 전술은 탐지 엔지니어가 공격 수명주기의 초기 단계에서 위험을 식별하는 데 도움을 줍니다. 클래식 시그니처 기반 탐지 기술 외에도 동적이며 복잡한 위협 을 실시간으로 발견합니다. 이러한 사전 예방적 접근 방식은 심각한 피해를 입히기 전에 가능한 위험을 발견하는 데 도움을 줍니다.
향상된 사건 대응: 탐지 엔지니어링에 사용되는 자동화 및 적응력은 사건 대응 관련 활동을 더 쉽게 만듭니다. 자동화된 시스템은 보안 이벤트를 빠르게 분석하여 우선순위를 지정하여 더 빠른 응답 시간을 가능하게 합니다. 발견된 위협의 종류와 정도에 따라 대응 작업을 맞춤화할 수 있는 능력은 사건 완화 노력을 최적화합니다.
거주 시간 감소: 보안 침해를 발견하는 데 걸리는 시간을 거주 시간이라고 합니다. 탐지 엔지니어링은 위협을 즉시 인식하고 대응함으로써 침해 발견 기간을 단축하는 것을 목표로 합니다. 포괄적인 기술을 활용하고 탐지 매개변수를 정기적으로 수정함으로써 조직은 네트워크 내에서 공격이 미묘하다는 시간이 크게 줄어들 수 있습니다.
향상된 위협 인텔리전스: 탐지 엔지니어링을 사용하여 조직은 탐지 아키텍처에 위협 인텔리전스 피드와 데이터 소스를 통합할 수 있습니다. 이 관계는 새로운 위협, 공격 패턴 및 침해 지표에 대한 최신 정보 제공을 통해 탐지 능력을 향상시킵니다. 위협 인텔리전스를 사용하면 보안 팀이 새로 떠오르는 위험에 앞서나가고 사건 대응 시 정보에 입각한 결정을 내릴 수 있습니다. SOC Prime의 Uncoder AI 는 집합적 산업 전문 지식과 증강 지능의 힘을 결합하여 팀이 관련 CTI를 즉시 탐색할 수 있으며, 이는 허위 긍정, 분류 및 경고 구성치를 포함합니다.
탐지 엔지니어링이 왜 중요한가요?
보안 분석가는 SIEM, EDR, 및 XDR, 같은 보안 도구가 제공하는 경고 및 데이터와 밀접하게 작업하여 의심스럽고 비정상적인 활동을 탐지합니다. 이러한 탐지 방법론의 주요 문제는 다음과 같습니다:
보안 팀은 DaC를 도입하여 복잡한 위협을 신속하게 식별하기 위한 확장 가능한 쓰기 및 강화 탐지 방법을 개발할 수 있습니다. 잘 작성된 응용 프로그램 코드와 마찬가지로, 탐지도 테스트할 수 있는 잘 작성된 코드로 취급되어야 합니다. 소스 제어를 확인하고 동료와 검토함으로써 보안 팀은 더 나은 경고를 제공하고 악의적인 행동을 식별할 수 있습니다.
좋은 탐지 엔지니어링 프로세스의 기능
위협 탐지 엔지니어링 프로세스는 좋은 도구와 훌륭한 탐지 콘텐츠가 필요합니다. 그러나 탐지 엔지니어링은 복잡한 쿼리만이 아닙니다. 간단한 규칙도 저장되어 재사용 가능하며 자동 알림을 허용한다면 중요합니다. 좋은 DE 프로세스는 보안 경고를 식별하고 대응하기 위한 많은 주요 기능을 가지고 있습니다.
전체 프로세스는 SANS 백서에 의해 하나의 그래픽 보기로 분해됩니다. 탐지 엔지니어링은 순환 프로세스이기 때문에 전략을 구축하고 지속적으로 반복해야 합니다. 효과적인 DE 프로세스를 위한 필수 요소는 다음과 같습니다:
출처: SANS 백서
탐지 엔지니어링: DE는 조직이 생성하는 데이터에 대한 명확한 그림에서 시작합니다. 다음 단계는 조직의 인벤토리 기능과 이벤트 생성을 위한 데이터 소스를 평가하는 것입니다. 데이터 소스를 알고 있어야 엔지니어가 탐지 가능성을 이해할 수 있습니다. 여기서의 요령은 많은 잘못된 긍정을 생성하는 광범위한 탐지와 높은 수준의 잘못된 부정을 가진 정확한 규칙 사이의 균형을 찾는 것입니다. 따라서 모든 쿼리는 경고 볼륨 및 정확성을 테스트해야 합니다.
탐지 유지 단계: 탐지 규칙을 배포한 후에는 유지해야 합니다. 코드가 업데이트 및 버그 수정을 필요로 하듯이, 쿼리도 마찬가지입니다. 가장 좋은 접근 방법은 규칙의 탐지 기능을 공동으로 향상시키기 위해 가능한 한 많은 피드백을 생성하는 것입니다. SOC Prime에서는 전체 업계에 이익이 되는 공동 사이버 방어를 신뢰합니다.
위협 인텔리전스: 위협 인텔리전스는 탐지 엔지니어링을 지원합니다. DE를 위협 문맥을 탐지로 변환하는 과정으로 정의할 수 있기 때문입니다. 위협 탐지 엔지니어링 은 올바른 데이터 생성 및 수집 없이는 완전히 효율적일 수 없습니다. 따라서 위협 인텔은 DE에 필수적입니다.
탐지 엔지니어링에서 EDR/XDR 도구는 어떤 역할을 하나요?
The EDR (엔드포인트 탐지 및 대응) 도구는 네트워크의 엔드포인트를 보호하도록 설계되어 있으며, XDR (확장된 탐지 및 응답) 도구는 네트워크 전반에 걸쳐 보안 정책을 시행하여 네트워크 보안 관리를 단순화하는 데 사용됩니다.
EDR과 XDR 두 도구 모두 보안 분석 엔진으로 작동합니다. 이러한 도구는 내부 및 외부 네트워크 지식과 위협 인텔리전스를 사용하여 자동으로 위협을 감지할 수 있습니다. 이러한 탐지는 또한 특정 이벤트에 자동으로 응답하도록 설정될 수 있으며, 예를 들어 프로세스를 종료(기계를 종료)하거나 보안 팀에 경고를 보낼 수 있습니다.
위협 환경은 끊임없이 변화하고 있습니다. EDR/XDR 플랫폼은 많은 탐지 규칙을 포함할 수 있지만 대다수의 설정을 위한 견고한 기반을 제공하기 위해 마련된 것입니다. 모든 것에 적용되는 규제나 규칙은 없습니다. 그런 이유로 우리는 이러한 규칙과 표준에만 의존할 수 없습니다. 서로 다른 네트워크와 조직은 고유한 환경을 가지고 있으며, 탐지는 각 특정 사례의 설정과 준수를 준수해야 합니다. 조직이 탐지 및 대응 도구에 포함시켜야 하는 주요 포인트는 다음과 같습니다:
탐지 엔지니어링에서의 위협 인텔리전스 역할
위협 인텔리전스는 데이터를 수집하여 위협 행위자의 동기를 분석하고 대상을 식별하는 과정입니다. 내부 및 외부 데이터에 대한 인텔을 보유한 보안 분석가는 좋은 탐지 규칙을 작성할 수 있습니다. 위협 인텔리전스 플랫폼은 사이버 위협 환경의 발전에 관한 새 업데이트 및 피드를 제공합니다. 또한 탐지 프로세스를 풍부하고 강화하기 위한 위협 컨텍스트를 제공합니다.
적절한 탐지 엔지니어링은 전술, 기술 및 절차 (TTPs)에 기반한 컨텍스트 데이터를 요구하며, 이는 MITRE ATT&CK® 프레임워크 or 기타 프레임워크에 설명되어 있습니다. 컨텍스트는 많은 과정을 단순화하며, 공격자들은 동일한 킬 체인을 사용하는 경향이 있기 때문에 필수적입니다. 위협 행위자들은 종종 목표를 달성하기 위한 저항이 적은 방법을 택합니다. 그렇기 때문에 위협 사냥 및 탐지에 관련하여 다양한 공격 벡터를 분석하는 것이 좋습니다.
탐지의 가장 효과적인 지표는 TTPs(전술, 기술 및 절차)임에도 불구하고, 침해의 지표 (IOCs)은 탐지 엔지니어링에서도 중요합니다. 그러나 IOC는 행동 기반 탐지 규칙보다 유연성이 훨씬 떨어집니다. 종종 IP 주소, 도메인 및 해시값은 위협 행위자들에게 재사용되지 않습니다. 더구나 시간에 민감한 익스플로잇을 다루고 있다면 침해의 지표가 아직 게시되지 않았을 수도 있습니다. 여전히, IOC는 과거에 표적이 되었는지 확인하기 위한 회고적 탐지에 효과적입니다.
탐지 엔지니어링 외에도, 조직은 또한 보안 역량을 강화하기 위해 위협 사냥 을 활용해야 합니다. 위협 사냥 없이 DE는 완전하지 않고 덜 효율적일 수 있습니다. 알려진 위협에 집중하는 것은 중요하지만 그것만으로 완전한 방어 시스템을 보장할 수 없습니다. 물론 사이버 보안은 100% 보호가 단지 신화일 뿐인 산업입니다. 그러나 접근이 더 포괄적일수록 시스템은 덜 취약한 상태가 됩니다.
SOC Prime을 활용하면 Uncoder AI, 팀은 고급 탐지 엔지니어링을 위한 증강 인텔리전스 프레임워크를 활용하여 Sigma와 ATT&CK의 힘을 결합하고, 피어 기반 전문가 지식을 기반으로 탐지 아이디어를 더 빠르고 간단하게 코드화, 검증 및 공유할 수 있습니다.
