당신이 타협했다고 가정하는 것이 가장 좋습니다
위협 헌팅은 사이버 보안 보호가 항상 100% 효과적이지 않기 때문에 필요합니다. '설정하고 잊어버리는' 보안 도구에 의존하기보다는 적극적인 방어가 필요합니다.
'우물 중독'과 같은 일부 위협은 공격자가 애플리케이션에서 더 장기적인 지속성을 얻기 위해 노력하는 것과 관련이 있습니다. 탐지되지 않은 상태로 유지되는 것은 이 공격의 성공에 매우 중요합니다. 불행히도 대부분의 공격은 탐지되지 않는 데 성공합니다. IBM의 의뢰로 Ponemon Institute 가 실시한 최근 연구에 따르면 침해를 식별하고 억제하는 데 필요한 평균 시간은 280일입니다.
위협 헌팅 정의
위협 헌팅에는 수동 및 소프트웨어 지원 기술을 사용하여 다른 보안 시스템을 벗어난 가능한 위협을 탐지하는 작업이 포함됩니다. 보다 구체적으로 위협 헌팅 작업에는 다음이 포함됩니다.
- 조직 내에 존재하는 위협, 공격자가 정보를 유출하고 손상을 입히기 위해 이식할 수 있는 모든 것을 헌팅합니다.
- 전 세계 어디에서나 발생하는 위협을 선제적으로 헌팅
- 함정을 설치하고 본질적으로 위협이 당신을 사냥하기를 기다립니다.
위협 헌팅 프로세스
위협을 헌팅하려면 다음을 수행해야 합니다.
- 고품질 데이터 수집
- 도구를 사용하여 분석하십시오.
- 모든 것을 이해할 수 있는 기술이 있어야 합니다.
이 프로세스는 품질이 낮은 데이터 입력으로 인해 위협 헌팅이 비효율적이기 때문에 적절한 양의 고품질 데이터를 수집하는 것으로 시작됩니다. 수집되는 데이터에는 로그 파일, 서버, 네트워크 디바이스(예: 방화벽, 스위치, 라우터), 데이터베이스 및 엔드포인트.
다음으로, 위협 헌터는 패턴과 잠재적 침해 지표(IOC)를 검색해야 합니다. 모니터링하는 경우 로그를 보는 사람이 있어야 합니다. 조직에는 지속적인 침입 탐지 모니터링에 전념할 수 있는 충분한 리소스와 인력이 없는 경우가 너무 많습니다. 마지막 단계는 그에 따라 대응하는 것입니다.
뭘 노리고 있는 거야?
침해 지표(IOC): 포렌식 데이터 및 로그 파일을 포함하여 이미 발생한 잠재적인 악의적 활동을 식별하는 데 도움이 될 수 있는 요소
공격 지표(IOA): IOC와 유사하지만 IOA는 진행 중인공격을 이해하는 데 도움이 될 수 있습니다
네트워크 기반 아티팩트: 세션 기록, 패킷 캡처 및 네트워크 상태 모니터링과 같은 도구를 사용하여 멀웨어 통신 검색
호스트 기반 아티팩트: 엔드포인트를 검색하고 레지스트리, 파일 시스템 및 다른 곳에서 멀웨어 상호 작용을 찾습니다.
손상 및 공격의 지표 찾기 및 조사
위협 헌팅에는 찾을 항목의 범위와 다음과 같이 적합하지 않은 항목을 식별하는 방법이 필요합니다.
- 불규칙한 교통
- 비정상적인 계정 활동
- 레지스트리 및 파일 시스템 변경
- 이전에는 볼 수 없었던 원격 세션에서 사용되는 명령
변칙을 찾으려면 먼저 정상적인 활동에 대한 기본적인 이해가 중요합니다. 표시기가 감지되면 흔적을 따라가십시오. 이는 종종 가설을 세운 다음 각 IOC가 위협인지 확인하는 방식으로 수행됩니다. 일부 IOC는 직설적인 접근 방식을 사용하여 명백한 증거를 제시할 수 있습니다. 예를 들어, 조직이 비즈니스를 수행하지 않는 국가에 대한 트래픽의 양이 증가합니다. IOC를 조사하려면 가상 환경에서의 동작을 검사하기 위해 특정 유형의 트래픽을 재현하는 실험실에서의 작업도 포함될 수 있습니다.
SCADA와 같은 통제된 환경에서는 비정상적인 것을 더 쉽게 감지할 수 있습니다. 반면 엔터프라이즈 환경에는 다양한 트래픽이 있는 경우가 많기 때문에 탐지가 더 어려워집니다. 멀웨어 방지와 같은 보안 솔루션은 이미 매핑 및 분석된 악성 코드에 대해 가장 효과적이지만 완전히 새로운 코드는 탐지하기가 더 어렵습니다.
도구가 너무 많으면 위협 헌팅이 복잡해질 수 있지만 보안 정보 및 이벤트 관리(보안 정보 및 이벤트 관리(SIEM))와 이벤트 상관 관계 도구가 도움이 됩니다. 반면에 세부 사항을 보는 능력을 방해할 수도 있습니다. 클라우드 보안 에 대한 통합된 접근 방식이 이상적입니다.
위협 헌팅 팁
YARA 규칙을 사용하면 멀웨어를 일치시키고 인식하는 데 도움이 되는 규칙 집합을 만들 수 있습니다. "YARA를 사용하면 텍스트 또는 바이너리 패턴을 기반으로 멀웨어 제품군(또는 설명하려는 모든 것)에 대한 설명을 만들 수 있습니다."
정교한 멀웨어는 종종 시스템이 항상 실행 중인 Windows 프로세스와 같은 서비스 호스트에 침투하기 위해 다른 것 안에 숨어 있습니다. 악성 코드를 삽입하는 데 성공하면 탐지할 수 없는 방식으로 악의적인 작업을 수행할 수 있습니다. Windows 레지스트리는 멀웨어가 숨어있을 수 있는 또 다른 주요 위치입니다. 기본 시스템 레지스트리와 비교하고 변경 사항을 조사합니다.
세부 정보 수준은 조직의 우선 순위 와 각 시스템의 자유 수준에 따라 다릅니다. 항상 활성 상태인 중요한 시스템 프로세스의 무결성을 확인하는 것은 위협 헌팅의 포렌식 측면에서 중요한 부분입니다.
효과적인 팀
Infosec은 "헌팅에는 기계 기반 기술과 수동 기술이 모두 포함될 수 있습니다. 보안 정보 및 이벤트 관리(SIEM)와 같은 다른 자동화 시스템과 달리 헌팅에는 보다 정교하게 위협을 헌팅할 수 있는 인간의 능력이 필요합니다."
효과적인 위협 헌팅 팀의 중요한 특성은 커뮤니케이션입니다. 위협 사냥꾼은 또한 보고서를 작성하고 위협과 위험에 대해 다른 사람들을 교육하는 데 능숙해야 합니다. 경영진이 조사 결과를 바탕으로 올바른 결정을 내릴 수 있도록 지원하려면 팀이 평신도의 용어로 발견한 내용에 대해 이야기할 수 있어야 합니다. 전반적으로 헌팅은 엔지니어의 역할이라기보다는 분석가의 역할에 가깝습니다.
위협 헌팅은 클라우드 보안에 대한 통합 접근 방식의 일부여야 합니다.
CloudGuard 클라우드 네이티브 보안 플랫폼의 일부인 CloudGuard Intelligence and Threat Hunting은 풍부한 머신 러닝 시각화를 통해 클라우드 네이티브 위협 보안 포렌식을 제공하여 멀티 클라우드 환경 전반에서 위협 및 이상 징후에 대한 실시간 컨텍스트를 제공합니다.
CloudGuard는 클라우드 네이티브 로그 및 이벤트 데이터를 수집하여 전체 퍼블릭 클라우드 인프라 및 클라우드 보안 분석에 대한 컨텍스트화된 시각화를 제공하여 다음을 향상시키는 데 도움이 됩니다.
- 사고 대응(클라우드 포렌식): 네트워크 활동 및 계정 동작에 대한 경고
- 네트워크 문제 해결: Amazon AWS, Microsoft Azure, Google Cloud Platform의 임시 서비스와 클라우드 네이티브 플랫폼 구성 요소를 포함한 VPC와 VNET의 실시간 구성 및 트래픽 모니터링
- 컴플라이언스: 규제 위반 및 ACE 감사에 대한 즉각적인 알림
피드백