사이버 보안 분야에서 널리 알려진 말은 충분한 시간이 주어지면 모든 시스템이 손상될 수 있다는 것입니다. 무섭게 들리겠지만 이 성명서는 사이버 보안의 진정한 본질을 강조합니다.
최선의 보안 조치도 완벽한 것은 아닙니다. 위협은 끊임없이 진화하고 있으며 새로운 공격 방식이 만들어지고 있습니다. 시스템에 대한 공격은 불가피하다고 가정하는 것이 안전합니다.
따라서 시스템의 보안을 보호하려는 모든 조직은 공격이 발생하기 전에도 위협 식별에 투자해야 합니다. 위협을 조기에 탐지함으로써 조직은 피해 통제 조치를 신속하게 구현하여 공격의 위험과 영향을 최소화하고 본격적인 공격을 전개하기 전에 공격자를 막을 수 있습니다.
공격을 중지하는 것 외에도 위협 탐지는 데이터를 훔치고 향후 공격에 사용할 정보를 수집하거나 향후 악용될 수 있는 허점을 남길 수 있는 악의적인 행위자를 제거할 수 있습니다.
악의적인 행위자가 악용하기 전에 위협과 취약성을 탐지하는 좋은 방법은 위협 헌팅을 이용하는 것입니다.
목차
위협 사냥
데이터 유출, 맬웨어 공격 또는 서비스 거부 공격과 같은 사이버 공격이 발생할 때마다 사이버 공격자가 한동안 시스템에 잠복한 결과인 경우가 많습니다. 이것은 며칠에서 몇 주 또는 심지어 몇 달까지 걸릴 수 있습니다.
공격자가 네트워크에서 탐지되지 않은 채 더 많은 시간을 보낼수록 더 많은 피해를 입힐 수 있습니다. 따라서 실제로 공격을 시작하기 전에 감지되지 않고 네트워크에 잠복할 수 있는 공격자를 걸러내는 것이 필요합니다. 이것은 위협 사냥이 들어오는 곳입니다.
위협 헌팅은 보안 전문가가 네트워크에서 철저한 검색을 수행하여 기존 보안 조치를 회피했을 수 있는 잠재적인 위협 또는 취약성을 발견하고 근절하는 사전 사이버 보안 조치입니다.
자동 위협 감지와 같은 수동적 사이버 보안 조치와 달리 위협 헌팅은 네트워크에 잠복해 있는 위협을 나타낼 수 있는 악의적이거나 의심스러운 활동을 발견하기 위해 네트워크 엔드포인트 및 네트워크에 저장된 데이터를 심층적으로 검색하는 능동적 프로세스입니다.
위협 사냥은 네트워크에서 새롭고 알려지지 않은 위협 또는 네트워크의 방어를 회피할 수 있고 아직 해결되지 않은 위협을 제거하는 것으로 알려진 것을 찾는 것 이상입니다.
효과적인 위협 추적을 구현함으로써 조직은 공격을 실행하기 전에 악의적인 행위자를 찾아 차단하여 피해를 줄이고 시스템을 보호할 수 있습니다.
위협 찾기 작동 방식
성공적이고 효과적인 위협 사냥은 사이버 보안 전문가가 보유한 직관, 전략적, 윤리적, 비판적 사고 및 문제 해결 기술에 크게 의존합니다. 이러한 고유한 인간 기술은 자동화된 보안 시스템을 통해 수행할 수 있는 작업을 보완합니다.
위협 헌트를 수행하기 위해 보안 전문가는 위협 헌트를 수행할 네트워크 및 시스템의 범위를 정의하고 이해하는 것부터 시작합니다. 그런 다음 로그 파일 및 트래픽 데이터와 같은 모든 관련 데이터가 수집 및 분석됩니다.
사내 보안 전문가는 일반적으로 네트워크와 시스템을 명확하게 이해하고 있으므로 이러한 초기 단계에서 매우 중요합니다.
수집된 보안 데이터는 다양한 기술을 사용하여 분석되어 이상, 숨겨진 맬웨어 또는 공격자, 의심스럽거나 위험한 활동, 보안 시스템에서 해결된 것으로 표시되었지만 실제로는 해결되지 않은 위협을 식별합니다.
위협이 감지되면 악의적인 행위자의 악용을 방지하기 위해 조사 및 해결됩니다. 악의적인 행위자가 발견되는 경우 시스템에서 삭제되며 시스템의 추가 보안 및 손상을 방지하기 위한 조치가 구현됩니다.
위협 찾기는 조직에 보안 조치에 대해 배우고 시스템을 개선하여 보안을 강화하고 향후 공격을 방지할 수 있는 기회를 제공합니다.
위협 헌팅의 중요성
위협 사냥의 이점 중 일부는 다음과 같습니다.
본격적인 사이버 공격의 피해 감소
위협 사냥은 보다 치명적인 공격을 수행할 수 있을 만큼 민감한 데이터를 충분히 수집하기 전에 시스템을 침해한 사이버 공격자를 탐지하고 차단할 수 있는 이점이 있습니다.
공격자를 추적에서 바로 중지하면 데이터 유출로 인해 발생할 수 있는 피해가 줄어듭니다. 위협 헌팅의 사전 예방적 특성을 통해 조직은 공격에 훨씬 빠르게 대응할 수 있으므로 사이버 공격의 위험과 영향을 줄일 수 있습니다.
가양성 감소
일련의 규칙을 사용하여 위협을 탐지하고 식별하도록 구성된 자동화된 사이버 보안 도구를 사용할 때 실제 위협이 없는 경우 경고를 발생시키는 경우가 발생합니다. 이것은 존재하지 않는 위협에 대한 대응책의 배치로 이어질 수 있습니다.
사람이 주도하는 위협 헌팅은 보안 전문가가 심층 분석을 수행하고 감지된 위협의 본질에 대해 전문가의 판단을 내릴 수 있으므로 오탐을 제거합니다. 이것은 오 탐지를 제거합니다.
보안 전문가가 회사 시스템을 이해하도록 지원
보안 시스템을 설치한 후 발생하는 문제는 그것이 효과적인지 여부를 확인하는 것입니다. 위협 추적은 보안 전문가가 설치된 보안 조치를 벗어날 수 있는 위협을 탐지하고 제거하기 위해 심층 조사 및 분석을 수행하므로 이 질문에 답할 수 있습니다.
이것은 또한 사내 보안 전문가가 시스템, 작동 방식 및 보안을 강화하는 방법을 더 잘 이해할 수 있는 이점이 있습니다.
보안 팀을 최신 상태로 유지
위협 헌트 수행에는 사용 가능한 최신 기술을 사용하여 위협과 취약점이 악용되기 전에 탐지하고 완화하는 것이 포함됩니다.
이는 조직의 보안 팀이 위협 환경을 최신 상태로 유지하고 악용될 수 있는 알려지지 않은 취약점을 발견하는 데 적극적으로 참여하는 데 도움이 됩니다.
이러한 선제적 활동을 통해 보안 팀은 새롭게 등장하는 위협에 대한 정보를 더 잘 준비하여 공격자에게 놀라지 않도록 할 수 있습니다.
조사 시간 단축
정기적인 위협 사냥은 공격이 발생할 경우 조사 프로세스를 가속화하는 데 활용할 수 있는 지식 은행을 생성합니다.
위협 헌팅에는 감지된 시스템 및 취약성에 대한 심층 연구 및 분석이 포함됩니다. 결과적으로 시스템 및 해당 보안에 대한 지식이 축적됩니다.
따라서 공격이 발생한 경우 조사는 이전 위협 헌트에서 수집된 데이터를 활용하여 조사 프로세스를 훨씬 빠르게 수행할 수 있으므로 조직은 공격에 더 빠르고 효과적으로 대응할 수 있습니다.
조직은 정기적인 위협 사냥을 통해 엄청난 이익을 얻을 수 있습니다.
위협 헌팅과 위협 인텔리전스
조직의 사이버 보안을 강화하기 위해 관련되고 종종 함께 사용되지만 위협 인텔리전스와 위협 헌팅은 별개의 개념입니다.
위협 인텔리전스에는 사이버 위협 및 공격 배후에 있는 위협 행위자의 전술, 기술, 절차, 동기, 대상 및 행동을 이해하기 위해 새로운 사이버 위협과 기존 사이버 위협에 대한 데이터를 수집하고 분석하는 작업이 포함됩니다.
그런 다음 이 정보는 사이버 공격을 감지, 방지 및 완화하는 데 도움이 되도록 조직과 공유됩니다.
반면에 위협 사냥은 시스템에 존재할 수 있는 잠재적인 위협과 취약점을 검색하여 위협 행위자가 악용하기 전에 이를 해결하는 사전 예방적 프로세스입니다. 이 프로세스는 보안 전문가가 주도합니다. 위협 인텔리전스 정보는 위협 사냥을 수행하는 보안 전문가가 사용합니다.
위협 사냥의 유형
위협 사냥에는 세 가지 주요 유형이 있습니다. 여기에는 다음이 포함됩니다.
#1. 구조화된 사냥
IoA(Indicator of Attack) 기반 위협 헌팅입니다. 공격 지표는 시스템이 현재 권한이 없는 행위자에 의해 액세스되고 있다는 증거입니다. IoA는 데이터 유출 전에 발생합니다.
따라서 구조화된 헌팅은 공격자를 식별하고 공격자가 달성하려는 대상을 식별하고 피해를 입히기 전에 대응하기 위해 공격자가 사용하는 전술, 기술 및 절차(TTP)와 일치합니다.
#2. 구조화되지 않은 사냥
IoC(Indicator of Compromise)를 기반으로 수행되는 일종의 위협 헌팅입니다. 손상의 지표는 보안 위반이 발생했으며 과거에 권한이 없는 행위자가 시스템에 액세스했다는 증거입니다. 이러한 유형의 위협 추적에서 보안 전문가는 손상 지표가 식별되기 전과 후에 네트워크 전체에서 패턴을 찾습니다.
#삼. 상황 또는 엔티티 기반
이는 조직의 시스템 및 발견된 취약점에 대한 내부 위험 평가를 기반으로 한 위협 사냥입니다. 보안 전문가는 외부에서 사용할 수 있는 최신 공격 데이터를 사용하여 시스템에서 유사한 패턴과 공격 동작을 찾습니다.
위협 사냥의 핵심 요소
효과적인 위협 사냥에는 시스템의 잠재적인 위협을 나타낼 수 있는 의심스러운 동작과 패턴을 식별하기 위한 심층적인 데이터 수집 및 분석이 포함됩니다.
시스템에서 이러한 활동이 감지되면 고급 보안 조사 도구를 사용하여 완전히 조사하고 이해해야 합니다.
그런 다음 조사를 통해 발견된 취약점을 해결하고 공격자가 악용하기 전에 위협을 조정하기 위해 구현할 수 있는 실행 가능한 전략을 산출해야 합니다.
프로세스의 마지막 핵심 구성 요소는 위협 헌트 결과를 보고하고 조직의 시스템을 더 잘 보호하기 위해 구현할 수 있는 권장 사항을 제공하는 것입니다.
위협 헌팅 단계
이미지 출처: 마이크로소프트
효과적인 위협 사냥에는 다음 단계가 포함됩니다.
#1. 가설 수립
위협 헌팅은 공격에 의해 악용될 수 있는 알려지지 않은 위협 또는 취약성을 발견하는 것을 목표로 합니다. 위협 사냥은 미지의 것을 찾는 것을 목표로 하기 때문에 첫 번째 단계는 조직 시스템의 보안 상태 및 취약성에 대한 지식을 기반으로 가설을 공식화하는 것입니다.
이 가설은 위협 사냥에 영향을 미치고 전체 연습을 위한 전략을 세울 수 있는 토대를 제공합니다.
#2. 데이터 수집 및 분석
가설이 수립되면 다음 단계는 가설을 증명하거나 승인하지 않기 위해 네트워크 로그에서 데이터 및 위협 인텔리전스를 수집하는 것입니다. 데이터 수집 및 분석을 위해 특수 도구를 사용할 수 있습니다.
#삼. 트리거 식별
트리거는 추가 심층 조사가 필요한 의심스러운 사례입니다. 데이터 수집 및 분석에서 얻은 정보는 네트워크에 권한이 없는 행위자의 존재와 같은 초기 가설을 증명할 수 있습니다.
수집된 데이터를 분석하는 동안 시스템의 의심스러운 동작이 발견될 수 있습니다. 이러한 의심스러운 활동은 추가 조사가 필요한 트리거입니다.
#4. 조사
시스템에서 트리거가 발견되면 당면한 위험의 전체 특성, 사건이 발생했을 수 있는 방법, 공격자의 동기 및 공격의 잠재적 영향을 이해하기 위해 조사됩니다. 이 조사 단계의 결과는 발견되지 않은 위험을 해결하기 위해 시행될 조치를 알려줍니다.
#5. 해결
위협이 완전히 조사되고 이해되면 위험을 해결하고 향후 공격을 방지하며 공격자가 악용할 수 있는 새로 발견된 취약성 또는 기술을 해결하기 위해 기존 시스템의 보안을 개선하기 위한 전략이 구현됩니다.
모든 단계가 완료되면 연습을 반복하여 더 많은 취약점을 찾고 시스템을 더 안전하게 보호합니다.
위협 사냥의 과제
위협 사냥에서 발생하는 몇 가지 주요 과제는 다음과 같습니다.
숙련된 인력 부족
Threat Hunting은 사람이 주도하는 보안 활동이므로 그 효과는 활동을 수행하는 Threat Hunter의 기술과 경험에 크게 좌우됩니다.
더 많은 경험과 기술을 통해 위협 사냥꾼은 기존 보안 시스템이나 다른 보안 담당자를 놓치는 취약점이나 위협을 식별할 수 있습니다. 전문적인 위협 사냥꾼을 확보하고 유지하는 것은 조직에 비용이 많이 들고 어려운 일입니다.
알려지지 않은 위협 식별의 어려움
위협 헌팅은 기존 보안 시스템을 회피한 위협을 식별해야 하기 때문에 수행하기가 매우 어렵습니다. 따라서 이러한 위협에는 쉽게 식별할 수 있는 알려진 서명이나 패턴이 없으므로 전체를 매우 어렵게 만듭니다.
종합적인 데이터 수집
위협 사냥은 가설 테스트 및 트리거 조사를 안내하기 위해 시스템 및 위협에 대한 대량의 데이터 수집에 크게 의존합니다.
이 데이터 수집은 고급 타사 도구가 필요할 수 있으므로 어려울 수 있으며 데이터 개인 정보 보호 규정을 준수하지 않을 위험도 있습니다. 또한 전문가는 수행하기 어려울 수 있는 많은 양의 데이터로 작업해야 합니다.
최신 위협 인텔리전스 유지
위협 추적이 성공적이고 효과적이려면 연습을 수행하는 전문가가 공격자가 사용하는 전술, 기술 및 절차에 대한 최신 위협 인텔리전스와 지식을 보유해야 합니다.
공격에 사용되는 최신 전술, 기술 및 절차에 대한 정보에 액세스하지 못하면 전체 위협 추적 프로세스가 방해를 받고 효과가 없게 될 수 있습니다.
결론
위협 찾기는 조직이 시스템 보안을 강화하기 위해 구현을 고려해야 하는 사전 예방적 프로세스입니다.
공격자는 시스템의 취약점을 악용하는 방법을 찾기 위해 24시간 내내 작업하기 때문에 공격자가 취약점과 새로운 위협을 발견하고 악용하여 조직에 해를 입히기 전에 조직이 능동적으로 대응하여 취약점과 새로운 위협을 찾는 것이 좋습니다.
IT 보안 전문가를 위한 몇 가지 무료 포렌식 조사 도구를 탐색할 수도 있습니다.