🥇위협 사냥, 또는 5%의 위협으로부터 자신을 보호하는 방법

정보 보안 위협의 95%는 알려져 있으며, 바이러스 백신, 방화벽, IDS, WAF와 같은 전통적인 수단을 사용하여 이러한 위협으로부터 자신을 보호할 수 있습니다. 나머지 5%의 위협은 알려지지 않았으며 가장 위험합니다. 이는 탐지하기가 매우 어렵고 보호가 훨씬 어렵기 때문에 회사 위험의 70%를 차지합니다. 예 "검은 백조" WannaCry 랜섬웨어 전염병, NotPetya/ExPetr, 암호화폐 채굴자, "사이버 무기" Stuxnet(이란의 핵 시설을 공격한 것) 및 기타 많은 공격(Kido/Conficker를 기억하는 사람이 있습니까?)은 전통적인 보안 조치로는 잘 방어되지 않습니다. Threat Hunting 기술을 사용하여 이러한 5% 위협에 대응하는 방법에 대해 이야기하고 싶습니다.

사이버 공격의 지속적인 진화에는 지속적인 탐지와 대응이 필요하며, 이는 궁극적으로 공격자와 방어자 사이의 끝없는 군비 경쟁을 생각하게 합니다. 기존 보안 시스템은 특정 인프라에 맞게 수정하지 않으면 위험 수준이 회사의 주요 지표(경제, 정치, 평판)에 영향을 미치지 않는 허용 가능한 수준의 보안을 더 이상 제공할 수 없지만 일반적으로 다음 중 일부를 포괄합니다. 위험. 이미 구현 및 구성 과정에서 현대 보안 시스템은 따라잡는 역할을 맡고 있으며 새로운 시대의 과제에 대응해야 합니다.

출처

Threat Hunting 기술은 정보 보안 전문가가 직면한 당면 과제에 대한 해답 중 하나일 수 있습니다. Threat Hunting(이하 TH)이라는 용어는 몇 년 전에 등장했습니다. 기술 자체는 매우 흥미롭지만 아직 일반적으로 인정되는 표준이나 규칙이 없습니다. 정보 소스의 이질성과 이 주제에 대한 러시아어 정보 소스의 수가 적기 때문에 문제는 더욱 복잡해집니다. 이에 대해 LANIT-Integration에서는 이 기술에 대한 리뷰를 작성하기로 결정했습니다.

위협 사냥의 정의

따라서 Threat Hunting은 기존 보안 도구로는 탐지할 수 없는 지능형 위협을 사전 예방적이고 반복적으로 검색하고 탐지하는 프로세스입니다. 지능형 위협에는 APT 등의 공격, 제로데이 취약점 공격, Living off the Land 등이 포함됩니다.

TH는 가설을 테스트하는 과정이라고 바꿔 말할 수도 있습니다. 이는 분석가가 자신의 지식과 기술에 의존하여 특정 위협의 존재에 대해 초기에 결정된 가설에 해당하는 손상 징후를 찾기 위해 대량의 정보를 조사하는 자동화 요소가 포함된 주로 수동 프로세스입니다. 그 특징은 다양한 정보 소스입니다.

Threat Hunting은 일종의 소프트웨어나 하드웨어 제품이 아니라는 점에 유의해야 합니다. 이는 일부 솔루션에서 볼 수 있는 경고가 아닙니다. 이는 IOC(침해 식별자) 검색 프로세스가 아닙니다. 그리고 이것은 정보 보안 분석가의 참여 없이 발생하는 일종의 수동적 활동이 아닙니다. 위협 사냥은 무엇보다도 프로세스입니다.

위협 사냥의 구성 요소

Threat Hunting의 세 가지 주요 구성 요소는 데이터, 기술, 사람입니다.

데이터(뭐?), 빅데이터를 포함합니다. 모든 종류의 트래픽 흐름, 이전 APT에 대한 정보, 분석, 사용자 활동에 대한 데이터, 네트워크 데이터, 직원 정보, 다크넷 정보 등.

기술(어떻게?) 이 데이터 처리 - 기계 학습을 포함하여 이 데이터를 처리하는 가능한 모든 방법입니다.

사람들(누구?) – 다양한 공격에 대한 분석 경험이 풍부하고, 직관력과 공격 탐지 능력이 발달한 사람. 일반적으로 이들은 가설을 생성하고 이에 대한 확인을 찾는 능력이 있어야 하는 정보 보안 분석가입니다. 이는 프로세스의 주요 링크입니다.

모델 파리

아담 베이트먼 기술하다 이상적인 TH 공정을 위한 PARIS 모델입니다. 이름은 프랑스의 유명한 랜드마크를 암시합니다. 이 모델은 위와 아래의 두 방향에서 볼 수 있습니다.

모델을 아래에서 위로 작업하면서 악의적인 활동에 대한 많은 증거를 접하게 됩니다. 각 증거에는 신뢰도라는 척도가 있는데, 이는 이 증거의 가중치를 반영하는 특성입니다. 악의적인 활동의 직접적인 증거인 "철"이 있습니다. 이를 통해 우리는 즉시 피라미드 꼭대기에 도달하고 정확하게 알려진 감염에 대한 실제 경고를 생성할 수 있습니다. 그리고 간접적인 증거도 있는데, 그 증거의 합이 우리를 피라미드의 꼭대기로 이끌 수도 있습니다. 늘 그렇듯이 직접적인 증거보다 간접적인 증거가 훨씬 많기 때문에 이를 분류하고 분석해야 하며 추가 조사를 수행해야 하며 이를 자동화하는 것이 좋습니다.

모델 파리. 출처

모델의 상단(1, 2)은 자동화 기술과 다양한 분석을 기반으로 하고, 하단(3, 4)은 프로세스를 관리하는 특정 자격을 갖춘 인력을 기반으로 합니다. 위에서 아래로 이동하는 모델을 고려해 볼 수 있습니다. 파란색의 위쪽 부분에는 높은 신뢰도를 지닌 기존 보안 도구(바이러스 백신, EDR, 방화벽, 서명)의 경고가 있고 아래에는 표시기( IOC, URL, MD5 등)의 경우 확실성이 낮고 추가 연구가 필요합니다. 그리고 가장 낮고 가장 두꺼운 수준(4)은 가설 생성, 전통적인 보호 수단의 작동을 위한 새로운 시나리오 생성입니다. 이 수준은 지정된 가설 소스에만 국한되지 않습니다. 수준이 낮을수록 분석가의 자격에 더 많은 요구 사항이 적용됩니다.

분석가가 미리 결정된 유한한 가설 세트를 단순히 테스트하는 것이 아니라 이를 테스트하기 위한 새로운 가설과 옵션을 생성하기 위해 끊임없이 노력하는 것이 매우 중요합니다.

TH 사용 성숙도 모델

이상적인 세계에서 TH는 지속적인 프로세스입니다. 하지만 이상적인 세계는 없기 때문에 분석해보자. 성숙도 모델 사용되는 사람, 프로세스 및 기술 측면에서 방법. 이상적인 구형 TH의 모델을 고려해 보겠습니다. 이 기술을 사용하는 데에는 5가지 레벨이 있습니다. 단일 분석가 팀의 진화 사례를 통해 이를 살펴보겠습니다.

성숙도 수준
사람들
프로세스
기술

0 수준
SOC 분석가
24/7
전통 악기:

전통적인
경고 세트
수동적 모니터링
IDS, AV, 샌드박싱,

TH 없이
경고 작업

서명 분석 도구, 위협 인텔리전스 데이터.

1 수준
SOC 분석가
일회성 TH
EDR

실험적
법의학에 대한 기본 지식
IOC 검색
네트워크 장치의 데이터를 부분적으로 적용

TH 실험
네트워크 및 애플리케이션에 대한 지식이 풍부함

부분 적용

2 수준
임시 직업
스프린트
EDR

주기적
법의학에 대한 평균 지식
주별
전체 적용

임시TH
네트워크 및 애플리케이션에 대한 탁월한 지식
일반TH
EDR 데이터 사용의 완전 자동화

고급 EDR 기능의 부분적 사용

3 수준
전용 TH 명령
24/7
가설을 검정하는 부분적 능력 TH

예방
법의학 및 악성 코드에 대한 탁월한 지식
예방TH
고급 EDR 기능을 최대한 활용

특수 사례 TH
공격측에 대한 뛰어난 지식
특수 사례 TH
네트워크 장치의 전체 데이터 범위

귀하의 요구에 맞는 구성

4 수준
전용 TH 명령
24/7
TH 가설을 테스트할 수 있는 완전한 능력

주요한
법의학 및 악성 코드에 대한 탁월한 지식
예방TH
레벨 3 및 추가:

TH 사용
공격측에 대한 뛰어난 지식
가설의 테스트, 자동화 및 검증 TH
데이터 소스의 긴밀한 통합;

연구능력

필요에 따른 개발 및 API의 비표준 사용.

인력, 프로세스, 기술별 TH 성숙도 수준

레벨 0: TH를 사용하지 않고 전통적입니다. 일반 분석가는 IDS, AV, 샌드박스, 서명 분석 도구와 같은 표준 도구 및 기술을 사용하여 패시브 모니터링 모드에서 표준 경고 세트로 작업합니다.

레벨 1: TH를 사용하여 실험적입니다. 포렌식에 대한 기본 지식과 네트워크 및 애플리케이션에 대한 풍부한 지식을 갖춘 동일한 분석가가 손상 지표를 검색하여 일회성 위협 헌팅을 수행할 수 있습니다. EDR은 네트워크 장치의 데이터를 부분적으로 다루는 도구에 추가됩니다. 도구는 부분적으로 사용됩니다.

레벨 2: 주기적, 임시 TH. 포렌식, 네트워크 및 애플리케이션 부분에 대한 지식을 이미 업그레이드한 동일한 분석가는 예를 들어 한 달에 한 번씩 정기적으로 Threat Hunting(스프린트)에 참여해야 합니다. 이 도구에는 네트워크 장치의 데이터 전체 탐색, EDR의 데이터 분석 자동화, 고급 EDR 기능의 부분 사용이 추가됩니다.

레벨 3: TH의 예방적이고 빈번한 사례. 우리 분석가들은 전담 팀으로 조직되어 법의학 및 악성 코드에 대한 탁월한 지식은 물론 공격 측의 방법과 전술에 대한 지식을 갖추기 시작했습니다. 이 프로세스는 이미 연중무휴로 수행됩니다. 팀은 네트워크 장치의 전체 데이터를 포괄하는 EDR의 고급 기능을 완전히 활용하면서 TH 가설을 부분적으로 테스트할 수 있습니다. 분석가는 자신의 필요에 맞게 도구를 구성할 수도 있습니다.

레벨 4: 하이엔드라면 TH를 사용하세요. 동일한 팀은 연구 능력, TH 가설 테스트 프로세스를 생성 및 자동화하는 능력을 획득했습니다. 이제 데이터 소스의 긴밀한 통합, 요구 사항을 충족하는 소프트웨어 개발, 비표준 API 사용을 통해 도구가 보완되었습니다.

위협 사냥 기술

기본 위협 사냥 기술

К 기술자 TH는 사용된 기술의 성숙도에 따라 기본 검색, 통계 분석, 시각화 기술, 단순 집계, 기계 학습, 베이지안 방법입니다.

가장 간단한 방법인 기본 검색은 특정 쿼리를 사용하여 연구 영역을 좁히는 데 사용됩니다. 예를 들어, 통계 분석은 통계 모델의 형태로 일반적인 사용자 또는 네트워크 활동을 구성하는 데 사용됩니다. 시각화 기술은 데이터 분석을 그래프와 차트 형태로 시각적으로 표시하고 단순화하는 데 사용되며, 이를 통해 샘플의 패턴을 훨씬 쉽게 식별할 수 있습니다. 검색 및 분석을 최적화하기 위해 주요 필드별 단순 집계 기술을 사용합니다. 조직의 TH 프로세스가 성숙할수록 기계 학습 알고리즘 사용의 관련성이 높아집니다. 또한 스팸 필터링, 악성 트래픽 탐지, 사기 활동 탐지에도 널리 사용됩니다. 보다 발전된 유형의 기계 학습 알고리즘은 분류, 표본 크기 감소 및 주제 모델링을 허용하는 베이지안 방법입니다.

다이아몬드 모델 및 TH 전략

Sergio Caltagiron, Andrew Pendegast 및 Christopher Betz의 작업 "침입 분석의 다이아몬드 모델» 모든 악성 활동의 주요 핵심 구성 요소와 이들 간의 기본 연결을 보여주었습니다.

악의적인 활동을 위한 다이아몬드 모델

이 모델에 따르면 해당 핵심 구성 요소를 기반으로 하는 4가지 Threat Hunting 전략이 있습니다.

1. 피해자 중심 전략. 우리는 피해자에게 반대자가 있고 그들이 이메일을 통해 "기회"를 전달할 것이라고 가정합니다. 메일에서 적 데이터를 찾고 있습니다. 링크, 첨부파일 등을 검색하세요. 우리는 이 가설에 대한 확인을 일정 기간(XNUMX개월, XNUMX주) 동안 찾고 있는데, 찾지 못하면 가설이 작동하지 않은 것입니다.

2. 인프라 중심 전략. 이 전략을 사용하는 방법에는 여러 가지가 있습니다. 접근성과 가시성에 따라 일부는 다른 것보다 쉽습니다. 예를 들어, 우리는 악성 도메인을 호스팅하는 것으로 알려진 도메인 이름 서버를 모니터링합니다. 또는 공격자가 사용하는 알려진 패턴에 대해 모든 새로운 도메인 이름 등록을 모니터링하는 프로세스를 진행합니다.

3. 역량 중심 전략. 대부분의 네트워크 방어자가 사용하는 피해자 중심 전략 외에도 기회 중심 전략이 있습니다. 이는 두 번째로 인기가 높은 것으로, 적의 기능, 즉 "맬웨어"와 psexec, powershell, certutil 등과 같은 적법한 도구를 사용하는 적의 능력을 탐지하는 데 중점을 둡니다.

4. 적 중심 전략. 적 중심 접근 방식은 적 자신에게 초점을 맞춥니다. 여기에는 공개적으로 이용 가능한 소스(OSINT)의 공개 정보 사용, 적, 그의 기술 및 방법(TTP)에 대한 데이터 수집, 이전 사건 분석, 위협 인텔리전스 데이터 등이 포함됩니다.

TH의 정보 및 가설의 출처

Threat Hunting에 대한 일부 정보 소스

정보의 출처는 다양할 수 있습니다. 이상적인 분석가는 주변의 모든 것에서 정보를 추출할 수 있어야 합니다. 거의 모든 인프라의 일반적인 소스는 DLP, SIEM, IDS/IPS, WAF/FW, EDR과 같은 보안 도구의 데이터입니다. 또한 일반적인 정보 소스는 다양한 손상 지표, 위협 인텔리전스 서비스, CERT 및 OSINT 데이터입니다. 또한 다크넷에서 얻은 정보(예: 갑자기 조직 책임자의 메일함을 해킹하라는 명령이 내려지거나 네트워크 엔지니어 직위 후보자가 활동으로 인해 노출됨), 다음에서 받은 정보를 사용할 수 있습니다. HR(이전 근무지의 후보자 리뷰), 보안 서비스 정보(예: 상대방 확인 결과).

그러나 사용 가능한 모든 소스를 사용하기 전에 최소한 하나의 가설을 세워야 합니다.

출처

가설을 검증하려면 먼저 가설을 제시해야 합니다. 그리고 수준 높은 가설을 많이 제시하기 위해서는 체계적인 접근이 필요하다. 가설을 생성하는 과정은 다음 항목에 자세히 설명되어 있습니다. 기사, 이 계획을 가설을 제시하는 과정의 기초로 삼는 것이 매우 편리합니다.

가설의 주요 출처는 다음과 같습니다. 공격&CK 매트릭스 (적대적 전술, 기술 및 상식). 본질적으로 공격의 마지막 단계에서 활동을 수행하는 공격자의 행동을 평가하기 위한 지식 기반 및 모델이며 일반적으로 킬 체인(Kill Chain) 개념을 사용하여 설명됩니다. 즉, 공격자가 기업 내부 네트워크나 모바일 장치에 침투한 이후 단계입니다. 지식베이스에는 원래 공격에 사용되는 121가지 전술과 기법에 대한 설명이 포함되어 있었는데, 각 내용은 위키 형식으로 자세히 설명되어 있습니다. 다양한 위협 인텔리전스 분석은 가설 생성을 위한 소스로 매우 적합합니다. 특히 주목할 만한 것은 인프라 분석과 침투 테스트의 결과입니다. 이는 특정 단점이 있는 특정 인프라를 기반으로 한다는 사실로 인해 우리에게 확실한 가설을 제공할 수 있는 가장 귀중한 데이터입니다.

가설 검정 과정

Sergei Soldatov가 가져 왔습니다. 좋은 다이어그램 프로세스에 대한 자세한 설명과 함께 단일 시스템에서 TH 가설을 테스트하는 프로세스를 보여줍니다. 간단한 설명과 함께 주요 단계를 알려 드리겠습니다.

출처

1단계: TI 농장

이 단계에서 강조해야 할 점은 사물 (모든 위협 데이터와 함께 분석하여) 특성에 대한 레이블을 할당합니다. 파일, URL, MD5, 프로세스, 유틸리티, 이벤트입니다. 위협 인텔리전스 시스템을 통과할 때 태그를 첨부해야 합니다. 즉, 이 사이트는 이러저러한 해에 CNC에서 발견되었으며, 이 MD5는 이러저러한 악성 코드와 관련이 있었고, 이 MD5는 악성 코드를 배포하는 사이트에서 다운로드되었습니다.

2단계: 사례

두 번째 단계에서는 이러한 개체 간의 상호 작용을 살펴보고 모든 개체 간의 관계를 식별합니다. 우리는 나쁜 일을 하는 시스템으로 표시됩니다.

3단계: 분석가

세 번째 단계에서는 분석 경험이 풍부한 숙련된 분석가에게 사건이 이관되어 판결을 내립니다. 그는 이 코드가 무엇을, 어디서, 어떻게, 왜, 왜 수행하는지 바이트 단위로 분석합니다. 이 몸은 악성코드였고, 이 컴퓨터도 감염됐다. 객체 간의 연결을 드러내고, 샌드박스를 통해 실행한 결과를 확인합니다.

분석가의 작업 결과는 추가로 전송됩니다. 디지털 포렌식은 이미지를 조사하고, 악성 코드 분석은 발견된 "본체"를 조사하며, 사고 대응 팀은 사이트로 이동하여 이미 존재하는 내용을 조사할 수 있습니다. 작업의 결과는 확인된 가설, 확인된 공격 및 이에 대응하는 방법이 될 것입니다.

출처

결과

위협 헌팅(Threat Hunting)은 맞춤형, 신규, 비표준 위협에 효과적으로 대응할 수 있는 상당히 신생 기술로, 이러한 위협의 수가 증가하고 기업 인프라가 점점 복잡해지는 상황에서 전망이 매우 밝습니다. 데이터, 도구, 분석가라는 세 가지 구성 요소가 필요합니다. Threat Hunting의 이점은 위협 구현을 방지하는 데만 국한되지 않습니다. 검색 과정에서 우리는 보안 분석가의 시각을 통해 인프라와 그 약점을 파헤치고 이러한 점을 더욱 강화할 수 있다는 점을 잊지 마십시오.

우리의 의견으로는 귀하의 조직에서 TH 프로세스를 시작하기 위해 취해야 할 첫 번째 단계입니다.

엔드포인트와 네트워크 인프라를 보호하십시오. 네트워크의 모든 프로세스에 대한 가시성(NetFlow) 및 제어(방화벽, IDS, IPS, DLP)를 관리하십시오. 에지 라우터부터 마지막 호스트까지 네트워크를 파악하세요.
탐구하다 MITER ATT & CK.
적어도 주요 외부 리소스에 대해 정기적인 침투 테스트를 수행하고, 결과를 분석하고, 주요 공격 대상을 식별하고 취약점을 해결합니다.
오픈소스 Threat Intelligence 시스템(예: MISP, Yeti)을 구현하고 이와 연계하여 로그를 분석합니다.
사고 대응 플랫폼(IRP) 구현: R-Vision IRP, The Hive, 의심스러운 파일 분석을 위한 샌드박스(FortiSandbox, Cuckoo).
일상적인 프로세스를 자동화합니다. 로그 분석, 사건 기록, 직원에게 알리는 것은 자동화의 거대한 분야입니다.
엔지니어, 개발자 및 기술 지원과 효과적으로 상호 작용하여 사고에 대해 협업하는 방법을 알아보세요.
나중에 다시 확인하거나 이 데이터를 동료와 공유할 수 있도록 전체 프로세스, 핵심 사항, 달성된 결과를 문서화합니다.
사교적이어야 합니다. 직원에게 무슨 일이 일어나고 있는지, 누구를 고용하는지, 누구에게 조직의 정보 자원에 대한 액세스 권한을 부여하는지 파악하십시오.
새로운 위협 및 보호 방법 분야의 추세를 파악하고, 기술 지식 수준을 높이고(IT 서비스 및 하위 시스템 운영 포함), 컨퍼런스에 참석하고 동료와 소통하십시오.

의견에서 TH 프로세스의 구성에 대해 논의할 준비가 되었습니다.

아니면 우리와 함께 일해보세요!

연구할 소스 및 자료

출처 : habr.com

위협 사냥, 또는 5%의 위협으로부터 자신을 보호하는 방법

관련성