์ ๋ณด ๋ณด์ ์ํ์ 95%๋ ์๋ ค์ ธ ์์ผ๋ฉฐ, ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ , ๋ฐฉํ๋ฒฝ, IDS, WAF์ ๊ฐ์ ์ ํต์ ์ธ ์๋จ์ ์ฌ์ฉํ์ฌ ์ด๋ฌํ ์ํ์ผ๋ก๋ถํฐ ์์ ์ ๋ณดํธํ ์ ์์ต๋๋ค. ๋๋จธ์ง 5%์ ์ํ์ ์๋ ค์ง์ง ์์์ผ๋ฉฐ ๊ฐ์ฅ ์ํํฉ๋๋ค. ์ด๋ ํ์งํ๊ธฐ๊ฐ ๋งค์ฐ ์ด๋ ต๊ณ ๋ณดํธ๊ฐ ํจ์ฌ ์ด๋ ต๊ธฐ ๋๋ฌธ์ ํ์ฌ ์ํ์ 70%๋ฅผ ์ฐจ์งํฉ๋๋ค. ์
์ฌ์ด๋ฒ ๊ณต๊ฒฉ์ ์ง์์ ์ธ ์งํ์๋ ์ง์์ ์ธ ํ์ง์ ๋์์ด ํ์ํ๋ฉฐ, ์ด๋ ๊ถ๊ทน์ ์ผ๋ก ๊ณต๊ฒฉ์์ ๋ฐฉ์ด์ ์ฌ์ด์ ๋์๋ ๊ตฐ๋น ๊ฒฝ์์ ์๊ฐํ๊ฒ ํฉ๋๋ค. ๊ธฐ์กด ๋ณด์ ์์คํ
์ ํน์ ์ธํ๋ผ์ ๋ง๊ฒ ์์ ํ์ง ์์ผ๋ฉด ์ํ ์์ค์ด ํ์ฌ์ ์ฃผ์ ์งํ(๊ฒฝ์ , ์ ์น, ํํ)์ ์ํฅ์ ๋ฏธ์น์ง ์๋ ํ์ฉ ๊ฐ๋ฅํ ์์ค์ ๋ณด์์ ๋ ์ด์ ์ ๊ณตํ ์ ์์ง๋ง ์ผ๋ฐ์ ์ผ๋ก ๋ค์ ์ค ์ผ๋ถ๋ฅผ ํฌ๊ดํฉ๋๋ค. ์ํ. ์ด๋ฏธ ๊ตฌํ ๋ฐ ๊ตฌ์ฑ ๊ณผ์ ์์ ํ๋ ๋ณด์ ์์คํ
์ ๋ฐ๋ผ์ก๋ ์ญํ ์ ๋งก๊ณ ์์ผ๋ฉฐ ์๋ก์ด ์๋์ ๊ณผ์ ์ ๋์ํด์ผ ํฉ๋๋ค.
Threat Hunting ๊ธฐ์ ์ ์ ๋ณด ๋ณด์ ์ ๋ฌธ๊ฐ๊ฐ ์ง๋ฉดํ ๋น๋ฉด ๊ณผ์ ์ ๋ํ ํด๋ต ์ค ํ๋์ผ ์ ์์ต๋๋ค. Threat Hunting(์ดํ TH)์ด๋ผ๋ ์ฉ์ด๋ ๋ช ๋ ์ ์ ๋ฑ์ฅํ์ต๋๋ค. ๊ธฐ์ ์์ฒด๋ ๋งค์ฐ ํฅ๋ฏธ๋กญ์ง๋ง ์์ง ์ผ๋ฐ์ ์ผ๋ก ์ธ์ ๋๋ ํ์ค์ด๋ ๊ท์น์ด ์์ต๋๋ค. ์ ๋ณด ์์ค์ ์ด์ง์ฑ๊ณผ ์ด ์ฃผ์ ์ ๋ํ ๋ฌ์์์ด ์ ๋ณด ์์ค์ ์๊ฐ ์ ๊ธฐ ๋๋ฌธ์ ๋ฌธ์ ๋ ๋์ฑ ๋ณต์กํด์ง๋๋ค. ์ด์ ๋ํด LANIT-Integration์์๋ ์ด ๊ธฐ์ ์ ๋ํ ๋ฆฌ๋ทฐ๋ฅผ ์์ฑํ๊ธฐ๋ก ๊ฒฐ์ ํ์ต๋๋ค.
๊ด๋ จ์ฑ
TH ๊ธฐ์ ์ ์ธํ๋ผ ๋ชจ๋ํฐ๋ง ํ๋ก์ธ์ค์ ์์กดํฉ๋๋ค.
๋ ๊ฐ์ง ์ ํ์ ๋ชจ๋ํฐ๋ง์ ๊ฒฐํฉํด์ผ๋ง ์ด์์ ์ ๊ฐ๊น์ด ๋ณดํธ๋ฅผ ์ป์ ์ ์์ง๋ง ํญ์ ์ผ์ ์์ค์ ์์ฌ ์ํ์ด ์์ต๋๋ค.
๋ ๊ฐ์ง ๋ชจ๋ํฐ๋ง ๋ฐฉ์์ ์ด์ฉํ ๋ณดํธ
๊ทธ๋ฆฌ๊ณ TH(๊ทธ๋ฆฌ๊ณ ์ฌ๋ฅ ์ ์ฒด)๊ฐ ์ ์ ๋ ๊ด๋ จ์ฑ์ด ๋์์ง ์ด์ ๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
์ํ, ๊ตฌ์ ์ฑ
, ์ํ.
๋ชจ๋ ํ๋ก์ ํธ๋ฅผ ์คํํ๋ ๋์
๊ฑฐ์ ๋ชจ๋ ์ฌ๋์ด ์ํ์ 5%๋ฅผ ์ฒ๋ฆฌํด์ผ ํฉ๋๋ค. ์ต๊ทผ์๋ PEAR(PHP Extension and Application Repository) ์ ์ฅ์์ ์ ํ๋ฆฌ์ผ์ด์
์ ์ฌ์ฉํ๋ ์คํ ์์ค ์๋ฃจ์
์ ์ค์นํด์ผ ํ์ต๋๋ค. Pear Install์ ํตํด ์ด ์ ํ๋ฆฌ์ผ์ด์
์ ์ค์นํ๋ ค๋ ์๋๊ฐ ์คํจํ์ต๋๋ค.
๋น์ ์ ์์ง๋ ๊ธฐ์ตํ ์ ์์ต๋๊น
์ํ ์ฌ๋ฅ์ ์ ์
๋ฐ๋ผ์ Threat Hunting์ ๊ธฐ์กด ๋ณด์ ๋๊ตฌ๋ก๋ ํ์งํ ์ ์๋ ์ง๋ฅํ ์ํ์ ์ฌ์ ์๋ฐฉ์ ์ด๊ณ ๋ฐ๋ณต์ ์ผ๋ก ๊ฒ์ํ๊ณ ํ์งํ๋ ํ๋ก์ธ์ค์ ๋๋ค. ์ง๋ฅํ ์ํ์๋ APT ๋ฑ์ ๊ณต๊ฒฉ, ์ ๋ก๋ฐ์ด ์ทจ์ฝ์ ๊ณต๊ฒฉ, Living off the Land ๋ฑ์ด ํฌํจ๋ฉ๋๋ค.
TH๋ ๊ฐ์ค์ ํ ์คํธํ๋ ๊ณผ์ ์ด๋ผ๊ณ ๋ฐ๊ฟ ๋งํ ์๋ ์์ต๋๋ค. ์ด๋ ๋ถ์๊ฐ๊ฐ ์์ ์ ์ง์๊ณผ ๊ธฐ์ ์ ์์กดํ์ฌ ํน์ ์ํ์ ์กด์ฌ์ ๋ํด ์ด๊ธฐ์ ๊ฒฐ์ ๋ ๊ฐ์ค์ ํด๋นํ๋ ์์ ์งํ๋ฅผ ์ฐพ๊ธฐ ์ํด ๋๋์ ์ ๋ณด๋ฅผ ์กฐ์ฌํ๋ ์๋ํ ์์๊ฐ ํฌํจ๋ ์ฃผ๋ก ์๋ ํ๋ก์ธ์ค์ ๋๋ค. ๊ทธ ํน์ง์ ๋ค์ํ ์ ๋ณด ์์ค์ ๋๋ค.
Threat Hunting์ ์ผ์ข ์ ์ํํธ์จ์ด๋ ํ๋์จ์ด ์ ํ์ด ์๋๋ผ๋ ์ ์ ์ ์ํด์ผ ํฉ๋๋ค. ์ด๋ ์ผ๋ถ ์๋ฃจ์ ์์ ๋ณผ ์ ์๋ ๊ฒฝ๊ณ ๊ฐ ์๋๋๋ค. ์ด๋ IOC(์นจํด ์๋ณ์) ๊ฒ์ ํ๋ก์ธ์ค๊ฐ ์๋๋๋ค. ๊ทธ๋ฆฌ๊ณ ์ด๊ฒ์ ์ ๋ณด ๋ณด์ ๋ถ์๊ฐ์ ์ฐธ์ฌ ์์ด ๋ฐ์ํ๋ ์ผ์ข ์ ์๋์ ํ๋์ด ์๋๋๋ค. ์ํ ์ฌ๋ฅ์ ๋ฌด์๋ณด๋ค๋ ํ๋ก์ธ์ค์ ๋๋ค.
์ํ ์ฌ๋ฅ์ ๊ตฌ์ฑ ์์
Threat Hunting์ ์ธ ๊ฐ์ง ์ฃผ์ ๊ตฌ์ฑ ์์๋ ๋ฐ์ดํฐ, ๊ธฐ์ , ์ฌ๋์
๋๋ค.
๋ฐ์ดํฐ(๋ญ?), ๋น ๋ฐ์ดํฐ๋ฅผ ํฌํจํฉ๋๋ค. ๋ชจ๋ ์ข ๋ฅ์ ํธ๋ํฝ ํ๋ฆ, ์ด์ APT์ ๋ํ ์ ๋ณด, ๋ถ์, ์ฌ์ฉ์ ํ๋์ ๋ํ ๋ฐ์ดํฐ, ๋คํธ์ํฌ ๋ฐ์ดํฐ, ์ง์ ์ ๋ณด, ๋คํฌ๋ท ์ ๋ณด ๋ฑ.
๊ธฐ์ (์ด๋ป๊ฒ?) ์ด ๋ฐ์ดํฐ ์ฒ๋ฆฌ - ๊ธฐ๊ณ ํ์ต์ ํฌํจํ์ฌ ์ด ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ๋ ๊ฐ๋ฅํ ๋ชจ๋ ๋ฐฉ๋ฒ์ ๋๋ค.
์ฌ๋๋ค(๋๊ตฌ?) โ ๋ค์ํ ๊ณต๊ฒฉ์ ๋ํ ๋ถ์ ๊ฒฝํ์ด ํ๋ถํ๊ณ , ์ง๊ด๋ ฅ๊ณผ ๊ณต๊ฒฉ ํ์ง ๋ฅ๋ ฅ์ด ๋ฐ๋ฌํ ์ฌ๋. ์ผ๋ฐ์ ์ผ๋ก ์ด๋ค์ ๊ฐ์ค์ ์์ฑํ๊ณ ์ด์ ๋ํ ํ์ธ์ ์ฐพ๋ ๋ฅ๋ ฅ์ด ์์ด์ผ ํ๋ ์ ๋ณด ๋ณด์ ๋ถ์๊ฐ์ ๋๋ค. ์ด๋ ํ๋ก์ธ์ค์ ์ฃผ์ ๋งํฌ์ ๋๋ค.
๋ชจ๋ธ ํ๋ฆฌ
์๋ด ๋ฒ ์ดํธ๋จผ
๋ชจ๋ธ์ ์๋์์ ์๋ก ์์ ํ๋ฉด์ ์ ์์ ์ธ ํ๋์ ๋ํ ๋ง์ ์ฆ๊ฑฐ๋ฅผ ์ ํ๊ฒ ๋ฉ๋๋ค. ๊ฐ ์ฆ๊ฑฐ์๋ ์ ๋ขฐ๋๋ผ๋ ์ฒ๋๊ฐ ์๋๋ฐ, ์ด๋ ์ด ์ฆ๊ฑฐ์ ๊ฐ์ค์น๋ฅผ ๋ฐ์ํ๋ ํน์ฑ์ ๋๋ค. ์ ์์ ์ธ ํ๋์ ์ง์ ์ ์ธ ์ฆ๊ฑฐ์ธ "์ฒ "์ด ์์ต๋๋ค. ์ด๋ฅผ ํตํด ์ฐ๋ฆฌ๋ ์ฆ์ ํผ๋ผ๋ฏธ๋ ๊ผญ๋๊ธฐ์ ๋๋ฌํ๊ณ ์ ํํ๊ฒ ์๋ ค์ง ๊ฐ์ผ์ ๋ํ ์ค์ ๊ฒฝ๊ณ ๋ฅผ ์์ฑํ ์ ์์ต๋๋ค. ๊ทธ๋ฆฌ๊ณ ๊ฐ์ ์ ์ธ ์ฆ๊ฑฐ๋ ์๋๋ฐ, ๊ทธ ์ฆ๊ฑฐ์ ํฉ์ด ์ฐ๋ฆฌ๋ฅผ ํผ๋ผ๋ฏธ๋์ ๊ผญ๋๊ธฐ๋ก ์ด๋ ์๋ ์์ต๋๋ค. ๋ ๊ทธ๋ ๋ฏ์ด ์ง์ ์ ์ธ ์ฆ๊ฑฐ๋ณด๋ค ๊ฐ์ ์ ์ธ ์ฆ๊ฑฐ๊ฐ ํจ์ฌ ๋ง๊ธฐ ๋๋ฌธ์ ์ด๋ฅผ ๋ถ๋ฅํ๊ณ ๋ถ์ํด์ผ ํ๋ฉฐ ์ถ๊ฐ ์กฐ์ฌ๋ฅผ ์ํํด์ผ ํ๋ฉฐ ์ด๋ฅผ ์๋ํํ๋ ๊ฒ์ด ์ข์ต๋๋ค.
๋ชจ๋ธ ํ๋ฆฌ.
๋ชจ๋ธ์ ์๋จ(1, 2)์ ์๋ํ ๊ธฐ์ ๊ณผ ๋ค์ํ ๋ถ์์ ๊ธฐ๋ฐ์ผ๋ก ํ๊ณ , ํ๋จ(3, 4)์ ํ๋ก์ธ์ค๋ฅผ ๊ด๋ฆฌํ๋ ํน์ ์๊ฒฉ์ ๊ฐ์ถ ์ธ๋ ฅ์ ๊ธฐ๋ฐ์ผ๋ก ํฉ๋๋ค. ์์์ ์๋๋ก ์ด๋ํ๋ ๋ชจ๋ธ์ ๊ณ ๋ คํด ๋ณผ ์ ์์ต๋๋ค. ํ๋์์ ์์ชฝ ๋ถ๋ถ์๋ ๋์ ์ ๋ขฐ๋๋ฅผ ์ง๋ ๊ธฐ์กด ๋ณด์ ๋๊ตฌ(๋ฐ์ด๋ฌ์ค ๋ฐฑ์ , EDR, ๋ฐฉํ๋ฒฝ, ์๋ช )์ ๊ฒฝ๊ณ ๊ฐ ์๊ณ ์๋์๋ ํ์๊ธฐ( IOC, URL, MD5 ๋ฑ)์ ๊ฒฝ์ฐ ํ์ค์ฑ์ด ๋ฎ๊ณ ์ถ๊ฐ ์ฐ๊ตฌ๊ฐ ํ์ํฉ๋๋ค. ๊ทธ๋ฆฌ๊ณ ๊ฐ์ฅ ๋ฎ๊ณ ๊ฐ์ฅ ๋๊บผ์ด ์์ค(4)์ ๊ฐ์ค ์์ฑ, ์ ํต์ ์ธ ๋ณดํธ ์๋จ์ ์๋์ ์ํ ์๋ก์ด ์๋๋ฆฌ์ค ์์ฑ์ ๋๋ค. ์ด ์์ค์ ์ง์ ๋ ๊ฐ์ค ์์ค์๋ง ๊ตญํ๋์ง ์์ต๋๋ค. ์์ค์ด ๋ฎ์์๋ก ๋ถ์๊ฐ์ ์๊ฒฉ์ ๋ ๋ง์ ์๊ตฌ ์ฌํญ์ด ์ ์ฉ๋ฉ๋๋ค.
๋ถ์๊ฐ๊ฐ ๋ฏธ๋ฆฌ ๊ฒฐ์ ๋ ์ ํํ ๊ฐ์ค ์ธํธ๋ฅผ ๋จ์ํ ํ ์คํธํ๋ ๊ฒ์ด ์๋๋ผ ์ด๋ฅผ ํ ์คํธํ๊ธฐ ์ํ ์๋ก์ด ๊ฐ์ค๊ณผ ์ต์ ์ ์์ฑํ๊ธฐ ์ํด ๋์์์ด ๋ ธ๋ ฅํ๋ ๊ฒ์ด ๋งค์ฐ ์ค์ํฉ๋๋ค.
TH ์ฌ์ฉ ์ฑ์๋ ๋ชจ๋ธ
์ด์์ ์ธ ์ธ๊ณ์์ TH๋ ์ง์์ ์ธ ํ๋ก์ธ์ค์
๋๋ค. ํ์ง๋ง ์ด์์ ์ธ ์ธ๊ณ๋ ์๊ธฐ ๋๋ฌธ์ ๋ถ์ํด๋ณด์.
์ฑ์๋ ์์ค
์ฌ๋๋ค
ํ๋ก์ธ์ค
๊ธฐ์
0 ์์ค
SOC ๋ถ์๊ฐ
24/7
์ ํต ์
๊ธฐ:
์ ํต์ ์ธ
๊ฒฝ๊ณ ์ธํธ
์๋์ ๋ชจ๋ํฐ๋ง
IDS, AV, ์๋๋ฐ์ฑ,
TH ์์ด
๊ฒฝ๊ณ ์์
์๋ช ๋ถ์ ๋๊ตฌ, ์ํ ์ธํ ๋ฆฌ์ ์ค ๋ฐ์ดํฐ.
1 ์์ค
SOC ๋ถ์๊ฐ
์ผํ์ฑ TH
EDR
์คํ์
๋ฒ์ํ์ ๋ํ ๊ธฐ๋ณธ ์ง์
IOC ๊ฒ์
๋คํธ์ํฌ ์ฅ์น์ ๋ฐ์ดํฐ๋ฅผ ๋ถ๋ถ์ ์ผ๋ก ์ ์ฉ
TH ์คํ
๋คํธ์ํฌ ๋ฐ ์ ํ๋ฆฌ์ผ์ด์
์ ๋ํ ์ง์์ด ํ๋ถํจ
๋ถ๋ถ ์ ์ฉ
2 ์์ค
์์ ์ง์
์คํ๋ฆฐํธ
EDR
์ฃผ๊ธฐ์
๋ฒ์ํ์ ๋ํ ํ๊ท ์ง์
์ฃผ๋ณ
์ ์ฒด ์ ์ฉ
์์TH
๋คํธ์ํฌ ๋ฐ ์ ํ๋ฆฌ์ผ์ด์
์ ๋ํ ํ์ํ ์ง์
์ผ๋ฐTH
EDR ๋ฐ์ดํฐ ์ฌ์ฉ์ ์์ ์๋ํ
๊ณ ๊ธ EDR ๊ธฐ๋ฅ์ ๋ถ๋ถ์ ์ฌ์ฉ
3 ์์ค
์ ์ฉ TH ๋ช
๋ น
24/7
๊ฐ์ค์ ๊ฒ์ ํ๋ ๋ถ๋ถ์ ๋ฅ๋ ฅ TH
์๋ฐฉ
๋ฒ์ํ ๋ฐ ์
์ฑ ์ฝ๋์ ๋ํ ํ์ํ ์ง์
์๋ฐฉTH
๊ณ ๊ธ EDR ๊ธฐ๋ฅ์ ์ต๋ํ ํ์ฉ
ํน์ ์ฌ๋ก TH
๊ณต๊ฒฉ์ธก์ ๋ํ ๋ฐ์ด๋ ์ง์
ํน์ ์ฌ๋ก TH
๋คํธ์ํฌ ์ฅ์น์ ์ ์ฒด ๋ฐ์ดํฐ ๋ฒ์
๊ทํ์ ์๊ตฌ์ ๋ง๋ ๊ตฌ์ฑ
4 ์์ค
์ ์ฉ TH ๋ช
๋ น
24/7
TH ๊ฐ์ค์ ํ
์คํธํ ์ ์๋ ์์ ํ ๋ฅ๋ ฅ
์ฃผ์ํ
๋ฒ์ํ ๋ฐ ์
์ฑ ์ฝ๋์ ๋ํ ํ์ํ ์ง์
์๋ฐฉTH
๋ ๋ฒจ 3 ๋ฐ ์ถ๊ฐ:
TH ์ฌ์ฉ
๊ณต๊ฒฉ์ธก์ ๋ํ ๋ฐ์ด๋ ์ง์
๊ฐ์ค์ ํ
์คํธ, ์๋ํ ๋ฐ ๊ฒ์ฆ TH
๋ฐ์ดํฐ ์์ค์ ๊ธด๋ฐํ ํตํฉ;
์ฐ๊ตฌ๋ฅ๋ ฅ
ํ์์ ๋ฐ๋ฅธ ๊ฐ๋ฐ ๋ฐ API์ ๋นํ์ค ์ฌ์ฉ.
์ธ๋ ฅ, ํ๋ก์ธ์ค, ๊ธฐ์ ๋ณ TH ์ฑ์๋ ์์ค
๋ ๋ฒจ 0: TH๋ฅผ ์ฌ์ฉํ์ง ์๊ณ ์ ํต์ ์ ๋๋ค. ์ผ๋ฐ ๋ถ์๊ฐ๋ IDS, AV, ์๋๋ฐ์ค, ์๋ช ๋ถ์ ๋๊ตฌ์ ๊ฐ์ ํ์ค ๋๊ตฌ ๋ฐ ๊ธฐ์ ์ ์ฌ์ฉํ์ฌ ํจ์๋ธ ๋ชจ๋ํฐ๋ง ๋ชจ๋์์ ํ์ค ๊ฒฝ๊ณ ์ธํธ๋ก ์์ ํฉ๋๋ค.
๋ ๋ฒจ 1: TH๋ฅผ ์ฌ์ฉํ์ฌ ์คํ์ ์ ๋๋ค. ํฌ๋ ์์ ๋ํ ๊ธฐ๋ณธ ์ง์๊ณผ ๋คํธ์ํฌ ๋ฐ ์ ํ๋ฆฌ์ผ์ด์ ์ ๋ํ ํ๋ถํ ์ง์์ ๊ฐ์ถ ๋์ผํ ๋ถ์๊ฐ๊ฐ ์์ ์งํ๋ฅผ ๊ฒ์ํ์ฌ ์ผํ์ฑ ์ํ ํํ ์ ์ํํ ์ ์์ต๋๋ค. EDR์ ๋คํธ์ํฌ ์ฅ์น์ ๋ฐ์ดํฐ๋ฅผ ๋ถ๋ถ์ ์ผ๋ก ๋ค๋ฃจ๋ ๋๊ตฌ์ ์ถ๊ฐ๋ฉ๋๋ค. ๋๊ตฌ๋ ๋ถ๋ถ์ ์ผ๋ก ์ฌ์ฉ๋ฉ๋๋ค.
๋ ๋ฒจ 2: ์ฃผ๊ธฐ์ , ์์ TH. ํฌ๋ ์, ๋คํธ์ํฌ ๋ฐ ์ ํ๋ฆฌ์ผ์ด์ ๋ถ๋ถ์ ๋ํ ์ง์์ ์ด๋ฏธ ์ ๊ทธ๋ ์ด๋ํ ๋์ผํ ๋ถ์๊ฐ๋ ์๋ฅผ ๋ค์ด ํ ๋ฌ์ ํ ๋ฒ์ฉ ์ ๊ธฐ์ ์ผ๋ก Threat Hunting(์คํ๋ฆฐํธ)์ ์ฐธ์ฌํด์ผ ํฉ๋๋ค. ์ด ๋๊ตฌ์๋ ๋คํธ์ํฌ ์ฅ์น์ ๋ฐ์ดํฐ ์ ์ฒด ํ์, EDR์ ๋ฐ์ดํฐ ๋ถ์ ์๋ํ, ๊ณ ๊ธ EDR ๊ธฐ๋ฅ์ ๋ถ๋ถ ์ฌ์ฉ์ด ์ถ๊ฐ๋ฉ๋๋ค.
๋ ๋ฒจ 3: TH์ ์๋ฐฉ์ ์ด๊ณ ๋น๋ฒํ ์ฌ๋ก. ์ฐ๋ฆฌ ๋ถ์๊ฐ๋ค์ ์ ๋ด ํ์ผ๋ก ์กฐ์ง๋์ด ๋ฒ์ํ ๋ฐ ์ ์ฑ ์ฝ๋์ ๋ํ ํ์ํ ์ง์์ ๋ฌผ๋ก ๊ณต๊ฒฉ ์ธก์ ๋ฐฉ๋ฒ๊ณผ ์ ์ ์ ๋ํ ์ง์์ ๊ฐ์ถ๊ธฐ ์์ํ์ต๋๋ค. ์ด ํ๋ก์ธ์ค๋ ์ด๋ฏธ ์ฐ์ค๋ฌดํด๋ก ์ํ๋ฉ๋๋ค. ํ์ ๋คํธ์ํฌ ์ฅ์น์ ์ ์ฒด ๋ฐ์ดํฐ๋ฅผ ํฌ๊ดํ๋ EDR์ ๊ณ ๊ธ ๊ธฐ๋ฅ์ ์์ ํ ํ์ฉํ๋ฉด์ TH ๊ฐ์ค์ ๋ถ๋ถ์ ์ผ๋ก ํ ์คํธํ ์ ์์ต๋๋ค. ๋ถ์๊ฐ๋ ์์ ์ ํ์์ ๋ง๊ฒ ๋๊ตฌ๋ฅผ ๊ตฌ์ฑํ ์๋ ์์ต๋๋ค.
๋ ๋ฒจ 4: ํ์ด์๋๋ผ๋ฉด TH๋ฅผ ์ฌ์ฉํ์ธ์. ๋์ผํ ํ์ ์ฐ๊ตฌ ๋ฅ๋ ฅ, TH ๊ฐ์ค ํ ์คํธ ํ๋ก์ธ์ค๋ฅผ ์์ฑ ๋ฐ ์๋ํํ๋ ๋ฅ๋ ฅ์ ํ๋ํ์ต๋๋ค. ์ด์ ๋ฐ์ดํฐ ์์ค์ ๊ธด๋ฐํ ํตํฉ, ์๊ตฌ ์ฌํญ์ ์ถฉ์กฑํ๋ ์ํํธ์จ์ด ๊ฐ๋ฐ, ๋นํ์ค API ์ฌ์ฉ์ ํตํด ๋๊ตฌ๊ฐ ๋ณด์๋์์ต๋๋ค.
์ํ ์ฌ๋ฅ ๊ธฐ์
๊ธฐ๋ณธ ์ํ ์ฌ๋ฅ ๊ธฐ์
ะ
๊ฐ์ฅ ๊ฐ๋จํ ๋ฐฉ๋ฒ์ธ ๊ธฐ๋ณธ ๊ฒ์์ ํน์ ์ฟผ๋ฆฌ๋ฅผ ์ฌ์ฉํ์ฌ ์ฐ๊ตฌ ์์ญ์ ์ขํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค. ์๋ฅผ ๋ค์ด, ํต๊ณ ๋ถ์์ ํต๊ณ ๋ชจ๋ธ์ ํํ๋ก ์ผ๋ฐ์ ์ธ ์ฌ์ฉ์ ๋๋ ๋คํธ์ํฌ ํ๋์ ๊ตฌ์ฑํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค. ์๊ฐํ ๊ธฐ์ ์ ๋ฐ์ดํฐ ๋ถ์์ ๊ทธ๋ํ์ ์ฐจํธ ํํ๋ก ์๊ฐ์ ์ผ๋ก ํ์ํ๊ณ ๋จ์ํํ๋ ๋ฐ ์ฌ์ฉ๋๋ฉฐ, ์ด๋ฅผ ํตํด ์ํ์ ํจํด์ ํจ์ฌ ์ฝ๊ฒ ์๋ณํ ์ ์์ต๋๋ค. ๊ฒ์ ๋ฐ ๋ถ์์ ์ต์ ํํ๊ธฐ ์ํด ์ฃผ์ ํ๋๋ณ ๋จ์ ์ง๊ณ ๊ธฐ์ ์ ์ฌ์ฉํฉ๋๋ค. ์กฐ์ง์ TH ํ๋ก์ธ์ค๊ฐ ์ฑ์ํ ์๋ก ๊ธฐ๊ณ ํ์ต ์๊ณ ๋ฆฌ์ฆ ์ฌ์ฉ์ ๊ด๋ จ์ฑ์ด ๋์์ง๋๋ค. ๋ํ ์คํธ ํํฐ๋ง, ์ ์ฑ ํธ๋ํฝ ํ์ง, ์ฌ๊ธฐ ํ๋ ํ์ง์๋ ๋๋ฆฌ ์ฌ์ฉ๋ฉ๋๋ค. ๋ณด๋ค ๋ฐ์ ๋ ์ ํ์ ๊ธฐ๊ณ ํ์ต ์๊ณ ๋ฆฌ์ฆ์ ๋ถ๋ฅ, ํ๋ณธ ํฌ๊ธฐ ๊ฐ์ ๋ฐ ์ฃผ์ ๋ชจ๋ธ๋ง์ ํ์ฉํ๋ ๋ฒ ์ด์ง์ ๋ฐฉ๋ฒ์ ๋๋ค.
๋ค์ด์๋ชฌ๋ ๋ชจ๋ธ ๋ฐ TH ์ ๋ต
Sergio Caltagiron, Andrew Pendegast ๋ฐ Christopher Betz์ ์์
"
์ ์์ ์ธ ํ๋์ ์ํ ๋ค์ด์๋ชฌ๋ ๋ชจ๋ธ
์ด ๋ชจ๋ธ์ ๋ฐ๋ฅด๋ฉด ํด๋น ํต์ฌ ๊ตฌ์ฑ ์์๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ํ๋ 4๊ฐ์ง Threat Hunting ์ ๋ต์ด ์์ต๋๋ค.
1. ํผํด์ ์ค์ฌ ์ ๋ต. ์ฐ๋ฆฌ๋ ํผํด์์๊ฒ ๋ฐ๋์๊ฐ ์๊ณ ๊ทธ๋ค์ด ์ด๋ฉ์ผ์ ํตํด "๊ธฐํ"๋ฅผ ์ ๋ฌํ ๊ฒ์ด๋ผ๊ณ ๊ฐ์ ํฉ๋๋ค. ๋ฉ์ผ์์ ์ ๋ฐ์ดํฐ๋ฅผ ์ฐพ๊ณ ์์ต๋๋ค. ๋งํฌ, ์ฒจ๋ถํ์ผ ๋ฑ์ ๊ฒ์ํ์ธ์. ์ฐ๋ฆฌ๋ ์ด ๊ฐ์ค์ ๋ํ ํ์ธ์ ์ผ์ ๊ธฐ๊ฐ(XNUMX๊ฐ์, XNUMX์ฃผ) ๋์ ์ฐพ๊ณ ์๋๋ฐ, ์ฐพ์ง ๋ชปํ๋ฉด ๊ฐ์ค์ด ์๋ํ์ง ์์ ๊ฒ์ ๋๋ค.
2. ์ธํ๋ผ ์ค์ฌ ์ ๋ต. ์ด ์ ๋ต์ ์ฌ์ฉํ๋ ๋ฐฉ๋ฒ์๋ ์ฌ๋ฌ ๊ฐ์ง๊ฐ ์์ต๋๋ค. ์ ๊ทผ์ฑ๊ณผ ๊ฐ์์ฑ์ ๋ฐ๋ผ ์ผ๋ถ๋ ๋ค๋ฅธ ๊ฒ๋ณด๋ค ์ฝ์ต๋๋ค. ์๋ฅผ ๋ค์ด, ์ฐ๋ฆฌ๋ ์ ์ฑ ๋๋ฉ์ธ์ ํธ์คํ ํ๋ ๊ฒ์ผ๋ก ์๋ ค์ง ๋๋ฉ์ธ ์ด๋ฆ ์๋ฒ๋ฅผ ๋ชจ๋ํฐ๋งํฉ๋๋ค. ๋๋ ๊ณต๊ฒฉ์๊ฐ ์ฌ์ฉํ๋ ์๋ ค์ง ํจํด์ ๋ํด ๋ชจ๋ ์๋ก์ด ๋๋ฉ์ธ ์ด๋ฆ ๋ฑ๋ก์ ๋ชจ๋ํฐ๋งํ๋ ํ๋ก์ธ์ค๋ฅผ ์งํํฉ๋๋ค.
3. ์ญ๋ ์ค์ฌ ์ ๋ต. ๋๋ถ๋ถ์ ๋คํธ์ํฌ ๋ฐฉ์ด์๊ฐ ์ฌ์ฉํ๋ ํผํด์ ์ค์ฌ ์ ๋ต ์ธ์๋ ๊ธฐํ ์ค์ฌ ์ ๋ต์ด ์์ต๋๋ค. ์ด๋ ๋ ๋ฒ์งธ๋ก ์ธ๊ธฐ๊ฐ ๋์ ๊ฒ์ผ๋ก, ์ ์ ๊ธฐ๋ฅ, ์ฆ "๋งฌ์จ์ด"์ psexec, powershell, certutil ๋ฑ๊ณผ ๊ฐ์ ์ ๋ฒํ ๋๊ตฌ๋ฅผ ์ฌ์ฉํ๋ ์ ์ ๋ฅ๋ ฅ์ ํ์งํ๋ ๋ฐ ์ค์ ์ ๋ก๋๋ค.
4. ์ ์ค์ฌ ์ ๋ต. ์ ์ค์ฌ ์ ๊ทผ ๋ฐฉ์์ ์ ์์ ์๊ฒ ์ด์ ์ ๋ง์ถฅ๋๋ค. ์ฌ๊ธฐ์๋ ๊ณต๊ฐ์ ์ผ๋ก ์ด์ฉ ๊ฐ๋ฅํ ์์ค(OSINT)์ ๊ณต๊ฐ ์ ๋ณด ์ฌ์ฉ, ์ , ๊ทธ์ ๊ธฐ์ ๋ฐ ๋ฐฉ๋ฒ(TTP)์ ๋ํ ๋ฐ์ดํฐ ์์ง, ์ด์ ์ฌ๊ฑด ๋ถ์, ์ํ ์ธํ ๋ฆฌ์ ์ค ๋ฐ์ดํฐ ๋ฑ์ด ํฌํจ๋ฉ๋๋ค.
TH์ ์ ๋ณด ๋ฐ ๊ฐ์ค์ ์ถ์ฒ
Threat Hunting์ ๋ํ ์ผ๋ถ ์ ๋ณด ์์ค
์ ๋ณด์ ์ถ์ฒ๋ ๋ค์ํ ์ ์์ต๋๋ค. ์ด์์ ์ธ ๋ถ์๊ฐ๋ ์ฃผ๋ณ์ ๋ชจ๋ ๊ฒ์์ ์ ๋ณด๋ฅผ ์ถ์ถํ ์ ์์ด์ผ ํฉ๋๋ค. ๊ฑฐ์ ๋ชจ๋ ์ธํ๋ผ์ ์ผ๋ฐ์ ์ธ ์์ค๋ DLP, SIEM, IDS/IPS, WAF/FW, EDR๊ณผ ๊ฐ์ ๋ณด์ ๋๊ตฌ์ ๋ฐ์ดํฐ์ ๋๋ค. ๋ํ ์ผ๋ฐ์ ์ธ ์ ๋ณด ์์ค๋ ๋ค์ํ ์์ ์งํ, ์ํ ์ธํ ๋ฆฌ์ ์ค ์๋น์ค, CERT ๋ฐ OSINT ๋ฐ์ดํฐ์ ๋๋ค. ๋ํ ๋คํฌ๋ท์์ ์ป์ ์ ๋ณด(์: ๊ฐ์๊ธฐ ์กฐ์ง ์ฑ ์์์ ๋ฉ์ผํจ์ ํดํนํ๋ผ๋ ๋ช ๋ น์ด ๋ด๋ ค์ง๊ฑฐ๋ ๋คํธ์ํฌ ์์ง๋์ด ์ง์ ํ๋ณด์๊ฐ ํ๋์ผ๋ก ์ธํด ๋ ธ์ถ๋จ), ๋ค์์์ ๋ฐ์ ์ ๋ณด๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค. HR(์ด์ ๊ทผ๋ฌด์ง์ ํ๋ณด์ ๋ฆฌ๋ทฐ), ๋ณด์ ์๋น์ค ์ ๋ณด(์: ์๋๋ฐฉ ํ์ธ ๊ฒฐ๊ณผ).
๊ทธ๋ฌ๋ ์ฌ์ฉ ๊ฐ๋ฅํ ๋ชจ๋ ์์ค๋ฅผ ์ฌ์ฉํ๊ธฐ ์ ์ ์ต์ํ ํ๋์ ๊ฐ์ค์ ์ธ์์ผ ํฉ๋๋ค.
๊ฐ์ค์ ๊ฒ์ฆํ๋ ค๋ฉด ๋จผ์ ๊ฐ์ค์ ์ ์ํด์ผ ํฉ๋๋ค. ๊ทธ๋ฆฌ๊ณ ์์ค ๋์ ๊ฐ์ค์ ๋ง์ด ์ ์ํ๊ธฐ ์ํด์๋ ์ฒด๊ณ์ ์ธ ์ ๊ทผ์ด ํ์ํ๋ค. ๊ฐ์ค์ ์์ฑํ๋ ๊ณผ์ ์ ๋ค์ ํญ๋ชฉ์ ์์ธํ ์ค๋ช
๋์ด ์์ต๋๋ค.
๊ฐ์ค์ ์ฃผ์ ์ถ์ฒ๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค. ๊ณต๊ฒฉ&CK ๋งคํธ๋ฆญ์ค (์ ๋์ ์ ์ , ๊ธฐ์ ๋ฐ ์์). ๋ณธ์ง์ ์ผ๋ก ๊ณต๊ฒฉ์ ๋ง์ง๋ง ๋จ๊ณ์์ ํ๋์ ์ํํ๋ ๊ณต๊ฒฉ์์ ํ๋์ ํ๊ฐํ๊ธฐ ์ํ ์ง์ ๊ธฐ๋ฐ ๋ฐ ๋ชจ๋ธ์ด๋ฉฐ ์ผ๋ฐ์ ์ผ๋ก ํฌ ์ฒด์ธ(Kill Chain) ๊ฐ๋ ์ ์ฌ์ฉํ์ฌ ์ค๋ช ๋ฉ๋๋ค. ์ฆ, ๊ณต๊ฒฉ์๊ฐ ๊ธฐ์ ๋ด๋ถ ๋คํธ์ํฌ๋ ๋ชจ๋ฐ์ผ ์ฅ์น์ ์นจํฌํ ์ดํ ๋จ๊ณ์ ๋๋ค. ์ง์๋ฒ ์ด์ค์๋ ์๋ ๊ณต๊ฒฉ์ ์ฌ์ฉ๋๋ 121๊ฐ์ง ์ ์ ๊ณผ ๊ธฐ๋ฒ์ ๋ํ ์ค๋ช ์ด ํฌํจ๋์ด ์์๋๋ฐ, ๊ฐ ๋ด์ฉ์ ์ํค ํ์์ผ๋ก ์์ธํ ์ค๋ช ๋์ด ์์ต๋๋ค. ๋ค์ํ ์ํ ์ธํ ๋ฆฌ์ ์ค ๋ถ์์ ๊ฐ์ค ์์ฑ์ ์ํ ์์ค๋ก ๋งค์ฐ ์ ํฉํฉ๋๋ค. ํนํ ์ฃผ๋ชฉํ ๋งํ ๊ฒ์ ์ธํ๋ผ ๋ถ์๊ณผ ์นจํฌ ํ ์คํธ์ ๊ฒฐ๊ณผ์ ๋๋ค. ์ด๋ ํน์ ๋จ์ ์ด ์๋ ํน์ ์ธํ๋ผ๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ํ๋ค๋ ์ฌ์ค๋ก ์ธํด ์ฐ๋ฆฌ์๊ฒ ํ์คํ ๊ฐ์ค์ ์ ๊ณตํ ์ ์๋ ๊ฐ์ฅ ๊ท์คํ ๋ฐ์ดํฐ์ ๋๋ค.
๊ฐ์ค ๊ฒ์ ๊ณผ์
Sergei Soldatov๊ฐ ๊ฐ์ ธ ์์ต๋๋ค.
1๋จ๊ณ: TI ๋์ฅ
์ด ๋จ๊ณ์์ ๊ฐ์กฐํด์ผ ํ ์ ์ ์ฌ๋ฌผ (๋ชจ๋ ์ํ ๋ฐ์ดํฐ์ ํจ๊ป ๋ถ์ํ์ฌ) ํน์ฑ์ ๋ํ ๋ ์ด๋ธ์ ํ ๋นํฉ๋๋ค. ํ์ผ, URL, MD5, ํ๋ก์ธ์ค, ์ ํธ๋ฆฌํฐ, ์ด๋ฒคํธ์ ๋๋ค. ์ํ ์ธํ ๋ฆฌ์ ์ค ์์คํ ์ ํต๊ณผํ ๋ ํ๊ทธ๋ฅผ ์ฒจ๋ถํด์ผ ํฉ๋๋ค. ์ฆ, ์ด ์ฌ์ดํธ๋ ์ด๋ฌ์ ๋ฌํ ํด์ CNC์์ ๋ฐ๊ฒฌ๋์์ผ๋ฉฐ, ์ด MD5๋ ์ด๋ฌ์ ๋ฌํ ์ ์ฑ ์ฝ๋์ ๊ด๋ จ์ด ์์๊ณ , ์ด MD5๋ ์ ์ฑ ์ฝ๋๋ฅผ ๋ฐฐํฌํ๋ ์ฌ์ดํธ์์ ๋ค์ด๋ก๋๋์์ต๋๋ค.
2๋จ๊ณ: ์ฌ๋ก
๋ ๋ฒ์งธ ๋จ๊ณ์์๋ ์ด๋ฌํ ๊ฐ์ฒด ๊ฐ์ ์ํธ ์์ฉ์ ์ดํด๋ณด๊ณ ๋ชจ๋ ๊ฐ์ฒด ๊ฐ์ ๊ด๊ณ๋ฅผ ์๋ณํฉ๋๋ค. ์ฐ๋ฆฌ๋ ๋์ ์ผ์ ํ๋ ์์คํ ์ผ๋ก ํ์๋ฉ๋๋ค.
3๋จ๊ณ: ๋ถ์๊ฐ
์ธ ๋ฒ์งธ ๋จ๊ณ์์๋ ๋ถ์ ๊ฒฝํ์ด ํ๋ถํ ์๋ จ๋ ๋ถ์๊ฐ์๊ฒ ์ฌ๊ฑด์ด ์ด๊ด๋์ด ํ๊ฒฐ์ ๋ด๋ฆฝ๋๋ค. ๊ทธ๋ ์ด ์ฝ๋๊ฐ ๋ฌด์์, ์ด๋์, ์ด๋ป๊ฒ, ์, ์ ์ํํ๋์ง ๋ฐ์ดํธ ๋จ์๋ก ๋ถ์ํฉ๋๋ค. ์ด ๋ชธ์ ์ ์ฑ์ฝ๋์๊ณ , ์ด ์ปดํจํฐ๋ ๊ฐ์ผ๋๋ค. ๊ฐ์ฒด ๊ฐ์ ์ฐ๊ฒฐ์ ๋๋ฌ๋ด๊ณ , ์๋๋ฐ์ค๋ฅผ ํตํด ์คํํ ๊ฒฐ๊ณผ๋ฅผ ํ์ธํฉ๋๋ค.
๋ถ์๊ฐ์ ์์ ๊ฒฐ๊ณผ๋ ์ถ๊ฐ๋ก ์ ์ก๋ฉ๋๋ค. ๋์งํธ ํฌ๋ ์์ ์ด๋ฏธ์ง๋ฅผ ์กฐ์ฌํ๊ณ , ์ ์ฑ ์ฝ๋ ๋ถ์์ ๋ฐ๊ฒฌ๋ "๋ณธ์ฒด"๋ฅผ ์กฐ์ฌํ๋ฉฐ, ์ฌ๊ณ ๋์ ํ์ ์ฌ์ดํธ๋ก ์ด๋ํ์ฌ ์ด๋ฏธ ์กด์ฌํ๋ ๋ด์ฉ์ ์กฐ์ฌํ ์ ์์ต๋๋ค. ์์ ์ ๊ฒฐ๊ณผ๋ ํ์ธ๋ ๊ฐ์ค, ํ์ธ๋ ๊ณต๊ฒฉ ๋ฐ ์ด์ ๋์ํ๋ ๋ฐฉ๋ฒ์ด ๋ ๊ฒ์ ๋๋ค.
๊ฒฐ๊ณผ
์ํ ํํ (Threat Hunting)์ ๋ง์ถคํ, ์ ๊ท, ๋นํ์ค ์ํ์ ํจ๊ณผ์ ์ผ๋ก ๋์ํ ์ ์๋ ์๋นํ ์ ์ ๊ธฐ์ ๋ก, ์ด๋ฌํ ์ํ์ ์๊ฐ ์ฆ๊ฐํ๊ณ ๊ธฐ์ ์ธํ๋ผ๊ฐ ์ ์ ๋ณต์กํด์ง๋ ์ํฉ์์ ์ ๋ง์ด ๋งค์ฐ ๋ฐ์ต๋๋ค. ๋ฐ์ดํฐ, ๋๊ตฌ, ๋ถ์๊ฐ๋ผ๋ ์ธ ๊ฐ์ง ๊ตฌ์ฑ ์์๊ฐ ํ์ํฉ๋๋ค. Threat Hunting์ ์ด์ ์ ์ํ ๊ตฌํ์ ๋ฐฉ์งํ๋ ๋ฐ๋ง ๊ตญํ๋์ง ์์ต๋๋ค. ๊ฒ์ ๊ณผ์ ์์ ์ฐ๋ฆฌ๋ ๋ณด์ ๋ถ์๊ฐ์ ์๊ฐ์ ํตํด ์ธํ๋ผ์ ๊ทธ ์ฝ์ ์ ํํค์น๊ณ ์ด๋ฌํ ์ ์ ๋์ฑ ๊ฐํํ ์ ์๋ค๋ ์ ์ ์์ง ๋ง์ญ์์ค.
์ฐ๋ฆฌ์ ์๊ฒฌ์ผ๋ก๋ ๊ทํ์ ์กฐ์ง์์ TH ํ๋ก์ธ์ค๋ฅผ ์์ํ๊ธฐ ์ํด ์ทจํด์ผ ํ ์ฒซ ๋ฒ์งธ ๋จ๊ณ์ ๋๋ค.
- ์๋ํฌ์ธํธ์ ๋คํธ์ํฌ ์ธํ๋ผ๋ฅผ ๋ณดํธํ์ญ์์ค. ๋คํธ์ํฌ์ ๋ชจ๋ ํ๋ก์ธ์ค์ ๋ํ ๊ฐ์์ฑ(NetFlow) ๋ฐ ์ ์ด(๋ฐฉํ๋ฒฝ, IDS, IPS, DLP)๋ฅผ ๊ด๋ฆฌํ์ญ์์ค. ์์ง ๋ผ์ฐํฐ๋ถํฐ ๋ง์ง๋ง โโํธ์คํธ๊น์ง ๋คํธ์ํฌ๋ฅผ ํ์ ํ์ธ์.
- ํ๊ตฌํ๋ค
MITER ATT & CK . - ์ ์ด๋ ์ฃผ์ ์ธ๋ถ ๋ฆฌ์์ค์ ๋ํด ์ ๊ธฐ์ ์ธ ์นจํฌ ํ ์คํธ๋ฅผ ์ํํ๊ณ , ๊ฒฐ๊ณผ๋ฅผ ๋ถ์ํ๊ณ , ์ฃผ์ ๊ณต๊ฒฉ ๋์์ ์๋ณํ๊ณ ์ทจ์ฝ์ ์ ํด๊ฒฐํฉ๋๋ค.
- ์คํ์์ค Threat Intelligence ์์คํ (์: MISP, Yeti)์ ๊ตฌํํ๊ณ ์ด์ ์ฐ๊ณํ์ฌ ๋ก๊ทธ๋ฅผ ๋ถ์ํฉ๋๋ค.
- ์ฌ๊ณ ๋์ ํ๋ซํผ(IRP) ๊ตฌํ: R-Vision IRP, The Hive, ์์ฌ์ค๋ฌ์ด ํ์ผ ๋ถ์์ ์ํ ์๋๋ฐ์ค(FortiSandbox, Cuckoo).
- ์ผ์์ ์ธ ํ๋ก์ธ์ค๋ฅผ ์๋ํํฉ๋๋ค. ๋ก๊ทธ ๋ถ์, ์ฌ๊ฑด ๊ธฐ๋ก, ์ง์์๊ฒ ์๋ฆฌ๋ ๊ฒ์ ์๋ํ์ ๊ฑฐ๋ํ ๋ถ์ผ์ ๋๋ค.
- ์์ง๋์ด, ๊ฐ๋ฐ์ ๋ฐ ๊ธฐ์ ์ง์๊ณผ ํจ๊ณผ์ ์ผ๋ก ์ํธ ์์ฉํ์ฌ ์ฌ๊ณ ์ ๋ํด ํ์ ํ๋ ๋ฐฉ๋ฒ์ ์์๋ณด์ธ์.
- ๋์ค์ ๋ค์ ํ์ธํ๊ฑฐ๋ ์ด ๋ฐ์ดํฐ๋ฅผ ๋๋ฃ์ ๊ณต์ ํ ์ ์๋๋ก ์ ์ฒด ํ๋ก์ธ์ค, ํต์ฌ ์ฌํญ, ๋ฌ์ฑ๋ ๊ฒฐ๊ณผ๋ฅผ ๋ฌธ์ํํฉ๋๋ค.
- ์ฌ๊ต์ ์ด์ด์ผ ํฉ๋๋ค. ์ง์์๊ฒ ๋ฌด์จ ์ผ์ด ์ผ์ด๋๊ณ ์๋์ง, ๋๊ตฌ๋ฅผ ๊ณ ์ฉํ๋์ง, ๋๊ตฌ์๊ฒ ์กฐ์ง์ ์ ๋ณด ์์์ ๋ํ ์ก์ธ์ค ๊ถํ์ ๋ถ์ฌํ๋์ง ํ์ ํ์ญ์์ค.
- ์๋ก์ด ์ํ ๋ฐ ๋ณดํธ ๋ฐฉ๋ฒ ๋ถ์ผ์ ์ถ์ธ๋ฅผ ํ์ ํ๊ณ , ๊ธฐ์ ์ง์ ์์ค์ ๋์ด๊ณ (IT ์๋น์ค ๋ฐ ํ์ ์์คํ ์ด์ ํฌํจ), ์ปจํผ๋ฐ์ค์ ์ฐธ์ํ๊ณ ๋๋ฃ์ ์ํตํ์ญ์์ค.
์๊ฒฌ์์ TH ํ๋ก์ธ์ค์ ๊ตฌ์ฑ์ ๋ํด ๋ ผ์ํ ์ค๋น๊ฐ ๋์์ต๋๋ค.
์๋๋ฉด ์ฐ๋ฆฌ์ ํจ๊ป ์ผํด๋ณด์ธ์!
์์ ์ ๋ณด ๋ณด์ ์ปจ์คํดํธ ์ ๋ณด ๋ณด์ ์์คํ ์ค๊ณ์ ์์ ๋คํธ์ํฌ ๋ณด์ ์์ง๋์ด ์์ ์ ๋ณด ๋ณด์ ์์ง๋์ด(SIEM) ์ ๋ณด๋ณด์์ค๊ณ์ฌ(์์ฉ)
์ฐ๊ตฌํ ์์ค ๋ฐ ์๋ฃ
Threathunter.guru Attack.mitre.org digital-forensics.sans.org resources.infosecinstitute.com www.redcanary.com www.cybereason.com www.anti-malware.ru www.anti-malware.ru reply-to-all.blogspot.com lukatsky.blogspot.com whitepapers.theregister.co.uk
์ถ์ฒ : habr.com