홈
topics
threat hunting
위협 헌팅이 중요한 이유는 정교한 위협이 자동화된 사이버 보안을 우회할 수 있기 때문입니다. 자동화된 보안 툴 및 Tier 1~2 보안 운영 센터(SOC) 분석가들이 약 80%의 위협은 처리할 수 있지만, 나머지 20%는 여전히 걱정해야 합니다. 나머지 20%의 위협은 중요한 손상을 야기할 수 있는 정교한 위협을 포함하고 있을 가능성이 큽니다. 이러한 위협은 시간과 리소스가 충분히 주어진다면 어떤 네트워크라도 침해하여 평균 최대 280일 동안 탐지를 피할 수 있습니다. 효과적인 위협 헌팅은 침입부터 발견까지의 시간을 단축해주므로 공격자로부터 입게 되는 피해의 양이 줄어듭니다.
많은 경우에 공격자는 몇 주, 심지어는 몇 달 동안 숨어있다가 발견됩니다. 이들은 데이터를 빼돌리고 충분한 기밀 정보 또는 자격 증명 정보를 알아내어 더 근접한 액세스를 할 수 있을 때까지 참을성 있게 기다리고, 중요한 데이터 유출을 위한 발판을 마련합니다. 잠재적인 위협이 얼마나 큰 손실을 야기할 수 있을까요? "데이터 유출 비용 보고서(Cost of a Data Breach Report)에 따르면," 데이터 유출은 기업에 평균 약 $4백만에 달하는 비용을 초래합니다. 그리고 유출로 인한 폐해는 몇 년간 계속될 수 있습니다. 시스템 오류 이후 대응까지의 시간이 길어질수록 조직은 더 많은 손해를 보게 됩니다.
성공적인 위협 사냥 프로그램은 환경의 데이터 생명력을 기반으로 합니다. 다시 말해, 먼저 데이터를 수집하는 기업 보안 시스템이 조직에 구축되어 있어야 합니다. 여기에서 수집한 정보는 위협 사냥꾼에게 가치 있는 단서를 제공합니다.
사이버 위협 사냥꾼은 기업 보안에 인적 요소를 가미하여 자동화된 시스템을 보완합니다. 그들은 심각한 문제가 발생하기 전에 위협을 검색, 로깅, 모니터링, 무력화하는 숙련된 IT 보안 전문가입니다. 운영에 정통한 회사 IT 부서의 보안 분석가라면 가장 좋겠지만 외부 분석가인 경우도 있습니다.
위협 사냥은 환경에서 미지의 문제를 찾아내는 예술입니다. 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 감지 및 대응(EDR) 등과 같은 기존의 감지 기술 그 이상의 역할을 합니다. 위협 사냥꾼은 보안 데이터를 분석합니다. 숨은 멀웨이나 공격자를 검색하고 컴퓨터가 놓쳤거나 해결된 것으로 판단했지만 전혀 그렇지 않은 의심스러운 활동의 패턴을 찾아냅니다. 또한 해당 유형의 사이버 공격이 되풀이되지 않도록 기업 보안 시스템에 패치를 적용할 수도 있습니다.
헌터는 보안 데이터 또는 트리거를 바탕으로 세운 가설로 시작합니다. 가설이나 트리거는 잠재 위험에 대한 심층 조사의 발판 역할을 합니다. 그리고 이러한 심층 조사는 구조화되어 있기도 하고 아니기도 하며 헌팅은 상황에 따라 진행됩니다.
구조화된 헌팅은 공격 지표(IoA) 및 공격자의 전술, 기술 및 과정(TTPs)에 기반을 두고 있습니다. 모든 헌팅은 위협 행위자의 TTP에 맞춰집니다. 그러므로 헌터는 일반적으로 공격자가 환경에 손상을 입히기도 전에 위협 행위자를 식별할 수 있습니다. 이러한 헌팅 유형은 PRE-ATT&CK 및 엔터프라이즈 프레임워크를 모두 활용하여 MITRE Adversary Tactics Techniques and Common Knowledge(ATT&CK) 프레임워크 (ibm.com 외부 링크)를 사용합니다.
구조화되지 않은 헌팅은 여러 가지 침해 지표(IoC) 중 하나인 트리거를 바탕으로 시작됩니다. 이 트리거는 종종 헌터가 사전 및 사후 탐지 패턴을 찾도록 신호를 보냅니다. 헌터는 이들의 접근 방식을 따라가면서 보존 데이터와 이전 연관 공격이 허용하는 한 멀리까지 조사할 수 있습니다.
상황에 따른 가설은 기업의 내부 위험 평가 또는 IT 환경 고유의 트렌드 및 취약성 분석을 통해 도출됩니다. 엔티티 지향 리드는 검토 시 현재 사이버 위협의 최신 TTP를 나타내는 크라우드 소싱 공격 데이터에서 도출됩니다. 그런 다음 위협 헌터가 환경 내에서 이러한 특정 동작을 검색할 수 있습니다.
Intel 기반 헌팅은 반응형 헌팅 모델 (ibm.com 외부 링크) 로서 위협 인텔리전스 출처의 IoC를 사용하며, SIEM 및 위협 인텔리전스가 구축한 사전 정의 규칙을 따릅니다.
Intel 기반 헌팅은 컴퓨터 비상 대응 팀(CERT)과 같은 인텔리전스 공유 플랫폼에서 제공하는 IoC, 해시 값, IP 주소, 도메인 이름, 네트워크 또는 호스트 아티팩트를 사용할 수 있습니다. 이러한 플랫폼에서는 자동화된 경고를 내보낼 수 있으며, SIEM에 구조화된 위협 정보 표현(STIX) (ibm.com 외부 링크) 및 인텔리전스 정보의 신뢰할 수 있는 자동화된 교환(TAXII)(ibm.com 외부 링크) 방식으로 입력할 수 있습니다. SIEM이 IoC를 기반으로 한 경고를 받으면 위협 헌터가 경고 전후의 악의적인 활동을 조사하여 환경이 손상되었는지 식별할 수 있습니다.
가설 헌팅은 위협 헌팅 라이브러리를 사용하는 선제적 헌팅 모델입니다. 이는 MITRE ATT&CK 프레임워크와 일치하며 글로벌 탐지 플레이북을 사용하여 지능형 지속 공격 그룹 및 멀웨어 공격을 식별합니다.
가설 기반 헌팅은 공격자의 IoA 및 TTP를 사용합니다. 헌터는 MITRE 프레임워크와 일치하는 가설을 만들기 위해 사용된 환경, 도메인 및 공격 행동을 기반으로 위협 행위자를 식별합니다. 행동이 식별되면 위협 헌터는 활동 패턴을 모니터링하여 위협을 탐지하고 식별 및 격리합니다. 헌터는 이러한 방식으로 위협 행위자가 환경에 손상을 입히기 전에 이를 사전에 탐지할 수 있습니다.
사용자 정의 헌팅은 상황 인식 및 산업 기반 헌팅 방법론을 기반으로 합니다. SIEM 및 EDR 툴의 이상 요인을 식별하고 고객 요구 사항에 따라 사용자 정의할 수 있습니다.
사용자 정의 또는 상황에 따른 헌팅은 고객의 요구 사항을 기반으로 하거나 지정학적 문제 및 표적 공격과 같은 상황에 따라 선제적으로 실행됩니다. 이러한 헌팅 활동은 IoA 및 IoC 정보를 사용하는 Intel 기반 및 가설 기반 헌팅 모델을 모두 활용할 수 있습니다.
헌터는 MDR, SIEM 및 보안 분석 툴의 데이터를 헌팅의 기반으로 사용합니다. 또한 패커 분석기와 같은 기타 툴을 사용하여 네트워크 기반 헌팅을 수행할 수도 있습니다. 그러나 SIEM 및 MDR 툴을 사용하려면 환경의 모든 필수 소스와 툴이 통합되어 있어야 합니다. 이러한 통합을 통해 IoA 및 IoC 단서가 적절한 헌팅 방향을 제공해줄 수 있습니다.
MDR은 지능형 위협의 식별과 해결에 위협 인텔리전스 및 사전 예방적 위협 사냥을 적용합니다. 이러한 유형의 보안 솔루션은 공격자의 체류 시간을 줄이고 네트워크 내에서 공격에 빠르고 단호하게 대응하도록 도와줍니다.
보안 정보 관리(MDR)와 보안 정보 및 이벤트 관리(SIEM)를 결합하면 이벤트를 실시간으로 모니터링, 분석하고 보안 데이터를 추적 및 로깅할 수 있습니다. SIEM에서는 사용자 행위 이상항목과 더 세부적인 조사를 위한 필수 단서를 제공하는 다른 비이상적 요인을 발견할 수 있습니다.
보안 분석은 SIEM 시스템에서 한 발 더 나아가 보안 데이터에 대해 더 깊은 인사이트를 제공하고자 노력합니다. 보안 기술을 사용하여 수집한 빅 데이터에 더 빠르고 정교하며 통합된 머신 러닝 및 AI를 결합하면 보안 분석은 사이버 위협 헌팅을 위한 상세한 관측 가능성 데이터를 제공하여 위협 조사를 가속화할 수 있습니다.
위협 인텔리전스는 일반적으로 머신 러닝 및 AI가 포함된 자동화된 보안 시스템이 수집 및 분석한 침입 시도 또는 침입 성공에 대한 데이터 세트입니다.
위협 헌팅은 이 인텔리전스를 사용하여 시스템 전체에서 잘못된 액터를 철저히 검색합니다. 다른 말로 하면, 위협 인텔리전스가 끝나는 지점에서 위협 헌팅이 시작됩니다. 게다가 성공적인 위협 헌팅은 미지의 영역에서 아직 발견되지 않은 위협을 식별할 수 있습니다.
또한, 위협 헌팅은 헌팅을 위한 리드 또는 가설에 위협 지표를 사용합니다. 위협 지표는 멀웨어 또는 공격자가 남긴 가상 지문, 이상한 IP 주소, 피싱 이메일 또는 기타 비정상적인 네트워크 트래픽입니다.
탐지율을 크게 향상하고 위협 탐지, 조사, 수정 시간을 단축합니다. 직접 위협 헌팅 프로그램을 시작하는 방법을 알아보세요.
IBM 보안 관리형 감지 및 대응(MDR)은 턴키 방식의 상시 위협 예방, 탐지, 대응 기능을 제공합니다. IBM의 선제적인 위협 헌터는 조직과 협업하여 조직의 중요 자산 및 중요 문제를 식별하는 데 도움을 줍니다.
SIEM 기반을 빌드하고 변화하는 시대에 맞춰 기능을 보강할 수 있는 포괄적인 프로그램을 개발하세요. 내부자 위협 파악, 엔드포인트 디바이스 추적, 클라우드를 보호하는 IBM Security로 컴플라이언스를 관리하세요.
위협 탐지는 보안 방정식의 절반에 불과합니다. 보안 운영 센터(SOC)를 개선하려면 스마트 인시던트 대응 및 관리형 서비스가 포함된 단일 통합 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼도 고려해야 합니다.
X-Force® Red를 통해 가장 중요하고 알려진/알려지지 않은 취약점을 찾아 수정하세요. 이 자율적인 팀은 베테랑 해커로 구성되었으며 IBM과 협력하여 보안을 테스트하고 범죄 공격자가 개인적인 이득을 위해 사용할 가능성이 있는 약점을 찾아냅니다.
위협 인텔리전스, 새로운 전술 및 방어에 대한 내용이 포함된 사이버 위협 헌팅 기사를 읽어보세요.
MDR이란 무엇이며, 보안 팀이 업무를 최상으로 수행하도록 하기 위해 어떻게 하고 있나요? 조직이 집중적인 위협 헌팅을 비롯한 목표를 달성하는 데 효율적인 MDR 서비스가 어떤 도움을 주는지 알아보세요.
글로벌 관점에서 위협 환경에 대한 사이버 공격 위험을 파악합니다.
데이터 유출 비용 보고서에서는 조직이 데이터 유출을 방지하는 데 도움이 되는, 또는 유출이 발생했을 때 비용을 줄여줄 재정적 영향 및 보안 조치를 탐색합니다.
Daily Gold가 통합 및 감지 기능을 위해 IBM® QRadar®를, 엔드포인트 검색 및 관리를 위해 IBM BigFix를 도입했을 때 보안 태세가 어떻게 개선되었는지 알아보세요.