제퍼넷 로고

위협 추적을 계획하는 방법 : Log Analytics를 사용하여 심층 데이터 관리

시간

저자에 대해 자세히 알아 보려면 클릭하십시오. 토마스 헤이즐.

보안 분석가는 점점 더 정교 해지는 사이버 공격의 증가를 따라 잡기 위해 오랫동안 도전을 받아 왔지만 최근에 그들의 투쟁은 더욱 심각해졌습니다.

만 보안 운영 리더의 46 % 팀의 위협 탐지 능력에 만족하고 있으며, 의사 결정자의 82 %는 위협에 대한 대응이 대부분 또는 완전히 반응 적이라고 답했습니다. 이는 극복하고 싶은 단점입니다.

수많은 보안 프로그램이 계속해서 따르는 위협 탐지에 대한 사후 접근 방식은 새로운 것이 아닙니다. 대부분의 진화 과정에서 사이버 보안 분야는 사이버 범죄자들이 고안 한 각각의 새로운 공격 기술에 적응했습니다. 공격자의 발자취를 따라 운영되는 최초의 상업용 바이러스 백신 프로그램은 연구원들이 새로운 악성 코드 변종을 발견 할 때마다 알려진 맬웨어 서명의 데이터베이스를 업데이트합니다. 기업들은 새로운 기술이 나올 때마다 추가 경계 기반 기술을 배포하여이를 따랐습니다. 일반적으로 최신 위협에 대응하기 위해 사용되었습니다.

그러나 오늘날의 클라우드 중심적이고 데이터 집약적 인 컴퓨팅 환경에서는 사후 방어 전략이 작동하지 않습니다. 신뢰할 수있는 내부 기업 네트워크에서 위협을 차단할 수 있다는 기존의 가정은 경계없는 네트워크 아키텍처와 "언제 어디서나, 모든 장치에 관계없이"연결이 필요하기 때문에 쓸모 없게되었습니다.

지출만으로는 조직을 충분히 보호 할 수 없다는 인식과 함께 지능형 지속 위협 (APT)의 빈도가 증가하고 영향이 증가함에 따라 위협 사냥에 대한 관심이 다시 증가하고 있습니다. 사이버 보안 리더는 수동 제어 및 기존 보안 기술이 발견 할 수있는 악의적 인 활동의 종류와이를 얼마나 빠르고 효율적으로 수행 할 수 있는지 측면에서 제한적이라는 것을 알고 있습니다. 반대로 위협 사냥은 환경 내에 존재하는 위협을 발견하는 사전 예방 적 접근 방식입니다. 그리고 그들이 맞서고있는 위협 적들과 마찬가지로 위협 사냥은 기술만큼이나 인간에 정통한 것에 의존합니다.

좋은 소식은 기존 SecOps 직원과 이미 적용된 기술을 사용하여 조직이 효과적인 위협 사냥 기능을 빠르게 높일 수 있다는 것입니다.

위협 사냥이란?

위협 사냥 사이버 방어에 대한 사전 예방 적 접근 방식으로 "위반 가정"사고 방식을 기반으로합니다. 위협 사냥꾼은 이미 위반이 발생했다는 가정하에 작업을 시작합니다. 사냥은 공격자의 존재에 대한 증거를 체계적으로 검색하는 것입니다.

보안 팀이 기존 운영 프로세스 및 도구의 격차를 해결할 수 있기 때문에 사냥 프로그램을 구현하는 보안 조직은 전체 보안 태세를 크게 향상시킬 수 있습니다.

최신 위협 사냥 전술이 기업이 위험을 줄이고 효율성을 높이는 동시에 최적의 보안을위한 데이터 클라우드 전략을 혁신하는 데 어떻게 도움이되는지 살펴 보겠습니다.

위협 사냥 기능 구축

대부분의 다른 SecOps 역할과 달리 위협 사냥꾼은 체계적인 접근 방식과 다차원 적 접근 방식을 사용하여 보안 경고를 생성하지 않은 악성 활동의 증거를 의도적으로 찾습니다. 데이터 분석 도구. 위협 사냥의 주요 목표는 피해가 발생하기 전에 잠재적 인 공격을 가로 채거나 진행중인 공격의 피해를 완화하는 것입니다.

효과적인 위협 사냥은 보안 분석가가 위협 행위자처럼 생각하고 그 이해를 사용하여 진행중인 공격을 식별하기 위해 찾아야 할 단서를 결정할 수 있도록하는 사고 방식과 체계적인 접근 방식에 의존합니다. 경험은 확실히 도움이되지만, 끊임없이 변화하는 위협 행위자의 환경과 그 정교함으로 인해 위협 사냥꾼은 글로벌 최고 위협 행위자의 업데이트 된 도구, 기술 및 절차 (TTP)를 기반으로 체계적인 사냥을 구조화하는 체계적인 접근 방식을 취해야합니다. 오늘날의 위협 사냥꾼은 사냥꾼이 공격 단계를 생각하고 검색 할 단서 나 증거를 결정할 수있는 반복 가능한 프레임 워크에 의존합니다.

또한 핵심 SecOps 개념 및 기술의 토대를 통해 다음과 같은 위협을 효과적으로 탐지 할 수 있습니다. 악성 코드 분석침투 테스트사고 대응 및 포렌식. 공식 교육 프로그램도 제공되며 다음과 같은 업계 조직을 통해 제공됩니다. 이아스카 그리고 산스 연구소. 위협 사냥 기능을 추가로 구축하려면 다음 단계를 수행해야합니다.

1. 적처럼 생각하라

훌륭한 CIA 요원처럼 최고의 위협 사냥꾼은 적의 사고 방식을 채택하는 것부터 시작합니다. 적처럼 생각하면 사냥꾼은 성공적인 공격을 준비하는 방법을 생각할 수 있습니다. 이것은 정교한 공격이 취할 수있는 일반적인 단계를 이해하는 것으로 시작됩니다.

공격자는 항상 이전에 발견되지 않은 취약점을 악용하거나 새로운 기술을 연마하여 자신의 능력을 향상 시키려하지만, 대부분의 공격은 환경의 교두보를 제공하는 초기 손상부터 데이터 유출 (또는 목적을 달성하는 또 다른 수단 (예 : 유출보다는 랜섬웨어를 사용하여 수익 창출).

사이버 보안 전문가와 위협 연구원은 일반적인 정교한 공격 또는 APT (Advanced Persistent Threat)의 XNUMX 가지 일반적인 단계.

이러한 단계를 이해하면 위협 사냥꾼은 하나 이상의 단계와 일치하는 악의적 인 동작의 잠재적 단서를 정의 할 수 있습니다. 이것은 공격자가 각 단계에서 사용할 수있는 도구를 통해 생각하는 과정이되며, 희미한 증거는 남게됩니다. 대부분의 경우 공격자는 탐지를 피하기 위해 이미 환경에있는 기존의 승인 된 도구를 악용하려고합니다. 따라서 계획 할 때 위협 사냥꾼은 일반적으로 사용되는 이러한 도구의 비정상적인 사용을 찾는 방법을 고려하여 악의적 인 목적으로 하이재킹되는 잠재적 인 사례를 파악합니다.

2. 심층 데이터 분석

위협 사냥 기존 보안 도구가 생성 한 경고를 추적하는 대신 가설 공격 시나리오를 조사하는 것이 포함됩니다.

경보를 유발할 명확한 증거가없는 위협 사냥은 사냥꾼이 환경의 데이터에 대한 다양한 분석을 수행하여 지능을 수집해야합니다. 실제로 가장 성공적인 사냥 팀은 로그 데이터의 다른 많은 사용 사례 (예 : IT 모니터링)를 능가하는 대규모 데이터 집계 및 분석에 의존합니다.

보안 조직의 사냥 능력을 결정하는 가장 중요한 요소 중 하나는 수집하고 SecOps 팀에 제공하는 로그 데이터의 양과 품질입니다. 대다수의 보안 전문가는 보안 운영 센터 (SOC)의 시스템을 추가 데이터 소스로 강화하는 것이 위협 사냥 기능을 향상시키기 위해 취할 수있는 가장 중요한 단계라고 생각합니다.

일반적으로 위협 사냥꾼은 호스트 및 네트워크 데이터 소스와 클라우드 애플리케이션 로그에 모두 액세스해야합니다. 호스트 로그는 에이전트를 통해 또는 Windows 이벤트 전달, Sysmon 유틸리티, Linux 아키텍처 용 감사 서비스 또는 MacOS 용 통합 로깅과 같은 기본 로깅 애플리케이션을 통해 수집 할 수 있습니다. 이러한 도구는 일반적으로 낮은 프로필을 유지하면서 지속성을 유지하려는 공격자가 악용하기 때문에 이러한 로그는 PowerShell과 같은 구성 관리 유틸리티가 환경 내에서 어떻게 사용되고 있는지에 대한 가시성을 제공해야합니다.

특정 사냥에 필요한 특정 데이터 소스는 조사중인 가설에 따라 다릅니다. 다음과 같은 표준 지식 기반 및 프레임 워크 MITER ATT & CK 포함 된 각 TTP의 증거를 조사 할 수있는 데이터 소스 목록을 연결합니다.

IT 조직과 글로벌 사이버 위협 환경의 끊임없이 변화하는 환경으로 인해 데이터 플랫폼 사냥꾼은 다양한 소스에서 다양한 데이터 유형을 신속하게 수집하고 인덱싱 할 수 있어야합니다. 또한 재조정 할 필요없이 추가 소스를 통합 할 수있을만큼 유연해야합니다.추출, 변환 및로드 (ETL) 원래 데이터 세트.

헌트 유형이있는 데이터 원본 : 공격 시나리오의 예

다양한 위협 그룹과 공격자가 악성 PowerShell 명령.

높은 권한을 가진 공격자는 로컬 및 원격 컴퓨터에서 명령을 실행할 수있는이 강력한 Windows 스크립팅 환경을 사용하여 탐색, 명령 및 제어 (C2) 및 악의적 인 파일 실행 활동을 수행하는 동안 오랜 시간 동안 탐지되지 않은 채로있을 수 있습니다. 공격자는 종종 PowerShell을 활용하여 맬웨어를 설치할 필요없이 환경에서 지속성을 유지합니다. PowerShell 기반 공격을 찾는 데 필요한 데이터 원본에는 DLL 모니터링, 파일 모니터링, PowerShell 로그, 프로세스 명령 줄 매개 변수, 프로세스 모니터링 및 Windows 이벤트 로그가 포함됩니다.

또 다른 예시에서 사냥꾼은 공격자가 활용하고있는 신호를 검색 할 수 있습니다. Microsoft의 구성 요소 개체 모델 (COM) – Microsoft Office 제품이 원활하게 상호 작용할 수 있도록하는 일련의 표준 – 악성 코드를 실행하고 현재 사용자 레지스트리의 소프트웨어 클래스를 조작하며 이러한 활동을 통해 눈에 띄지 않고 지속성을 유지합니다.

이 기술이 사용되었다는 증거를 찾고 있다면 DLL 모니터링,로드 된 DLL, 프로세스 명령 줄 매개 변수, 프로세스 모니터링 및 Windows 레지스트리 모니터링을 데이터 원본에 포함해야합니다.

세 번째 사례 : 귀중한 데이터 또는 기타 관심있는 리소스를 찾기 위해 공격자는 일반적으로 발견 및 탐색 프로세스를 수행하여 네트워크를 통해 토지의 위치를 ​​파악합니다.

이렇게하는 동안 공격자는 종종 원격 시스템에 인증하거나 원격 호스트에서 명령을 실행할 수있는 도구를 사용하려고 시도합니다. WMI (Windows Management Instrumentation) Windows 시스템 구성 요소에 대한 원격 액세스를 얻으려는 공격자가 이러한 목적으로 자주 사용됩니다. 이 공격 기술을 사냥 팀에 공개 할 수있는 데이터 소스에는 인증 로그, Netflow 데이터, 프로세스 명령 줄 매개 변수 및 프로세스 모니터링이 포함됩니다.

데이터 액세스 : 중앙 로그 관리, SIEM 플랫폼 또는 둘 다?

보안 팀이 위협 사냥을 위해 기존 SIEM 플랫폼에 의존하는 것은 일반적입니다. 그러나 대부분의 SIEM 솔루션은 규정 준수 및보고 목적으로 설계 및 구현되었으므로 위협 사냥에 관한 제한 사항.

SIEM 단점

  1. 노동 집약적이고 복잡한 관리
  2. 수집 할 수있는 로그 데이터 유형의 수 또는 컨텍스트 정보의 양이 제한됨
  3. 더 긴 보존 기간 동안 데이터를 저장하는 데 비용이 많이 드는 라이선스 모델에 의해 제한됨
  4. 데이터 볼륨이 증가함에 따라 성능 문제 (느린 검색)가 발생할 수 있습니다.

위협 사냥 기능의 수준을 높이기 위해 보안 리더는 종종 중앙 집중식 로그 관리 솔루션으로 SIEM을 보완하기로 선택합니다. 이러한 도구는 경쟁력이 없지만 보완 적입니다.

이 전략은 SIEM에서 전달되는 로그를 받아들이는 데이터 레이크 플랫폼과 함께 각 작업을 병렬로 수행합니다. 자동화 된 데이터 파이프 라인을 사용하여 둘간에 데이터를 분할 할 수도 있습니다.

위협 사냥 계획 

사람을 찾고 프로세스를 수립 한 다음에는 데이터에 유연하고 통합 된 액세스를 허용하는 기술이 등장합니다.

Elasticsearch 검색 엔진의 사용자 인터페이스 역할을하기 위해 처음 개발 된 Kibana는 오늘날 위협 사냥에서 가장 널리 사용되는 데이터 분석 도구 중 하나로 성장했습니다.

Kibana는 강력하고 유연하여 위협 사냥꾼이 광범위한 쿼리를 수행하고 데이터 상관 관계를 수행하며 데이터 세트 내에서 숨겨진 통찰력을 발견하는 데 도움이되는 데이터 시각화를 생성 할 수 있습니다. 이 기능에는 드릴 다운 대시 보드 구축, 시계열 분석, 막대 및 원형 차트, 테이블, 히스토그램 및지도를 포함한 다양한 시각화를 생성하는 기능이 포함됩니다. 이러한 시각화 기능을 통해 위협 사냥꾼은 대량의 집계 데이터를 검색하여 효율적이고 일관된 방식으로 이상 치를 신속하게 식별 할 수 있습니다.

일부 조직은 Kibana를 대규모 보안 로그 데이터 검색 및 분석을 지원하는 데이터 플랫폼과 결합합니다. 즉, 리소스가 제한된 보안 팀도 클라우드에 보안 데이터 레이크를 생성하여 위협 사냥을 촉진하고 가속화 할 수 있습니다.

조직이 광범위한 소스에서 수집 한 많은 양의 기록 로그 데이터를 보관하는 것은 매우 중요합니다. 따라서 사전 예방 적 위협 사냥이 빠른 속도로 수행되어 가장 정교한 공격자조차도 필연적으로 남겨 둘 단서를 찾을 수 있습니다.

사냥을 시작할 준비가 되셨나요? 

코인 스마트. 유로파 최고의 비트 코인-보르 스
출처 : https://www.dataversity.net/how-to-plan-a-threat-hunt-using-log-analytics-to-manage-data-in-depth/

spot_img

최신 인텔리전스

spot_img