통합 SASE 역할 사이버 위협 헌팅

위협 헌팅이란 무엇인가요?

위협 헌팅은 기존 보안 솔루션을 우회하는 위협을 탐지하는 선제적 방어 접근 방식입니다.

위협 헌팅을 하는 이유는 무엇인가요?

방화벽, IDS/IPS, SWG, ZTNA, CASB 기능은 알려진 위협으로부터 기업 자산을 보호하는 데 도움이 됩니다. 보안 공급업체는 알려진 위협에 대한 보호 기능을 개발하고 다양한 보호 피드를 통해 보안 서비스를 정기적으로 업데이트하여 이러한 보호 기능을 배포합니다. 보호 기능에는 사용자가 악성 사이트를 방문하지 못하도록 차단하고, 서명을 통한 익스플로잇을 차단하고, C&C를 호스팅하는 것으로 알려진 IP 주소, 도메인 또는 평판이 나쁜 도메인과의 연결을 차단하는 것이 포함됩니다. 거의 모든 보안 기능은 ACL(액세스 제어 목록)을 통해 원치 않는 흐름을 차단하여 자산을 보호합니다. 국가적 후원과 금전적 이득으로 인해 위협 행위자의 정교함은 해마다 크게 증가하고 있습니다. 알려지지 않은 위협에 노출된 기업은 피해를 막기 위해 모든 침해를 탐지할 수 있는 방법이 있어야 합니다. 2022 M-트렌드 보고서에 따르면, 2021년 평균 체류 시간(Dwell Time, 공격자가 탐지되지 않고 피해자 환경에 존재하는 일수)은 21일입니다. 일부 지역에서는 평균 40일까지 걸리는 경우도 있습니다. 가장 우려스러운 점은 47%의 피해자가 외부 알림을 통해 위협에 대해 알게 된다는 점입니다. 피해자는 공격자의 협박, 기밀 정보의 공개, 고객으로부터의 몇 차례의 공개를 통해 침해 사실을 알게 됩니다. 피해를 줄이고 더 빨리 해결 조치를 취하기 위해서는 기업이 내부적으로 위협의 존재를 사전에 감지하는 것이 중요합니다. 환경에 존재하는 위협을 탐지하는 이 프로세스를 ‘위협 헌팅’이라고 합니다.

위협 헌터 방법이란 무엇인가요?

위협 헌팅은 보안 분석가가 수행합니다. 위협 헌팅은 오래전부터 사용되어 왔지만 이론적으로는 새로운 개념이 아닙니다. 헌터들은 이상 징후를 찾고, 가설을 세우고, 심층 분석을 수행하여 침해 징후를 파악하는 경향이 있습니다. 최근 몇 년 동안 실제로 변화한 것은 전술, 기술 및 절차(TTP)를 공유하고 오픈 소스 및 상용 위협 인텔리전스 피드에 액세스하는 등 여러 기업의 헌터들 간의 협력이 증가했다는 점입니다. 이러한 풍부한 정보는 사냥꾼들이 보다 효율적으로 사냥할 수 있도록 도와줍니다. 위협 인텔리전스는 가치가 있지만, 방대한 양의 데이터는 헌터들이 선별하기에는 압도적일 수 있습니다. 헌터는 기업이 사용하는 자산, 소프트웨어, 하드웨어 시스템 및 클라우드 서비스를 기반으로 가장 관련성이 높은 보고서를 얻기 위해 필터링하는 것이 중요합니다. 필터링이 완료되면 위협 헌터는 TTP를 사용하여 환경의 패턴을 식별할 수 있습니다. 위협 헌터는 다음과 같은 여러 가지 방법을 조합하여 정보를 수집합니다:

  • 분석 중심: 네트워크 트래픽, 프로토콜 트래픽, 사용자 시작 트래픽, 애플리케이션 트래픽, 사용자 로그인 동작, 사용자 액세스 동작, 엔드포인트 및 애플리케이션 동작에서 관찰되는 이상 징후는 헌팅을 시작하기에 좋은 지표가 될 수 있습니다.
  • 인텔리전스 기반: 오픈 소스 및 상업적 주체의 IP/도메인/파일/URL 평판과 같은 위협 인텔리전스 피드는 헌터가 환경에서 이러한 지표를 검색하고 관찰되는 경우 헌팅을 시작하는 데 도움이 될 수 있습니다.
  • 상황 인식 중심: 자산에 대한 정기적인 기업 위험 평가와 왕관 보석 분석의 결과물은 헌터가 가설을 세우고 헌팅을 시작하는 데 도움이 될 수 있습니다.

위협 사냥꾼은 위의 방법을 조합하여 사냥을 시작할 대상을 좁힙니다. 헌팅 프로세스의 일부로 분석가는 통합 가시성 시스템에 의존하여 심층 분석을 수행하여 침해 여부를 식별합니다. 위협이 발견되면 성공한 사냥꾼은 다른 사냥꾼을 돕기 위해 TTP를 게시할 수 있습니다.

위협 헌팅에서 SASE의 역할은 무엇인가요?

IoC(침해 지표)는 네트워크 또는 엔드포인트에서 악의적인 활동을 식별하고 탐지하는 데 사용할 수 있는 단서입니다. 위협 헌터들은 잠재적인 보안 사고에 대한 가설을 세우고 조사에 집중하기 위해 이 방법을 자주 사용합니다. IoC에는 알려진 악의적 행위자 또는 알려진 멀웨어와 관련된 IP 주소, 도메인 이름, URL, 파일, 이메일 주소 등이 포함됩니다. 트래픽, 사용자 행동, 서비스 행동 등 다양한 이상 징후가 결합되어 잠재적인 보안 사고에 대한 가설을 세울 수 있는 좋은 지표가 될 수도 있습니다. 심층 분석은 위협 헌팅의 다음 단계로, 공격의 범위, 영향, 출처 등 잠재적 인시던트에 대한 더 많은 정보를 수집하는 데 사용됩니다. 이러한 유형의 분석에는 네트워크 트래픽, 시스템 로그, 엔드포인트 데이터 등 다양한 소스에서 데이터를 추출하고 분석하기 위해 다양한 도구와 기법을 활용하는 경우가 많습니다. SASE 솔루션은 위협 헌터의 식별 및 조사 단계 모두에서 위협 헌터에게 도움이 될 것으로 기대됩니다. 또한 행동 분석, 실시간 모니터링 및 알림과 같은 기능을 통해 향후 SASE 솔루션에서 보다 포괄적인 통합 가시성 기능을 제공할 것으로 예상됩니다.

침해 지표 및 우려 지표를 통한 식별

다음은 SASE 솔루션이 위협 헌터가 헌팅을 시작하는 데 도움을 줄 수 있는 몇 가지 이상 징후와 위협 IoC입니다. 트래픽 이상 징후를 찾는 데 SASE/SDWAN이 어떻게 도움이 되는지 보여주는 몇 가지 예가 아래에 나와 있습니다.

  • 이전에 관찰된 트래픽 패턴과 비교하여 비정상적인 트래픽 패턴. 여기에는 다음의 트래픽 양과 연결 수에 대한 이상 징후가 포함될 수 있습니다.
    • 엔터프라이즈 사이트 간 트래픽
    • 사이트와 인터넷 간 트래픽
    • 애플리케이션을 오가는 트래픽
    • 다양한 프로토콜의 트래픽
    • 사용자와 주고받는 트래픽
    • 세그먼트 도착/출발 트래픽
    • 그리고 위의 조합(사이트 + 애플리케이션 + 사용자 + 프로토콜 + 세그먼트)을 사용합니다.

네트워크 보안을 갖춘 SASE 솔루션은 다양한 유형의 이상 징후와 익스플로잇을 찾는 데 도움을 줄 수 있습니다:

  • 이전 패턴 또는 다음과 같은 기준 패턴에서 엔터프라이즈 애플리케이션 액세스의 비정상적인 경우
    • 이전에 알려지지 않은 지리적 위치에서 내부 애플리케이션에 대한 액세스
    • 내부 애플리케이션에 거의 액세스하지 않는 사용자가 내부 애플리케이션에 액세스하는 경우
    • 사용자가 이상한 시간에 내부 애플리케이션에 액세스하는 경우
    • 이전에 알려지지 않은 지리적 위치의 권한 있는 사용자, 거의 관리하지 않는 사용자가 비정상적인 시간에 다양한 중요 애플리케이션 리소스(예: 관리자 리소스)에 액세스합니다.
    • 사용자의 애플리케이션 및 리소스에 대한 액세스가 거부되었습니다.
  • 위에서 설명한 접속 이상과 같은 이전 패턴 또는 기준 패턴의 인터넷 및 SaaS 접속 이상.
    • 개별 사용자가 다양한 URL 카테고리에 액세스
    • 사용자가 이전에 방문하지 않은 인터넷 사이트에 대한 액세스
    • 사용자별 대역폭 사용량 및 HTTP 트랜잭션 이상 횟수
    • 사용자가 업무 시간 외 시간에 사이트에 액세스합니다.
    • 인터넷 사이트/카테고리에 대한 액세스 거부
    • 사용자 단위로 다양한 SaaS 서비스의 다양한 기능에 액세스할 수 있습니다.
  • 다양한 종류의 익스플로잇: M-Trends 보고서에 따르면 공격자가 사용하는 ‘초기 감염 벡터’는 소프트웨어 및 구성의 취약점을 악용하고 있습니다. 많은 위협 행위자는 먼저 소프트웨어 취약점을 악용하여 다양한 유형의 멀웨어를 설치합니다. 메타스플로잇, 비콘과 같은 유명한 익스플로잇 프레임워크는 여러 개의 알려진 익스플로잇 스크립트를 번들로 제공합니다. 이러한 프레임워크는 위협 행위자들 사이에서 인기 있는 것으로 보입니다. 트래픽에서 관찰되는 모든 익스플로잇은 나쁜 일이 일어날 수 있다는 좋은 신호일 수 있습니다.
  • 프로토콜 이상: 비정상적인 프로토콜 데이터는 프로토콜 사양 관점에서 볼 때 합법적인 것이라도 우려할 만한 징후가 될 수 있습니다. DNS 및 HTTP 프로토콜 이상 예시는 다음과 같습니다.
    • DNS의 경우
      • 쿼리된 도메인에 많은 하위 도메인이 표시되는 것은 정상적이지 않습니다.
      • 도메인이 매우 긴 것은 정상적이지 않습니다.
      • 도메인 이름에 대문자와 소문자가 혼합되어 있는 것은 정상적이지 않습니다.
      • 영숫자가 아닌 문자가 표시되는 것은 정상적이지 않습니다.
      • A, AAAA, PTR 이외의 쿼리가 표시되는 것은 정상적이지 않습니다.
    • HTTP의 경우:
      • 매우 긴 URI와 많은 수의 쿼리 매개 변수가 표시되는 것은 정상적이지 않습니다.
      • 일반적으로 사용되지 않는 URI 인코딩.
      • 요청 헤더와 응답 헤더가 많은 것은 정상적이지 않습니다.
      • URI 쿼리 매개 변수, 요청 헤더 및 요청 본문에서 SQL 문, 셸 명령어 및 스크립트가 표시되는 것은 정상적이지 않습니다.
      • 호스트 요청 헤더가 없는 HTTP 트랜잭션이 표시되는 것은 정상적이지 않습니다.
      • URI 및 헤더에 CRLF 문자가 표시되는 것은 정상적이지 않습니다.
      • 동일한 이름의 매개변수가 여러 개 표시되는 것은 정상적이지 않습니다.
      • 그리고 더 많은…
    • 평판이 나쁜 사이트에 대한 액세스 : 한 번의 접속 사고 또는 불량 IP 주소, 도메인 및 URL이 있는 사이트에 여러 번 접속하는 것도 헌팅을 시작하기에 좋은 지표가 됩니다.

조사

헌팅의 일환으로, 헌터들은 적어도 네트워크 관점에서 추가 조사를 위해 SASE 시스템이 더 깊이 파고드는 데 도움이 될 것으로 기대합니다. 헌터는 포괄적인 엔드투엔드 가시성과 조사를 위해 엔드포인트, 애플리케이션, 가상화, 컨테이너화 플랫폼 통합 가시성 시스템과도 협력해야 할 수 있습니다. 조사를 위한 헌터들의 SASE 관찰 가능성에 대한 기대는 대부분 심층적인 검색 기능에 대한 것입니다. 예를 들어, 익스플로잇 트래픽을 탐지하면 헌터들은 익스플로잇을 당한 머신/소프트웨어가 이 시스템에서 정상적으로 하지 않는 다른 내부 시스템과 연결하는지, 다른 시스템에서 정상적으로 예상하지 못한 파일을 다운로드하는지, 이 시스템이 다른 시스템에 멀웨어를 업로드하는지 등을 조사할 수 있습니다.

요약

위협 헌팅은 많은 기업에서 일상적인 관행으로 자리 잡고 있습니다. 일반적으로 엔드포인트, 애플리케이션, 가상화, 보안 액세스 서비스 에지(SASE)를 위한 통합 가시성 플랫폼을 사용하여 침해 지표(IoC)를 탐지하고 조사합니다. 포괄적인 위협 헌팅 수명 주기 관리를 위해서는 소프트웨어 정의 광역 네트워크(SDWAN), 다양한 네트워크 및 위협 보안 기능, 포괄적인 가시성을 결합한 통합 SASE가 필요합니다.

  • CTO 인사이트 블로그

    아리아카 CTO 인사이트 블로그 시리즈는 네트워크, 보안 및 SASE 주제에 대한 사고 리더십을 제공합니다.
    아리아카 제품 사양은 아리아카 데이터시트를 참조하세요.