구조화된 위협 헌팅, 구조화되지 않은 위협 헌팅, 엔티티 위협 헌팅 등 3개 유형 분류
이글루코퍼레이션, ‘확장된 분석 기법 위협 헌팅’ 분석 보고서 발표
[보안뉴스 김영명 기자] ‘위협 헌팅(Threat Hunting)’은 2018년 가트너 시큐리티&리스크 매니지먼트 서밋에서 시큐리티 위협 헌팅 방법(How To Hunt for Security Threats)이라는 주제로 강연이 진행된 이후부터 관심이 커졌다. 위협 헌팅은 네트워크와 엔드포인트를 검색해 보안 통제를 우회하는 위협이 공격을 실행하거나 목표 달성 전에 위협을 미리 식별하는 프로세스이자, 데이터 분석을 통해 의심스러운 행위 또는 위협을 먼저 찾고 추적하는 선제적 대응 방식이다.
▲보안전문가 데이비드 비앙코가 인텔리전스의 효과적인 활용방법 개념으로 소개한 ‘고통의 피라미드’[출처=DavidBianco]
이글루코퍼레이션은 최근 ‘확장된 분석 기법 위협 헌팅’이라는 제목의 보고서를 통해 위협 헌팅에 대해 자세하게 소개했다. 위협 헌팅은 진화하는 위협이 자동화된 사이버 보안을 우회하기 때문에 중요하다. 자동화된 보안 툴(tool)과 보안운영센터(Security Operations Center, SOC) 분석가들은 약 80%의 위협을 처리한다. 따라서 나머지 20%의 위협에 심각한 문제가 발생할 가능성이 크다. 효과적인 위협 헌팅은 침입부터 발견까지 시간을 단축해 공격 피해를 줄일 수 있다.
위협 공격자는 길게는 몇 주에서 몇 달 뒤에 발견되기도 한다. 이들은 데이터를 빼돌리고 충분한 정보를 알아내 더 근접하게 액세스할 때까지 기다리고, 중요 데이터 유출의 발판을 마련한다. 유출의 폐해는 몇 년간 지속될 수 있으며, 대응 시간이 길수록 기업 피해는 커진다.
위협 헌팅, 구조화된 헌팅 등 3가지 유형으로 구분
위협 헌팅을 이해하기 위해서는 ‘구조화된 위협 헌팅’, ‘구조화되지 않은 위협 헌팅’, ‘상황 또는 엔티티(Entity) 기반 위협 헌팅’ 등 3가지 유형을 알아야 한다. 먼저 ‘구조화된 위협 헌팅’은 공격 지표(IoA)와 공격자의 전술, 사이버 킬 체인의 기술 및 절차(Tactics, Techniques and Procedures 이하 TTPs)에 기반한 헌팅이다. 즉 마이터어택(MITRE ATT&CK) 프레임워크와 같은 위협 인텔리전스 소스에 의존해 위협 헌팅을 진행한다.
‘구조화되지 않은 위협 헌팅’의 경우 트리거(Trigger) 또는 손상 지표(IoC)에서 시작한다. 트리거 또는 IoC의 전과 후 악성 패턴에 대해 네트워크를 검색하고 기록된 데이터를 조사한다. 즉 과거 환경에 침투했다가 현재는 휴면 상태인 새로운 위협 유형을 발견하는 것이다.
‘상황 또는 엔티티 기반 위협 헌팅’은 중요 데이터 또는 중요 컴퓨팅 리소스 같은 고위험·고부가 가치 엔티티에 초점을 맞춘다. 이를 통해 헌팅에 집중하고 우선순위를 정해 효율을 높인다. 위협 행위자는 보통 특정 고가치, 고위험 자산 또는 IT 관리자 등 권한 있는 사용자를 대상으로 행동한다. 따라서 우선순위가 높은 대상을 집중해서 관리하는게 도움이 된다.
위협 헌팅 성숙도 모델, HMM0~HMM4의 5단계로 구분
위협 헌팅 플랫폼을 제공하는 Sqrrl(스쿼럴)에서 제시한 사이버 헌팅 성숙도 모델(Hunting Maturity Model, 이하 HMM)을 참고해 기업에 도입 가능 여부를 판단할 수 있다. 제시된 위협 헌팅 성숙도 모델은 최소 능력인 HMM0부터 최대 능력인 HMM4까지 기업의 사전 탐지 기능을 5가지 수준으로 설명한다.
▲사이버보안 소프트웨어 기업 스쿼럴의 ‘위협 헌팅 성숙도 모델’[출처=스쿼럴]
최소 능력인 HMM0(초기)에서 기업은 주로 IDS(Intrusion Detection System, 침입탐지 시스템), SIEM(Security Information & Event Management, 보안 정보와 이벤트 관리) 또는 바이러스 백신과 같은 자동화된 경고 도구를 사용해 기업 전체의 악성 활동을 탐지한다. HMM0 기업은 IT 시스템에서 많은 정보를 수집하지 않아 사전에 위협을 찾는 능력이 제한된다. 그래서 HMM0 기업은 위협 헌팅이 가능한 기업으로 포함하지 않는다.
HMM1(최소)에서 기업은 사고 대응 프로세스 추진을 위해 자동화된 경고에 주로 의존하지만, 실제로는 최소한의 일상적인 IT 데이터만 수집한다. HMM1 기업의 분석가는 보고서에서 주요 지표를 추출하고 기록된 데이터를 검색해 적어도 최근의 보안 위협을 확인할 수 있다. HMM1은 미미하더라도 모든 유형의 위협 헌팅이 발생하는 첫 번째 수준이 된다.
HMM2(절차) 해당 기업은 정기적으로 다른 사람이 개발한 절차를 학습하고 적용할 수 있으며 사소한 변경은 있겠지만, 완전히 새로운 절차를 만들 수는 없다. HMM2 기업은 활동적인 위협 헌팅 프로그램을 갖고 있는 기업들 중에 가장 낮은 수준이라고 볼 수 있다.
HMM3(혁신) 기업에는 다양한 유형의 데이터 분석 기술을 이해하고 적용해 악의적인 활동을 식별하는 위협 헌터가 최소한 존재한다. HMM3 기업은 위협 행위자의 활동을 찾고 대응하는 데 효과적일 수 있다. 그러나 개발하는 위협 헌팅 프로세스의 수가 증가하면서 분석가의 수를 늘리지 않고 합리적인 일정에 따라 모든 프로세스를 수행하면 확장성 문제에 직면하게 된다.
HMM4(선두) 기업은 기본적으로 HMM3 기업과 같지만, ‘자동화’의 차이가 있다. HMM4에서는 성공적인 헌팅 프로세스가 운영되고 자동화된 탐지로 전환된다. 분석가는 동일 프로세스의 반복적인 실행 부담에서 벗어나 기존 프로세스 개선 또는 새로운 프로세스 생성에 집중할 수 있다. HMM4 기업은 높은 수준의 다종화를 통해 새로운 위협 헌팅 프로세스의 흐름을 만드는 데 노력을 집중할 수 있으며, 그 결과 탐지 프로그램 전체가 지속해서 개선된다.
▲위협 헌팅 루프의 ‘가설-조사-증명-분석’ 4개 프로세스 구성도[출처=스쿼럴]
위협 탐지기업 스쿼럴(Sqrrl)이 제시한 위협 헌팅 루프(Loop)를 참고해 성공적인 위협 헌팅 프로세스를 구축할 수 있다. 한 번의 검색으로는 네트워크를 완벽히 보호할 수 없으며, 비효율적인 위협 헌팅을 피하려면 ‘가설-조사-증명-분석’ 프로세스의 반복 수행이 중요하다.
먼저 모든 IT 환경에서의 위협 활동을 설명하고 아군 및 위협 정보, 과거 위협 사례 등 다양한 요인에 기반해 ‘가설’을 세운다. 다음으로 세워진 가설을 ‘조사’하고 추적한다. 분석가는 데이터에서 새 악성 패턴을 발견하고 복잡한 공격 경로를 재구성해 TTPs를 밝혀낸다.
‘증명’은 기술과 도구 기반 워크플로나 분석 기법을 사용해 조사에서 특정 패턴이나 이상 현상을 찾는다. 위협의 변칙이나 공격자를 찾지 못해도 가설을 증명 또는 반증한다. 성공적인 위협 헌팅은 자동화된 ‘분석’을 알리고 강화의 기반을 형성해야 한다. 반복되는 지표나 패턴으로 헌팅에 집중하도록 자동화, SIEM으로 기존 분석 시스템을 개선하고 발견 사항을 기록한다.
위협 헌팅과 기존 보안기법을 비교해 볼 때
기존에 잘 알려진 보안기법인 침입탐지, 모의해킹, 침해사고 분석과 위협 헌팅을 비교한다면 기업은 어떤 기법을 사용할 때 위협을 더 효과적으로 탐지하고 제거할 수 있을까? 위협 헌팅과 침입탐지는 공격 진행 중의 방어 기법이라는 점에서, 모의해킹과는 내부 시스템을 대상으로 수행한다는 것 때문에, 침해사고 분석과는 내부 시스템 데이터를 수집하고 분석한다는 측면에서 유사하다. 위협 헌팅과 3가지 보안기법은 상호보완적 관계가 있어 기업이 보유한 보안 시스템을 운영하면서 필요에 맞게 기술을 수행해야 한다.
위협 헌팅과 침입탐지를 적절하게 활용한다면, 자동화된 침입탐지를 사용해 일반적인 위협을 차단하고 이를 우회하는 고도화된 위협에 대한 헌팅을 수행할 수 있다. 또한 위협 헌팅을 통해 내부 존재 위협을 식별한 후 모의해킹을 통해 내부 침투경로를 확인, 위협 수준을 낮추며 보안성 강화가 가능하다. 침해사고를 분석할 때 확인한 침해 지표 및 취약점을 이후의 위협 헌팅 진행에 참고한다면 효과적인 위협 헌팅 프로세스를 개발할 수 있다.
이글루코퍼레이션 관계자는 “SIEM과 EDR과 같은 보안 솔루션 도구에 위협 헌팅을 추가하면 탐지할 수 없는 공격 예방과 해결에 도움이 될 수 있다”며 “보안 시스템을 우회해 시스템에 침입하는 위협을 제거하려면 위협 헌팅을 주기적이고 반복적으로 수행해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
이글루코퍼레이션, ‘확장된 분석 기법 위협 헌팅’ 분석 보고서 발표
[보안뉴스 김영명 기자] ‘위협 헌팅(Threat Hunting)’은 2018년 가트너 시큐리티&리스크 매니지먼트 서밋에서 시큐리티 위협 헌팅 방법(How To Hunt for Security Threats)이라는 주제로 강연이 진행된 이후부터 관심이 커졌다. 위협 헌팅은 네트워크와 엔드포인트를 검색해 보안 통제를 우회하는 위협이 공격을 실행하거나 목표 달성 전에 위협을 미리 식별하는 프로세스이자, 데이터 분석을 통해 의심스러운 행위 또는 위협을 먼저 찾고 추적하는 선제적 대응 방식이다.
▲보안전문가 데이비드 비앙코가 인텔리전스의 효과적인 활용방법 개념으로 소개한 ‘고통의 피라미드’[출처=DavidBianco]
이글루코퍼레이션은 최근 ‘확장된 분석 기법 위협 헌팅’이라는 제목의 보고서를 통해 위협 헌팅에 대해 자세하게 소개했다. 위협 헌팅은 진화하는 위협이 자동화된 사이버 보안을 우회하기 때문에 중요하다. 자동화된 보안 툴(tool)과 보안운영센터(Security Operations Center, SOC) 분석가들은 약 80%의 위협을 처리한다. 따라서 나머지 20%의 위협에 심각한 문제가 발생할 가능성이 크다. 효과적인 위협 헌팅은 침입부터 발견까지 시간을 단축해 공격 피해를 줄일 수 있다.
위협 공격자는 길게는 몇 주에서 몇 달 뒤에 발견되기도 한다. 이들은 데이터를 빼돌리고 충분한 정보를 알아내 더 근접하게 액세스할 때까지 기다리고, 중요 데이터 유출의 발판을 마련한다. 유출의 폐해는 몇 년간 지속될 수 있으며, 대응 시간이 길수록 기업 피해는 커진다.
위협 헌팅, 구조화된 헌팅 등 3가지 유형으로 구분
위협 헌팅을 이해하기 위해서는 ‘구조화된 위협 헌팅’, ‘구조화되지 않은 위협 헌팅’, ‘상황 또는 엔티티(Entity) 기반 위협 헌팅’ 등 3가지 유형을 알아야 한다. 먼저 ‘구조화된 위협 헌팅’은 공격 지표(IoA)와 공격자의 전술, 사이버 킬 체인의 기술 및 절차(Tactics, Techniques and Procedures 이하 TTPs)에 기반한 헌팅이다. 즉 마이터어택(MITRE ATT&CK) 프레임워크와 같은 위협 인텔리전스 소스에 의존해 위협 헌팅을 진행한다.
‘구조화되지 않은 위협 헌팅’의 경우 트리거(Trigger) 또는 손상 지표(IoC)에서 시작한다. 트리거 또는 IoC의 전과 후 악성 패턴에 대해 네트워크를 검색하고 기록된 데이터를 조사한다. 즉 과거 환경에 침투했다가 현재는 휴면 상태인 새로운 위협 유형을 발견하는 것이다.
‘상황 또는 엔티티 기반 위협 헌팅’은 중요 데이터 또는 중요 컴퓨팅 리소스 같은 고위험·고부가 가치 엔티티에 초점을 맞춘다. 이를 통해 헌팅에 집중하고 우선순위를 정해 효율을 높인다. 위협 행위자는 보통 특정 고가치, 고위험 자산 또는 IT 관리자 등 권한 있는 사용자를 대상으로 행동한다. 따라서 우선순위가 높은 대상을 집중해서 관리하는게 도움이 된다.
위협 헌팅 성숙도 모델, HMM0~HMM4의 5단계로 구분
위협 헌팅 플랫폼을 제공하는 Sqrrl(스쿼럴)에서 제시한 사이버 헌팅 성숙도 모델(Hunting Maturity Model, 이하 HMM)을 참고해 기업에 도입 가능 여부를 판단할 수 있다. 제시된 위협 헌팅 성숙도 모델은 최소 능력인 HMM0부터 최대 능력인 HMM4까지 기업의 사전 탐지 기능을 5가지 수준으로 설명한다.
▲사이버보안 소프트웨어 기업 스쿼럴의 ‘위협 헌팅 성숙도 모델’[출처=스쿼럴]
최소 능력인 HMM0(초기)에서 기업은 주로 IDS(Intrusion Detection System, 침입탐지 시스템), SIEM(Security Information & Event Management, 보안 정보와 이벤트 관리) 또는 바이러스 백신과 같은 자동화된 경고 도구를 사용해 기업 전체의 악성 활동을 탐지한다. HMM0 기업은 IT 시스템에서 많은 정보를 수집하지 않아 사전에 위협을 찾는 능력이 제한된다. 그래서 HMM0 기업은 위협 헌팅이 가능한 기업으로 포함하지 않는다.
HMM1(최소)에서 기업은 사고 대응 프로세스 추진을 위해 자동화된 경고에 주로 의존하지만, 실제로는 최소한의 일상적인 IT 데이터만 수집한다. HMM1 기업의 분석가는 보고서에서 주요 지표를 추출하고 기록된 데이터를 검색해 적어도 최근의 보안 위협을 확인할 수 있다. HMM1은 미미하더라도 모든 유형의 위협 헌팅이 발생하는 첫 번째 수준이 된다.
HMM2(절차) 해당 기업은 정기적으로 다른 사람이 개발한 절차를 학습하고 적용할 수 있으며 사소한 변경은 있겠지만, 완전히 새로운 절차를 만들 수는 없다. HMM2 기업은 활동적인 위협 헌팅 프로그램을 갖고 있는 기업들 중에 가장 낮은 수준이라고 볼 수 있다.
HMM3(혁신) 기업에는 다양한 유형의 데이터 분석 기술을 이해하고 적용해 악의적인 활동을 식별하는 위협 헌터가 최소한 존재한다. HMM3 기업은 위협 행위자의 활동을 찾고 대응하는 데 효과적일 수 있다. 그러나 개발하는 위협 헌팅 프로세스의 수가 증가하면서 분석가의 수를 늘리지 않고 합리적인 일정에 따라 모든 프로세스를 수행하면 확장성 문제에 직면하게 된다.
HMM4(선두) 기업은 기본적으로 HMM3 기업과 같지만, ‘자동화’의 차이가 있다. HMM4에서는 성공적인 헌팅 프로세스가 운영되고 자동화된 탐지로 전환된다. 분석가는 동일 프로세스의 반복적인 실행 부담에서 벗어나 기존 프로세스 개선 또는 새로운 프로세스 생성에 집중할 수 있다. HMM4 기업은 높은 수준의 다종화를 통해 새로운 위협 헌팅 프로세스의 흐름을 만드는 데 노력을 집중할 수 있으며, 그 결과 탐지 프로그램 전체가 지속해서 개선된다.
▲위협 헌팅 루프의 ‘가설-조사-증명-분석’ 4개 프로세스 구성도[출처=스쿼럴]
위협 탐지기업 스쿼럴(Sqrrl)이 제시한 위협 헌팅 루프(Loop)를 참고해 성공적인 위협 헌팅 프로세스를 구축할 수 있다. 한 번의 검색으로는 네트워크를 완벽히 보호할 수 없으며, 비효율적인 위협 헌팅을 피하려면 ‘가설-조사-증명-분석’ 프로세스의 반복 수행이 중요하다.
먼저 모든 IT 환경에서의 위협 활동을 설명하고 아군 및 위협 정보, 과거 위협 사례 등 다양한 요인에 기반해 ‘가설’을 세운다. 다음으로 세워진 가설을 ‘조사’하고 추적한다. 분석가는 데이터에서 새 악성 패턴을 발견하고 복잡한 공격 경로를 재구성해 TTPs를 밝혀낸다.
‘증명’은 기술과 도구 기반 워크플로나 분석 기법을 사용해 조사에서 특정 패턴이나 이상 현상을 찾는다. 위협의 변칙이나 공격자를 찾지 못해도 가설을 증명 또는 반증한다. 성공적인 위협 헌팅은 자동화된 ‘분석’을 알리고 강화의 기반을 형성해야 한다. 반복되는 지표나 패턴으로 헌팅에 집중하도록 자동화, SIEM으로 기존 분석 시스템을 개선하고 발견 사항을 기록한다.
위협 헌팅과 기존 보안기법을 비교해 볼 때
기존에 잘 알려진 보안기법인 침입탐지, 모의해킹, 침해사고 분석과 위협 헌팅을 비교한다면 기업은 어떤 기법을 사용할 때 위협을 더 효과적으로 탐지하고 제거할 수 있을까? 위협 헌팅과 침입탐지는 공격 진행 중의 방어 기법이라는 점에서, 모의해킹과는 내부 시스템을 대상으로 수행한다는 것 때문에, 침해사고 분석과는 내부 시스템 데이터를 수집하고 분석한다는 측면에서 유사하다. 위협 헌팅과 3가지 보안기법은 상호보완적 관계가 있어 기업이 보유한 보안 시스템을 운영하면서 필요에 맞게 기술을 수행해야 한다.
위협 헌팅과 침입탐지를 적절하게 활용한다면, 자동화된 침입탐지를 사용해 일반적인 위협을 차단하고 이를 우회하는 고도화된 위협에 대한 헌팅을 수행할 수 있다. 또한 위협 헌팅을 통해 내부 존재 위협을 식별한 후 모의해킹을 통해 내부 침투경로를 확인, 위협 수준을 낮추며 보안성 강화가 가능하다. 침해사고를 분석할 때 확인한 침해 지표 및 취약점을 이후의 위협 헌팅 진행에 참고한다면 효과적인 위협 헌팅 프로세스를 개발할 수 있다.
이글루코퍼레이션 관계자는 “SIEM과 EDR과 같은 보안 솔루션 도구에 위협 헌팅을 추가하면 탐지할 수 없는 공격 예방과 해결에 도움이 될 수 있다”며 “보안 시스템을 우회해 시스템에 침입하는 위협을 제거하려면 위협 헌팅을 주기적이고 반복적으로 수행해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
