이벤트 데이터 항목별로 구분하면 전체 상관관계 못 읽어
통합 보안 데이터 모델로 물리보안과 정보보안 아울러 봐야
[보안뉴스 오다인 기자] 작년 초 보안업체 트루스타(TruSTAR)는 ‘그리즐리 스테페(Grizzly Steppe)와 카르바낙(Carbanak): 사이버 공간의 계산 착오 위험’이라는 보고서를 발행했다. 트루스타는 이 보고서에서 전략(Tactics), 기술(Techniques), 절차(Procedures)를 ‘TTP’라고 축약해 부르면서, 러시아 정부지원 해킹그룹과 카르바낙 같은 범죄조직 사이에 TTP가 많이 겹친다고 설명했다. 트루스타는 카르바낙 공격과 러시아 정부 보안기관의 소행으로 지목되는 공격이 똑같은 인프라의 일부분을 활용해 공격을 펼쳤다는 사실을 발견했다. 보안업체 크라우드스트라이크(CrowdStrike)의 2018 위협 보고서는 러시아를 넘어 북한, 중국, 이란으로까지 탐색을 확대했다. 핵티비스트들이 역시 동일한 TTP를 빌려 쓰고 있다는 증거가 나왔다.
[이미지=iclickart]
TTP가 겹친다는 건 기업과 정부 네트워크 방어자에게 심각한 문제들을 제기할뿐더러 공격 대응 시 정부의 계산 착오 위험을 가중시킨다. 또한 보안 전략을 조직적인 수준에서 바꿀 필요성에 대해 설득력을 높인다. 조직이 자체적인 방어력을 높이고 다른 기업 및 정부기관과 협업함으로써 하나의 통합된 보안 데이터 모델로 변화해야 한다는 필요성 말이다.
보안 팀은 이벤트 데이터를 △사기 △피싱 △멀웨어 △디도스(DDoS) △내부자 위협 △물리적 훼손 등의 수없이 많은 항목으로 별도 구분해두는 경우가 많다. 이후 각기 다른 스킬 셋을 가진 별도의 팀이 이를 처리한다. 나름대로 합리적인 것처럼 보이지만, 이렇게 각각의 이벤트를 중심으로 데이터를 분리하면 추후 상관관계를 파악하는 데 실패한다. 즉, 하나의 공통된 보관소를 통해 여러 이벤트 간 TTP 트렌드를 읽고 패턴을 파악하는 것이 불가능해진다.
예컨대 스피어 피싱을 보자. 우리는 스피어 피싱 캠페인이 이따금씩 멀웨어 요소를 삽입함으로써 명령 및 제어(C&C) 서버를 통한 APT 공격을 수행한다는 사실을 알고 있다. 디도스는 네트워크에 분명히 지장을 주지만 지속적인 발판을 마련하는 수단으로 활용되기도 한다. 물리적 훼손은 멀웨어 임플란트로 이어진다. 이런 데이터를 융합하는 데 실패할 때 우리는 적들 앞에 취약해지고 보안 담당자들은 끔찍하게 무능하다는 소리를 듣게 된다. 이벤트 데이터에 대한 포괄적인 이해가 조직 전반에 부족할 때, 우리는 끝없이 불리한 입지에 몰린다.
콜라보레이션은 이미 일어나고 있다
금융·클라우드·보험·의료·소매 산업의 대기업들 몇 곳은 현재 사기·멀웨어·디도스·피싱과 연관된 이벤트 데이터를 통합하고 있다. (물리적 훼손에 대한 데이터는 많이 뒤처져 있다.) 예를 들어, 매니지드 클라우드 컴퓨팅 기업 랙스페이스(Rackspace)의 정보보호최고책임자(CISO)이자 트루스타의 자문위원인 브라이언 켈리(Brian Kelly)는 최근 월스트리트저널(Wall Street Journal)에서 물리보안과 정보보안을 결합하겠다는 결정에 대해 서술한 바 있다. 켈리는 최고급 임원진이 스피어 피싱 및 스푸핑 공격을 받는 횟수를 보면 왜 물리보안과 정보보안이 동일한 문제로 파악돼야 하는지 알 수 있다고 설명했다.
혁신적인 보안 팀들도 자사 인프라 보안 및 고객 보안과 관련된 데이터들을 통합하는 중이다. 이 데이터 모델은 특정한 데이터 포맷이나 STIX 같은 프로토콜을 도입하는 데 의존하지 않는다. 이런 방식으로 접근하는 기업들은 SIEM, 사건 관리, 엔드포인트 탐지, 취약점 데이터 등의 내부 자원을 활용하면서 관련된 외부 데이터 피드, 즉 위협 인텔리전스에서 ISAC 및 정부기관 분석 자료까지 이르는 모든 정보를 함께 활용할 수 있다.
중앙집중형의 공통된 지식 보관소에 의존해야 한다는 것이 통합 보안 데이터 모델의 핵심 요소이다. 보안과 관련된 이벤트를 하나의 공통된 지식 보관소에 축적하는 일은 각기 다른 팀들을 정비하면서 더욱 효과적으로 협업할 수 있도록 해준다. 이럴 때 보안 팀은 실시간으로 상관관계를 시각화할 수 있고 대응의 능률을 높이며 시간을 절약하기 위한 방안에 대해 머리를 맞대고 논의할 수 있다. 이 같은 접근법은 역사적인 레퍼런스 포인트를 만드는 일이기도 하다. 침해 사고나 교란이 발생했을 때 포렌식 수사를 더 신속하게 진행하는 것이 가능해진다.
이 프레임워크는 개별 조직의 범위를 훌쩍 뛰어넘는다. 뜻이 맞는 기업들은 클라우드 기반 기술을 사용해서 서로서로 통찰을 공유하고 활용할 수 있다. 머신 러닝은 지금 유행하는 TTP를 실시간으로 식별할 수 있도록 해주기 때문에 기업들은 상호간 통찰을 반영하고 SIEM 및 방화벽 프로파일을 적절하게 수정함으로써 선제적으로 방어할 수 있게 된다.
통합 보안 데이터 모델의 도입은 전통적인 위협 인텔리전스 플랫폼을 뛰어넘는 단계다. 외부 소스 데이터를 하나로 합치는 것만으론 더 이상 충분하지 않다. 연관성, 맥락, 우선순위를 정확하게 파악하려면 조직 전체의 지식을 융합해서 검토해야 한다.
글 : 폴 커츠(Paul Kurtz)
[국제부 오다인 기자(boan2@boannews.com)]
통합 보안 데이터 모델로 물리보안과 정보보안 아울러 봐야
[보안뉴스 오다인 기자] 작년 초 보안업체 트루스타(TruSTAR)는 ‘그리즐리 스테페(Grizzly Steppe)와 카르바낙(Carbanak): 사이버 공간의 계산 착오 위험’이라는 보고서를 발행했다. 트루스타는 이 보고서에서 전략(Tactics), 기술(Techniques), 절차(Procedures)를 ‘TTP’라고 축약해 부르면서, 러시아 정부지원 해킹그룹과 카르바낙 같은 범죄조직 사이에 TTP가 많이 겹친다고 설명했다. 트루스타는 카르바낙 공격과 러시아 정부 보안기관의 소행으로 지목되는 공격이 똑같은 인프라의 일부분을 활용해 공격을 펼쳤다는 사실을 발견했다. 보안업체 크라우드스트라이크(CrowdStrike)의 2018 위협 보고서는 러시아를 넘어 북한, 중국, 이란으로까지 탐색을 확대했다. 핵티비스트들이 역시 동일한 TTP를 빌려 쓰고 있다는 증거가 나왔다.
[이미지=iclickart]
TTP가 겹친다는 건 기업과 정부 네트워크 방어자에게 심각한 문제들을 제기할뿐더러 공격 대응 시 정부의 계산 착오 위험을 가중시킨다. 또한 보안 전략을 조직적인 수준에서 바꿀 필요성에 대해 설득력을 높인다. 조직이 자체적인 방어력을 높이고 다른 기업 및 정부기관과 협업함으로써 하나의 통합된 보안 데이터 모델로 변화해야 한다는 필요성 말이다.
보안 팀은 이벤트 데이터를 △사기 △피싱 △멀웨어 △디도스(DDoS) △내부자 위협 △물리적 훼손 등의 수없이 많은 항목으로 별도 구분해두는 경우가 많다. 이후 각기 다른 스킬 셋을 가진 별도의 팀이 이를 처리한다. 나름대로 합리적인 것처럼 보이지만, 이렇게 각각의 이벤트를 중심으로 데이터를 분리하면 추후 상관관계를 파악하는 데 실패한다. 즉, 하나의 공통된 보관소를 통해 여러 이벤트 간 TTP 트렌드를 읽고 패턴을 파악하는 것이 불가능해진다.
예컨대 스피어 피싱을 보자. 우리는 스피어 피싱 캠페인이 이따금씩 멀웨어 요소를 삽입함으로써 명령 및 제어(C&C) 서버를 통한 APT 공격을 수행한다는 사실을 알고 있다. 디도스는 네트워크에 분명히 지장을 주지만 지속적인 발판을 마련하는 수단으로 활용되기도 한다. 물리적 훼손은 멀웨어 임플란트로 이어진다. 이런 데이터를 융합하는 데 실패할 때 우리는 적들 앞에 취약해지고 보안 담당자들은 끔찍하게 무능하다는 소리를 듣게 된다. 이벤트 데이터에 대한 포괄적인 이해가 조직 전반에 부족할 때, 우리는 끝없이 불리한 입지에 몰린다.
콜라보레이션은 이미 일어나고 있다
금융·클라우드·보험·의료·소매 산업의 대기업들 몇 곳은 현재 사기·멀웨어·디도스·피싱과 연관된 이벤트 데이터를 통합하고 있다. (물리적 훼손에 대한 데이터는 많이 뒤처져 있다.) 예를 들어, 매니지드 클라우드 컴퓨팅 기업 랙스페이스(Rackspace)의 정보보호최고책임자(CISO)이자 트루스타의 자문위원인 브라이언 켈리(Brian Kelly)는 최근 월스트리트저널(Wall Street Journal)에서 물리보안과 정보보안을 결합하겠다는 결정에 대해 서술한 바 있다. 켈리는 최고급 임원진이 스피어 피싱 및 스푸핑 공격을 받는 횟수를 보면 왜 물리보안과 정보보안이 동일한 문제로 파악돼야 하는지 알 수 있다고 설명했다.
혁신적인 보안 팀들도 자사 인프라 보안 및 고객 보안과 관련된 데이터들을 통합하는 중이다. 이 데이터 모델은 특정한 데이터 포맷이나 STIX 같은 프로토콜을 도입하는 데 의존하지 않는다. 이런 방식으로 접근하는 기업들은 SIEM, 사건 관리, 엔드포인트 탐지, 취약점 데이터 등의 내부 자원을 활용하면서 관련된 외부 데이터 피드, 즉 위협 인텔리전스에서 ISAC 및 정부기관 분석 자료까지 이르는 모든 정보를 함께 활용할 수 있다.
중앙집중형의 공통된 지식 보관소에 의존해야 한다는 것이 통합 보안 데이터 모델의 핵심 요소이다. 보안과 관련된 이벤트를 하나의 공통된 지식 보관소에 축적하는 일은 각기 다른 팀들을 정비하면서 더욱 효과적으로 협업할 수 있도록 해준다. 이럴 때 보안 팀은 실시간으로 상관관계를 시각화할 수 있고 대응의 능률을 높이며 시간을 절약하기 위한 방안에 대해 머리를 맞대고 논의할 수 있다. 이 같은 접근법은 역사적인 레퍼런스 포인트를 만드는 일이기도 하다. 침해 사고나 교란이 발생했을 때 포렌식 수사를 더 신속하게 진행하는 것이 가능해진다.
이 프레임워크는 개별 조직의 범위를 훌쩍 뛰어넘는다. 뜻이 맞는 기업들은 클라우드 기반 기술을 사용해서 서로서로 통찰을 공유하고 활용할 수 있다. 머신 러닝은 지금 유행하는 TTP를 실시간으로 식별할 수 있도록 해주기 때문에 기업들은 상호간 통찰을 반영하고 SIEM 및 방화벽 프로파일을 적절하게 수정함으로써 선제적으로 방어할 수 있게 된다.
통합 보안 데이터 모델의 도입은 전통적인 위협 인텔리전스 플랫폼을 뛰어넘는 단계다. 외부 소스 데이터를 하나로 합치는 것만으론 더 이상 충분하지 않다. 연관성, 맥락, 우선순위를 정확하게 파악하려면 조직 전체의 지식을 융합해서 검토해야 한다.
글 : 폴 커츠(Paul Kurtz)
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
