사이버 위협 사냥은 인터넷 보안의 적극적인 방법 위협 사냥꾼이 찾는 곳 보안 위험 그럴 수도 있습니다. 회사 네트워크 내에 숨겨진.
사이버 헌팅은 자동화된 위협 탐지 시스템과 같은 보다 수동적인 사이버 보안 헌팅 기술과 달리 네트워크의 자동화된 방어 메커니즘을 피할 수 있는 이전에 탐지되지 않았거나 식별되지 않았거나 해결되지 않은 위협을 적극적으로 찾습니다.
위협 사냥이란?
적극적으로 찾는 행위 네트워크에서 탐지되지 않은 채 숨어있는 사이버 위협 위협 사냥으로 알려져 있습니다. 사이버 위협 헌팅은 초기 엔드포인트 보안 조치를 통과한 악의적인 행위자를 찾기 위해 환경을 샅샅이 뒤집니다.
일부 위험은 더욱 정교하고 발전된 반면, 대다수는 보안 시스템을 통과할 수 없습니다. 몇 주 동안 공격자는 더 많은 데이터를 수집하기 위해 네트워크를 통해 천천히 전진하면서 시스템과 파일에서 탐지되지 않은 상태를 유지할 수 있습니다.
이 절차를 수행하는 동안 몇 주 또는 몇 달이 걸릴 수 있습니다. 적극적으로 헌팅하지 않고도 보안 도구와 인력의 탐지를 쉽게 회피할 수 있습니다.
위협 사냥이 중요한 이유는 무엇입니까?
정교한 위협은 자동화된 사이버 보안을 회피할 수 있으므로 위협 사냥이 중요합니다.
자동화된 보안 도구와 Tier 20, 1를 사용하더라도 나머지 2%의 위협에 대해서는 여전히 걱정해야 합니다. 보안 운영 센터 (SOC) 분석가는 다음 사항을 처리할 수 있어야 합니다. 80% 그들의.
나머지 20%의 위협은 복잡하고 큰 피해를 입힐 가능성이 더 높습니다.
공격자는 은밀하게 네트워크에 침입하여 몇 달 동안 그곳에 머물면서 조용히 정보를 수집하고, 중요한 문서를 검색하고, 환경을 돌아다닐 수 있는 로그인 자격 증명을 얻을 수 있습니다.
많은 기업에는 적이 탐지를 성공적으로 피하고 공격이 조직의 방어선을 뚫은 후 지능형 지속 위협이 네트워크에 남아 있는 것을 방지하는 데 필요한 정교한 탐지 기술이 부족합니다.
따라서 위협 사냥은 모든 방어 전략의 중요한 요소입니다.
위협 사냥의 유형
IBM의 공식 웹사이트에서는 위협 사냥의 세 가지 주요 유형을 매우 적절하게 설명했습니다. 해당 블로그에 따르면 위협 사냥은 다음과 같은 유형으로 이루어집니다.
1. 구조화된 사냥
An 공격 표시(IoA) 그리고 공격자의 전술, 방법, 절차 (TTP) 체계적인 사냥의 기초가 됩니다.
모든 사냥은 위협 행위자의 TTP를 기반으로 계획되고 이루어집니다. 이 때문에 사냥꾼은 공격자가 환경을 혼란에 빠뜨리기 전에 위협 행위자를 인식하는 경우가 많습니다.
2. 구조화되지 않은 사냥
임시 헌트는 여러 트리거 중 하나에 따라 시작됩니다. 타협의 지표 (IOC). 이 방아쇠는 일반적으로 사냥꾼에게 다음을 찾도록 촉구하는 데 사용됩니다. 사전 및 사후 탐지 패턴.
데이터 보존 및 이전에 관련된 범죄가 허용하는 한도 내에서 사냥꾼은 계획을 수립하기 위해 연구를 수행할 수 있습니다.
3. 상황 또는 실체 중심
상황에 따른 가설은 조직의 내부 위험 평가나 IT 인프라 고유의 추세 및 약점 조사를 통해 생성될 수 있습니다.
일반 대중으로부터 수집된 공격 데이터는 검토 시 진행 중인 사이버 위협의 최신 TTP를 보여주며, 여기서 엔터티 지향 리드가 생성됩니다. 그런 다음 위협 사냥꾼은 이러한 특정 행동을 찾기 위해 주변을 스캔할 수 있습니다.
위협 사냥은 어떻게 작동하나요?
인간적 측면과 소프트웨어 솔루션의 대규모 데이터 처리 능력이 결합되어 사이버 위협을 효과적으로 사냥합니다.
인간 위협 사냥꾼은 정교한 보안 모니터링 및 분석 도구의 데이터를 사용하여 위협을 사전에 발견하고 제거하는 데 도움을 줍니다.
그들의 목표는 솔루션과 인텔리전스/데이터를 사용하여 토지에서 생활하는 것과 같은 전략을 사용하여 일반적인 방어를 피할 수 있는 적을 찾는 것입니다.
직관, 윤리적, 전략적 사고, 창의적인 문제 해결은 모두 사이버 헌팅 프로세스의 필수 구성 요소입니다.
조직은 다음과 같은 인간 특성을 활용하여 위협을 더 빠르고 정확하게 해결할 수 있습니다.사이버 위협 사냥꾼” 자동화된 위협 탐지 시스템에만 의존하는 것이 아니라 테이블에 가져옵니다.
사이버 위협 사냥꾼은 누구입니까?
Cyber Threat Hunters는 비즈니스 보안에 인간적 손길을 더해 자동화된 조치를 강화합니다. 그들은 심각한 문제가 발생하기 전에 위협을 식별, 기록, 감시하고 제거하는 숙련된 IT 보안 전문가입니다.
외부 분석가인 경우도 있지만 이상적으로는 회사 IT 부서의 업무에 대해 잘 알고 있는 보안 분석가입니다.
Threat Hunters는 보안 정보를 샅샅이 뒤집니다. 컴퓨터가 놓쳤거나 처리되었다고 생각했지만 처리되지 않은 의심스러운 행동 패턴은 물론 숨겨진 맬웨어나 공격자를 찾습니다.
또한 향후 동일한 종류의 침입이 발생하지 않도록 기업의 보안 시스템을 패치하는 데에도 도움이 됩니다.
위협 사냥을 위한 전제 조건
위협 사냥꾼은 사이버 위협 사냥이 효과적이기 위해서는 이상 현상을 더 잘 발견하기 위해 먼저 예상되거나 승인된 발생의 기준을 구축해야 합니다.
그러면 위협 사냥꾼은 이 기준선과 최신 위협 인텔리전스를 사용하여 위협 탐지 기술로 수집한 보안 데이터와 정보를 살펴볼 수 있습니다.
이러한 기술에는 다음이 포함될 수 있습니다. 관리 형 탐지 및 대응 (MDR), 보안 분석 도구및 보안 정보 및 이벤트 관리(SIEM) 솔루션입니다.
위협 사냥꾼은 엔드포인트, 네트워크, 클라우드 데이터를 비롯한 다양한 소스의 데이터로 무장한 후 시스템에서 잠재적인 위험, 수상한 활동 또는 표준에서 벗어나는 트리거를 검색할 수 있습니다.
위협 사냥꾼은 위협이 발견되거나 알려진 위협 인텔리전스가 새로운 가능한 위협을 가리키는 경우 가설을 세우고 광범위한 네트워크 조사를 수행할 수 있습니다.
위협 사냥꾼은 위협이 유해한지 양성인지, 네트워크가 새로운 사이버 위협으로부터 적절하게 보호되는지 확인하기 위해 이러한 조사 중에 정보를 찾습니다.
위협 사냥 방법론
위협 사냥꾼은 공격자가 이미 시스템에 존재한다고 가정하고 조사를 시작하고 적대적인 활동의 존재를 나타낼 수 있는 이상한 행동을 찾습니다.
이러한 조사 시작은 사전 예방적 위협 사냥의 세 가지 범주 중 하나에 속하는 경우가 많습니다.
조직의 시스템과 정보를 선제적으로 방어하기 위한 세 가지 전략 모두 위협 인텔리전스 리소스와 최첨단 보안 기술을 결합하는 인력 노력이 필요합니다.
1. 가설 기반 조사
크라우드소싱된 공격 데이터의 방대한 데이터베이스를 통해 발견된 새로운 위험은 공격자가 사용하는 최신 전략, 기술 및 절차에 대한 정보를 제공하는 가설 중심 조사를 촉발하는 경우가 많습니다(TTP).
그러면 위협 사냥꾼은 새로운 TTP가 감지되면 공격자의 고유한 행동이 자신의 환경에 존재하는지 확인합니다.
2. 식별된 공격 지표 또는 침해 지표를 기반으로 한 조사
전술적 위협 인텔리전스를 사용하는 이 위협 헌팅 방법은 새로운 위협과 연결된 알려진 IOC 및 IOA를 나열합니다. 그런 다음 위협 사냥꾼은 이를 트리거로 활용하여 잠재적인 은밀한 공격이나 진행 중인 유해 활동을 찾을 수 있습니다.
3. 고급 분석 및 기계 학습 조사
세 번째 방법은 기계 학습과 고급 데이터 분석을 사용하여 방대한 양의 데이터를 조사하여 가능한 적대적 활동을 가리킬 수 있는 이상 현상을 찾습니다.
이러한 변칙은 지식이 풍부한 분석가가 조사하여 은밀한 위험을 찾아내는 사냥 단서가 됩니다.
프록시를 이용한 위협 사냥
위협 사냥꾼은 웹 프록시 기록에서 풍부한 정보를 찾을 수 있습니다. 이러한 프록시는 요청을 받는 서버나 장치와 요청을 보내는 장치 사이의 통로 역할을 합니다.
웹 프록시에 의해 생성된 공통 데이터 세트를 활용하여 비정상적이거나 의심스러운 동작을 찾아낼 수 있습니다.
예를 들어, 조직의 위협 사냥꾼은 웹 프록시 로그에 포함된 위험 정보를 분석하고 다음과 같은 사용자 에이전트를 통해 의심스러운 활동을 발견할 수 있습니다. cURL 및 SharePoint 사이트.
그들은 문제에 주의를 기울이고 해당 요청이 합법적이고 DevOps 팀에서 비롯된 것임을 발견합니다.
이러한 로그를 조사하고 그 중에서 악의적인 개인을 찾기 위해 위협 사냥꾼은 다양한 프로토콜과 방법론을 사용합니다. 웹 프록시 로그는 종종 다음과 같은 세부 정보를 제공합니다.
- 대상 URL(호스트 이름)
- 목적지 IP
- HTTP 상태
- 도메인 카테고리
- 프로토콜
- 대상 포트
- 사용자 에이전트
- 요청 방법
- 장치 작업
- 요청된 파일 이름
- 런닝타임
**그리고 더!
프록시 로그를 사용한 위협 사냥은 어떻게 작동합니까?
이제 위협 사냥을 이해했으므로 웹 프록시 로그가 이러한 사냥꾼을 어떻게 지원하는지 연구해 보겠습니다. 웹 프록시 로그에는 여러 데이터 조각이 포함되어 있으므로 분석가는 네트워크와 관련된 취약점과 악의적인 당사자를 찾기 위해 다양한 방법을 사용해야 합니다.
1. 차단된 트래픽 검토:
조직의 사용자에게 금지된 웹사이트라도 사용자가 특정 웹사이트에 액세스하게 된 이유를 알아내는 것이 중요합니다. 이는 컴퓨터가 감염되었음을 의미할 수 있습니다.
2. IP 요청이 포함된 URL:
이 필터링은 하드코딩된 IP 주소를 사용하여 DNS 보안 제한을 해결하는 로그를 찾아낼 수 있습니다.
3. 파일 확장자가 있는 URL:
이 필터는 .doc, .pdf 및 .exe와 같은 파일 확장자를 가진 잠재적으로 위험한 URL을 표시합니다. 공격자는 매크로 기능이 포함된 문서 또는 PDF 파일을 활용하여 컴퓨터나 네트워크에 악성 코드를 심는 경우가 많습니다.
4. 일반적이지 않은 URL을 포함하는 알려진 리퍼러 URL:
인기 있는 추천 도메인과 고유한 URL이 포함된 로그를 필터링하면 피싱 링크를 더 쉽게 식별할 수 있습니다.
위협 사냥과 위협 인텔리전스의 차이점
위협 인텔리전스는 일반적으로 기계 학습 및 인공 지능을 사용하는 자동화된 보안 시스템에 의해 수집되고 검사되는 침입 시도 또는 성공에 관한 데이터 모음입니다.
이 정보는 위협 사냥에서 악의적인 사용자에 대한 철저한 시스템 전체 검색을 수행하는 데 사용됩니다.
즉, 위협 사냥은 위협 인텔리전스가 끝나는 곳에서 시작됩니다. 생산적인 위협 사냥을 통해 아직 야생에서 발견되지 않은 위험도 찾을 수 있습니다.
위협 지표는 위협 사냥에서 단서나 가설로 사용되는 경우도 있습니다. 맬웨어나 공격자가 남긴 가상 지문, 이상한 IP 주소, 피싱 이메일 또는 기타 비정상적인 네트워크 트래픽은 모두 위협 지표의 예입니다.
빠른 링크:
결론: Threat Hunting 2024이란 무엇입니까?
사고 감지, 대응, 해결의 일반적인 절차는 위협 사냥을 통해 강력하게 보완됩니다. 기업을 위한 현실적이고 실용적인 전략은 예상치 못한 위협에 대비하여 스스로를 강화하는 것입니다.
그럼에도 불구하고 프록시 로그를 모니터링하면 웹사이트를 스크랩하는 사용자를 식별하는 것도 가능합니다. 단지 정당한 업무를 완수하려고만 하는 사람들은 이런 상황에서 문제에 봉착하게 된다.
여러 프록시, 특히 실제 IP 주소를 숨기는 데 도움이 되는 프록시를 사용함으로써 사용자는 위협 사냥꾼이 자신의 활동을 발견하는 것을 방지할 수 있습니다.
또한 모든 활동에 대한 단일 IP 주소가 없기 때문에 로그는 이러한 사냥꾼에게 위험 신호를 발생시키지 않습니다.
이를 위해서는 위협 사냥 소프트웨어에 합법적인 것처럼 보이는 고품질 프록시가 필요합니다. 귀하의 질문에 대답하자면, 위협 헌팅 소프트웨어는 기본적으로 위협 헌팅 프로토콜 및 분석을 수행하는 프로그램입니다.
한눈에 보기
