사이버 위협 사냥은 인터넷 보안의 적극적인 방법 위협 사냥꾼이 찾는 곳 보안 위험 그럴 수도 있습니다. 회사 네트워크 내에 숨겨진.
사이버 헌팅은 자동화된 위협 탐지 시스템과 같은 보다 수동적인 사이버 보안 헌팅 기술과 달리 네트워크의 자동화된 방어 메커니즘을 피할 수 있는 이전에 탐지되지 않았거나 식별되지 않았거나 해결되지 않은 위협을 적극적으로 찾습니다.
위협 사냥이란?
적극적으로 찾는 행위 네트워크에서 탐지되지 않은 채 숨어있는 사이버 위협 위협 사냥으로 알려져 있습니다. 사이버 위협 헌팅은 초기 엔드포인트 보안 조치를 통과한 악의적인 행위자를 찾기 위해 환경을 샅샅이 뒤집니다.
일부 위험은 더욱 정교하고 발전된 반면, 대다수는 보안 시스템을 통과할 수 없습니다. 몇 주 동안 공격자는 더 많은 데이터를 수집하기 위해 네트워크를 통해 천천히 전진하면서 시스템과 파일에서 탐지되지 않은 상태를 유지할 수 있습니다.
이 절차를 수행하는 동안 몇 주 또는 몇 달이 걸릴 수 있습니다. 적극적으로 헌팅하지 않고도 보안 도구와 인력의 탐지를 쉽게 회피할 수 있습니다.
위협 사냥이 중요한 이유는 무엇입니까?
정교한 위협은 자동화된 사이버 보안을 회피할 수 있으므로 위협 사냥이 중요합니다.
자동화된 보안 도구와 Tier 20, 1를 사용하더라도 나머지 2%의 위협에 대해서는 여전히 걱정해야 합니다. 보안 운영 센터 (SOC) 분석가는 다음 사항을 처리할 수 있어야 합니다. 80% 그들의.
나머지 20%의 위협은 복잡하고 큰 피해를 입힐 가능성이 더 높습니다.
공격자는 은밀하게 네트워크에 침입하여 몇 달 동안 그곳에 머물면서 조용히 정보를 수집하고, 중요한 문서를 검색하고, 환경을 돌아다닐 수 있는 로그인 자격 증명을 얻을 수 있습니다.
많은 기업에는 적이 탐지를 성공적으로 피하고 공격이 조직의 방어선을 뚫은 후 지능형 지속 위협이 네트워크에 남아 있는 것을 방지하는 데 필요한 정교한 탐지 기술이 부족합니다.
따라서 위협 사냥은 모든 방어 전략의 중요한 요소입니다.
위협 사냥은 어떻게 작동하나요?
인간적 측면과 소프트웨어 솔루션의 대규모 데이터 처리 능력이 결합되어 사이버 위협을 효과적으로 사냥합니다.
인간 위협 사냥꾼은 정교한 보안 모니터링 및 분석 도구의 데이터를 사용하여 위협을 사전에 발견하고 제거하는 데 도움을 줍니다.
그들의 목표는 솔루션과 인텔리전스/데이터를 사용하여 토지에서 생활하는 것과 같은 전략을 사용하여 일반적인 방어를 피할 수 있는 적을 찾는 것입니다.
직관, 윤리적, 전략적 사고, 창의적인 문제 해결은 모두 사이버 헌팅 프로세스의 필수 구성 요소입니다.
조직은 다음과 같은 인간 특성을 활용하여 위협을 더 빠르고 정확하게 해결할 수 있습니다.사이버 위협 사냥꾼” 자동화된 위협 탐지 시스템에만 의존하는 것이 아니라 테이블에 가져옵니다.
사이버 위협 사냥꾼은 누구입니까?
Cyber Threat Hunters는 비즈니스 보안에 인간적 손길을 더해 자동화된 조치를 강화합니다. 그들은 심각한 문제가 발생하기 전에 위협을 식별, 기록, 감시하고 제거하는 숙련된 IT 보안 전문가입니다.
외부 분석가인 경우도 있지만 이상적으로는 회사 IT 부서의 업무에 대해 잘 알고 있는 보안 분석가입니다.
Threat Hunters는 보안 정보를 샅샅이 뒤집니다. 컴퓨터가 놓쳤거나 처리되었다고 생각했지만 처리되지 않은 의심스러운 행동 패턴은 물론 숨겨진 맬웨어나 공격자를 찾습니다.
또한 향후 동일한 종류의 침입이 발생하지 않도록 기업의 보안 시스템을 패치하는 데에도 도움이 됩니다.
위협 사냥을 위한 전제 조건
위협 사냥꾼은 사이버 위협 사냥이 효과적이기 위해서는 이상 현상을 더 잘 발견하기 위해 먼저 예상되거나 승인된 발생의 기준을 구축해야 합니다.
그러면 위협 사냥꾼은 이 기준선과 최신 위협 인텔리전스를 사용하여 위협 탐지 기술로 수집한 보안 데이터와 정보를 살펴볼 수 있습니다.
이러한 기술에는 다음이 포함될 수 있습니다. 관리 형 탐지 및 대응 (MDR), 보안 분석 도구및 보안 정보 및 이벤트 관리(SIEM) 솔루션입니다.
위협 사냥꾼은 엔드포인트, 네트워크, 클라우드 데이터를 비롯한 다양한 소스의 데이터로 무장한 후 시스템에서 잠재적인 위험, 수상한 활동 또는 표준에서 벗어나는 트리거를 검색할 수 있습니다.
위협 사냥꾼은 위협이 발견되거나 알려진 위협 인텔리전스가 새로운 가능한 위협을 가리키는 경우 가설을 세우고 광범위한 네트워크 조사를 수행할 수 있습니다.
위협 사냥꾼은 위협이 유해한지 양성인지, 네트워크가 새로운 사이버 위협으로부터 적절하게 보호되는지 확인하기 위해 이러한 조사 중에 정보를 찾습니다.
프록시를 이용한 위협 사냥
위협 사냥꾼은 웹 프록시 기록에서 풍부한 정보를 찾을 수 있습니다. 이러한 프록시는 요청을 받는 서버나 장치와 요청을 보내는 장치 사이의 통로 역할을 합니다.
웹 프록시에 의해 생성된 공통 데이터 세트를 활용하여 비정상적이거나 의심스러운 동작을 찾아낼 수 있습니다.
예를 들어, 조직의 위협 사냥꾼은 웹 프록시 로그에 포함된 위험 정보를 분석하고 다음과 같은 사용자 에이전트를 통해 의심스러운 활동을 발견할 수 있습니다. cURL 및 SharePoint 사이트.
그들은 문제에 주의를 기울이고 해당 요청이 합법적이고 DevOps 팀에서 비롯된 것임을 발견합니다.
이러한 로그를 조사하고 그 중에서 악의적인 개인을 찾기 위해 위협 사냥꾼은 다양한 프로토콜과 방법론을 사용합니다. 웹 프록시 로그는 종종 다음과 같은 세부 정보를 제공합니다.
- 대상 URL(호스트 이름)
- 목적지 IP
- HTTP 상태
- 도메인 카테고리
- 프로토콜
- 대상 포트
- 사용자 에이전트
- 요청 방법
- 장치 작업
- 요청된 파일 이름
- 런닝타임
**그리고 더!
위협 사냥과 위협 인텔리전스의 차이점
위협 인텔리전스는 일반적으로 기계 학습 및 인공 지능을 사용하는 자동화된 보안 시스템에 의해 수집되고 검사되는 침입 시도 또는 성공에 관한 데이터 모음입니다.
이 정보는 위협 사냥에서 악의적인 사용자에 대한 철저한 시스템 전체 검색을 수행하는 데 사용됩니다.
즉, 위협 사냥은 위협 인텔리전스가 끝나는 곳에서 시작됩니다. 생산적인 위협 사냥을 통해 아직 야생에서 발견되지 않은 위험도 찾을 수 있습니다.
위협 지표는 위협 사냥에서 단서나 가설로 사용되는 경우도 있습니다. 맬웨어나 공격자가 남긴 가상 지문, 이상한 IP 주소, 피싱 이메일 또는 기타 비정상적인 네트워크 트래픽은 모두 위협 지표의 예입니다.
빠른 링크:
결론: Threat Hunting 2024이란 무엇입니까?
사고 감지, 대응, 해결의 일반적인 절차는 위협 사냥을 통해 강력하게 보완됩니다. 기업을 위한 현실적이고 실용적인 전략은 예상치 못한 위협에 대비하여 스스로를 강화하는 것입니다.
그럼에도 불구하고 프록시 로그를 모니터링하면 웹사이트를 스크랩하는 사용자를 식별하는 것도 가능합니다. 단지 정당한 업무를 완수하려고만 하는 사람들은 이런 상황에서 문제에 봉착하게 된다.
여러 프록시, 특히 실제 IP 주소를 숨기는 데 도움이 되는 프록시를 사용함으로써 사용자는 위협 사냥꾼이 자신의 활동을 발견하는 것을 방지할 수 있습니다.
또한 모든 활동에 대한 단일 IP 주소가 없기 때문에 로그는 이러한 사냥꾼에게 위험 신호를 발생시키지 않습니다.
이를 위해서는 위협 사냥 소프트웨어에 합법적인 것처럼 보이는 고품질 프록시가 필요합니다. 귀하의 질문에 대답하자면, 위협 헌팅 소프트웨어는 기본적으로 위협 헌팅 프로토콜 및 분석을 수행하는 프로그램입니다.
한눈에 보기