손상 지표 설명
IOC(손상 지표)는 누군가가 조직의 네트워크 또는 엔드포인트를 위반했을 수 있다는 증거입니다. 이 포렌식 데이터는 잠재적인 위협을 나타내는 것이 아니라 맬웨어, 손상된 자격 증명 또는 데이터 반출과 같은 공격이 이미 발생했음을 나타냅니다. 보안 전문가는 이벤트 로그에서 IOC, 확장 검색 및 응답(XDR) 솔루션 SIEM(보안 정보 및 이벤트 관리 ) 솔루션을 검색합니다. 공격 중에 팀은 IOC를 사용하여 위협을 제거하고 손상을 완화합니다. 복구 후 IOC는 조직에서 발생한 상황을 더 잘 이해할 수 있도록 하여 조직의 보안 팀이 보안을 강화하고 다른 유사한 인시던트의 위험을 줄일 수 있도록 합니다.
IOC의 예
IOC 보안에서 IT는 공격이 진행 중이라는 다음과 같은 단서를 찾기 위해 환경을 모니터링합니다.
네트워크 트래픽 변칙
대부분의 조직에서는 디지털 환경으로 들어오는 네트워크 트래픽에 대한 일관된 패턴이 있습니다. 조직에서 나가는 데이터가 훨씬 더 많거나 비정상적인 네트워크 위치에서 오는 활동이 있는 경우와 같이 변경이 발생하면 공격의 신호일 수 있습니다.
비정상적인 로그인 시도
네트워크 트래픽과 마찬가지로 사용자의 업무 습관도 예측할 수 있습니다. 일반적으로 동일한 위치에서 주 중 거의 같은 시간에 로그인합니다. 보안 전문가는 하루 중 이상한 시간에 로그인하거나 조직에 사무실이 없는 국가와 같은 비정상적인 지역에서 하는 로그인에 주의를 기울임으로써 손상된 계정을 검색할 수 있습니다. 또한 동일한 계정에서 여러 번 실패한 로그인을 기록해 두는 것이 중요합니다. 사용자는 주기적으로 암호를 잊어버리거나 로그인하는 데 문제가 있지만 일반적으로 몇 번의 시도 후에 해결할 수 있습니다. 로그인 시도가 반복적으로 실패하면 누군가가 도난된 계정을 사용하여 조직에 액세스하려고 함을 나타낼 수 있습니다.
권한 계정 불규칙성
참가자든, 공격자든 관계없이 많은 공격자는 관리 계정에 액세스하고 중요한 데이터를 가져오는 데 관심이 있습니다. 이러한 계정과 관련된 비정상 동작(예: 자신의 권한을 높이려는 사람)은 위반의 신호일 수 있습니다.
시스템 구성 변경
맬웨어는 원격 액세스를 사용하도록 설정하거나 보안 소프트웨어를 사용하지 않도록 설정하는 등 시스템 구성을 변경하도록 프로그래밍되는 경우가 많습니다. 보안 전문가는 이러한 예기치 않은 구성 변경을 모니터링하여 너무 많은 손상이 발생하기 전에 위반을 식별할 수 있습니다.
예기치 않은 소프트웨어 설치 또는 업데이트
대부분의 공격은 파일에 액세스할 수 없도록 하거나 공격자가 네트워크에 액세스할 수 있도록 설계된 맬웨어 또는 랜섬웨어같은 소프트웨어 설치로 시작합니다. 조직에서는 계획되지 않은 소프트웨어 설치 및 업데이트를 모니터링하여 이러한 IOC를 신속하게 잡아낼 수 있습니다.
동일한 파일에 대한 수많은 요청
단일 파일에 대한 다중 요청은 악의적인 행위자가 도용을 시도하고 있으며 여러 가지 방법으로 액세스하려고 시도했음을 나타낼 수 있습니다.
비정상적인 도메인 이름 시스템 요청
일부 악의적인 행위자는 명령 및 제어라는 공격 메서드를 사용합니다. 이들은 소유한 서버에 대한 연결을 만드는 조직 서버에 맬웨어를 설치합니다. 그런 다음 서버에서 감염된 컴퓨터로 명령을 보내 데이터를 도용하거나 작업을 중단하려고 시도합니다. 비정상적인 DNS(Domain Name Systems) 요청은 IT에서 이러한 공격을 감지하는 데 도움이 됩니다.
IOC가 중요한 이유
IOC 모니터링은 조직의 보안 위험을 줄이는 데 중요합니다. IOC를 조기에 검색하면 보안 팀이 공격에 신속하게 대응하고 해결하여 가동 중지 시간과 중단의 양을 줄일 수 있습니다. 또한 정기적인 모니터링을 통해 팀은 조직의 취약성에 대한 더 큰 인사이트를 얻을 수 있으므로 위험을 완화할 수 있습니다.
손상 지표 대응
보안 팀이 IOC를 식별하면 조직에 최대한 적은 손상을 입히기 위해 효과적으로 대응해야 합니다. 다음 단계는 조직이 최대한 빨르게 포커스를 유지하고 위협을 중지하는 데 도움이 됩니다.
인시던트 대응 계획 수립
인시던트에 대한 대응은 공격자가 감지되지 않는 상태가 길어질수록 목표를 달성할 가능성이 높기 때문에 시간이 중요합니다. 많은 조직에서 인시던트 대응 계획을 개발하여 대응의 중요한 단계에서 팀을 안내합니다. 이 계획은 조직이 인시던트, 역할 및 책임을 정의하는 방법, 인시던트를 해결하는 데 필요한 단계 및 팀이 직원 및 외부 이해 관계자와 통신하는 방법을 간략하게 설명합니다.
손상된 시스템 및 디바이스 격리
조직이 위협을 식별하면 보안 팀은 공격을 받고 있는 애플리케이션 또는 시스템을 나머지 네트워크와 신속하게 격리합니다. 그러면 공격자가 비즈니스의 다른 부분에 액세스하지 못하게 하는 데 도움이 됩니다.
포렌식 분석 수행
포렌식 분석을 통해 조직은 원본, 공격 유형 및 공격자 목표를 포함하여 위반의 모든 측면을 파악할 수 있습니다. 분석은 공격 중에 수행되어 손상 범위를 파악합니다. 조직이 공격으로부터 복구되면 추가 분석을 통해 팀이 가능한 취약성 및 기타 인사이트를 이해하는 데 도움이 됩니다.
위협 제거
팀은 영향을 받는 시스템 및 리소스에서 공격자와 맬웨어를 제거합니다. 이 경우 시스템을 오프라인으로 전환할 수 있습니다.
보안 및 프로세스 개선 사항 구현
조직이 인시던트에서 복구된 후에는 공격이 발생한 이유와 조직이 이를 방지하기 위해 수행할 수 있는 작업이 있는지를 평가하는 것이 중요합니다. 향후 유사한 공격 위험을 줄이는 간단한 프로세스 및 정책 개선 사항이 있을 수도 있고, 팀이 보안 로드맵에 추가할 더 광범위한 솔루션을 식별할 수도 있습니다.
IOC 솔루션
대부분의 보안 위반은 로그 파일 및 시스템에 포렌식 내역을 남깁니다. 이러한 IOC를 식별하고 모니터링하는 학습은 조직이 공격자를 신속하게 격리하고 제거하는 데 도움이 됩니다. 많은 팀이 AI 및 자동화를 사용하여 IOC를 표시하고 다른 이벤트와 상호 연결하는 Microsoft Sentinel 및 Microsoft Defender XDR과 같은 SIEM 솔루션을 사용합니다. 인시던트 대응 계획을 통해 팀은 공격을 미리 수행하고 신속하게 종료할 수 있습니다. 사이버 보안과 관련하여 기업이 상황을 더 빠르게 파악할수록 비용이 발생하거나 평판이 손상되기 전에 공격을 중단할 수 있는 가능성이 높아집니다. IOC 보안은 조직이 비용이 많이 드는 위반 위험을 줄이는 데 핵심적인 역할을 합니다.
Microsoft Security에 대한 자세한 정보
자주 묻는 질문
-
몇 가지 유형의 IOC가 있습니다. 가장 일반적인 몇 가지 항목은 다음과 같습니다.
- 네트워크 트래픽 변칙
- 비정상적인 로그인 시도
- 권한 계정 불규칙성
- 시스템 구성 변경
- 예기치 않은 소프트웨어 설치 또는 업데이트
- 동일한 파일에 대한 수많은 요청
- 비정상적인 도메인 이름 시스템 요청
-
손상 지표는 공격이 이미 발생했음을 나타내는 디지털 증거입니다. 공격의 지표는 공격이 발생할 가능성이 있다는 증거입니다. 예를 들어 피싱 캠페인은 공격자가 회사를 침해했다는 증거가 없기 때문에 공격을 나타내는 지표입니다. 그러나 누군가가 피싱 링크를 클릭하고 맬웨어를 다운로드하는 경우 맬웨어 설치는 손상의 지표입니다.
-
전자 메일의 손상 지표에는 스팸의 갑작스러운 폭주, 이상한 첨부 파일 또는 링크 또는 알고있는 사람으로부터의 예기치 않은 전자 메일이 포함됩니다. 예를 들어 직원이 동료에게 이상한 첨부 파일이 포함된 전자 메일을 보내는 경우 계정이 손상되었음을 나타낼 수 있습니다.
-
손상된 시스템을 식별하는 방법에는 여러 가지가 있습니다. 특정 컴퓨터의 네트워크 트래픽 변경은 손상되었음을 나타내는 지표일 수 있습니다. 일반적으로 시스템이 필요하지 않은 사용자가 정기적으로 액세스하기 시작하면 적색 신호입니다. 시스템 또는 예기치 않은 소프트웨어 설치의 구성이 변경되는 것은 손상을 나타내는 것일 수 있습니다.
-
세 가지 IOC 예제는 다음과 같습니다.
- 북아메리카 기반의 사용자 계정이 유럽의 회사 리소스에 로그인하기 시작.
- 조직이 무차별 암호 대입 공격의 대상이 되었음을 나타내는 여러 사용자 계정에서 수천 개의 액세스 요청.
- 새 도메인 이름 시스템 요청이 새 호스트 또는 직원과 고객이 상주하지 않는 국가에서 오는 경우.
Microsoft 팔로우