사이버 위협 헌팅이란?
사이버 위협 헌팅은 조직의 네트워크, 엔드포인트 및 데이터에서 알려지지 않았거나 탐지되지 않은 위협을 사전에 검색하는 프로세스입니다.
사이버 위협 헌팅 작동 방식
사이버 위협 헌팅은 위협 헌터를 활용하여 시스템 또는 네트워크 내에서 잠재적인 위협 및 공격을 선제적으로 검색합니다. 이를 통해 점점 더 복잡해지고 인간이 조작하는 사이버 공격에 민첩하고 효율적으로 대응할 수 있습니다. 기존의 사이버 보안 방법은 사후에 보안 침해를 식별하는 반면, 사이버 위협 헌팅은 침해가 발생했다는 가정 하에 작동하며 탐지 즉시 잠재적 위협을 식별, 적응 및 대응할 수 있습니다.
지능적인 공격자는 조직을 침해할 수 있으며 며칠, 몇 주 또는 더 긴 기간 동안 탐지되지 않은 상태를 유지할 수 있습니다. 엔드포인트 탐지 및 대응(EDR) 및 보안 정보 및 이벤트 관리(SIEM)와 같은 기존 보안 도구 프로필에 사이버 위협 헌팅을 추가하면 자동화된 보안 도구로 탐지할 수 없는 공격을 예방하고 해결하는 데 도움이 될 수 있습니다.
자동화된 위협 헌팅
사이버 위협 헌터는 기계 학습, 자동화 및 AI를 사용하여 프로세스의 특정 측면을 자동화할 수 있습니다. SIEM 및 EDR과 같은 솔루션을 활용하면 위협 헌터가 잠재적 위협을 모니터링, 감지 및 대응하여 헌팅 절차를 간소화할 수 있습니다. 위협 헌터는 다양한 플레이북을 만들고 자동화하여 다양한 위협에 대응할 수 있으므로 유사한 공격이 발생할 때마다 IT 팀의 부담을 줄일 수 있습니다.
사이버 위협 헌팅을 위한 도구 및 기술
위협 헌터는 함께 작동하도록 설계된 SIEM 및 XDR과 같은 솔루션을 포함하여 다양한 도구를 사용할 수 있습니다.
세 가지 유형의 사이버 위협 헌팅
사이버 위협 헌팅은 일반적으로 다음 세 가지 형태 중 하나를 사용합니다.
구조적: 구조화된 헌팅에서 위협 헌터는 잠재적 위협을 제안하는 의심스러운 TTP(기법 및 절차)를 찾습니다. 위협 헌터는 데이터나 시스템에 접근하여 침해자를 찾는 대신 잠재적 공격자의 방법에 대한 가설을 세우고 해당 공격의 증상을 식별하기 위해 체계적으로 작업합니다. 구조적 헌팅은 보다 사전 예방적인 접근 방식이므로 이 전술을 사용하는 IT 전문가는 공격자를 신속하게 가로채거나 중지할 수 있는 경우가 많습니다.
비정형: 비정형 헌트에서 사이버 위협 헌터는 IoC(침해지표) 를 검색하고 이 시작점에서 검색을 수행합니다. 위협 헌터는 과거 데이터로 돌아가 패턴과 단서를 검색할 수 있기 때문에 구조화되지 않은 헌팅은 때때로 조직을 여전히 위험에 빠뜨릴 수 있는 이전에 탐지되지 않은 위협을 식별할 수 있습니다.
상황적: 상황 위협 헌팅은 디지털 에코시스템 내에서 특정 리소스 또는 데이터의 우선 순위를 지정합니다. 조직에서 특정 직원이나 자산이 가장 위험하다고 평가하면 사이버 위협 헌터에게 이러한 취약한 사람, 데이터 세트 또는 엔드포인트에 대한 공격을 예방 또는 해결하는 데 집중하도록 지시할 수 있습니다.
위협 헌팅 단계 및 구현
사이버 위협 헌터는 위협 및 공격을 조사하고 수정할 때 다음과 같은 기본 단계를 따르는 경우가 많습니다.
- 잠재적 위협에 대한 이론 또는 가설을 만듭니다. 위협 헌터는 공격자의 일반적인 TTP를 식별하여 시작할 수 있습니다.
- 리서치를 수행합니다. 위협 헌터는 조직의 데이터, 시스템 및 활동을 조사하고 SIEM 솔루션이 유용한 도구가 될 수 있으며 관련 정보를 수집하고 처리합니다.
- 트리거를 식별합니다. 연구 결과 및 기타 보안 도구는 위협 헌터가 조사를 위한 시작점을 구분하는 데 도움이 될 수 있습니다.
- 위협을 조사합니다. 위협 헌터는 연구 및 보안 도구를 사용하여 위협이 악성인지 확인합니다.
- 응답하고 수정합니다. 위협 헌터는 위협을 해결하기 위한 조치를 취합니다.
내부자가 감지할 수 있는 위협 유형
사이버 위협 헌팅은 다음을 포함하여 다양한 위협을 식별할 수 있는 역량이 있습니다.
- 맬웨어 및 바이러스: 맬웨어는 엔드포인트 장치에 대한 무단 액세스 권한을 얻어 정상적인 장치의 사용을 방해합니다. 피싱 공격, 스파이웨어, 애드웨어, 트로이 목마, 웜 및 랜섬웨어는 모두 맬웨어의 예입니다. 맬웨어의 가장 일반적인 형태 중 하나인 바이러스는 네트워크의 다른 장치로 확산되기 전에 데이터를 기록, 손상 또는 삭제하여 장치의 정상적인 작동을 방해하도록 설계되었습니다.
- 내부자 위협: 내부자 위협은 조직의 네트워크에 대한 권한이 부여된 액세스 권한이 있는 개인에서 비롯됩니다. 악의적인 행동이든 부주의하거나 부주의한 행동이든 이러한 내부자는 조직의 네트워크, 데이터, 시스템 또는 시설을 오용하거나 해를 끼칩니다.
- 지능형 지속 위협: 조직의 네트워크를 침해하고 일정 기간 동안 탐지되지 않는 정교한 행위자는 지능형 지속 위협을 나타냅니다. 이러한 공격자는 숙련되고 종종 자원이 풍부합니다.
소셜 엔지니어링 공격: 사이버 공격자는 조작과 속임수를 사용하여 조직의 직원을 오도하여 액세스 권한이나 중요한 정보를 제공할 수 있습니다. 일반적인 소셜 엔지니어링 공격에는 피싱, 베이팅 및 스케어웨어가 포함됩니다.
사이버 위협 헌팅 모범 사례
조직에서 사이버 위협 헌팅 프로토콜을 구현할 때는 다음 모범 사례를 염두에 두어야 합니다.
- 위협 헌터에게 조직에 대한 완전한 가시성을 제공합니다. 위협 헌터는 큰 그림을 이해할 때 가장 성공할 수 있습니다.
- SIEM, XDR 및 EDR과 같은 보완 보안 도구를 유지 관리합니다. 사이버 위협 헌터는 이러한 도구에서 제공하는 자동화 및 데이터를 사용하여 더 빠르게 위협을 식별하고 더 빠른 해결을 위해 더 큰 컨텍스트로 위협을 식별합니다.
- 최신의 새로운 위협 및 전술에 대한 최신 정보를 확인하세요. 공격자와 그들의 전술은 끊임없이 진화하고 있으므로 위협 헌터가 최신 동향에 대한 최신 리소스를 보유하고 있는지 확인하세요.
- 의심스러운 동작을 식별하고 보고하도록 직원을 교육합니다. 사람들에게 정보를 제공하여 내부자 위협 가능성을 줄이세요.
- 취약성 관리를 구현하여 조직의 전반적인 위험 노출을 줄입니다.
조직에서 위협 헌팅이 중요한 이유
악의적인 행위자의 공격 방법이 점점 더 정교해짐에 따라 조직은 사전 예방적 사이버 위협 헌팅에 투자하는 것이 중요합니다. 보다 수동적인 형태의 위협 보호를 보완하는 사이버 위협 헌팅은 보안 격차를 해소하여 조직이 탐지되지 않는 위협을 해결할 수 있도록 합니다. 지능적인 공격자의 위협이 심화됨에 따라 조직은 민감한 데이터를 처리하는 능력에 대한 신뢰를 유지하고 보안 침해와 관련된 비용을 절감하기 위해 방어를 강화해야 합니다.
Microsoft Sentinel과 같은 제품은 클라우드 규모에서 기록 데이터를 수집, 저장 및 액세스하고, 조사를 간소화하고, 일반적인 작업을 자동화하여 위협에 미리 대비할 수 있도록 지원합니다. 이러한 솔루션은 사이버 위협 헌터에게 조직을 보호하는 데 도움이 되는 강력한 도구를 제공할 수 있습니다.
자주 묻는 질문
-
사이버 위협 헌팅의 예로는 위협 헌터가 공격자가 사용할 수 있는 의심스러운 전술, 기술 및 절차를 식별한 다음 조직의 네트워크 내에서 증거를 검색하는 가설 기반 헌트가 있습니다.
-
위협 탐지는 사이버 보안에 대한 능동적이고 자동화된 접근 방식인 반면, 위협 헌팅은 자동화되지 않은 사전 예방적 접근 방식입니다.
-
보안 운영 센터(SOC)는 조직의 사이버 보안 태세를 개선하고 위협을 예방, 탐지 및 대응하는 중앙 집중식 기능 또는 팀입니다. 사이버 위협 헌팅은 SOC가 위협을 식별하고 수정하는 데 사용하는 전략 중 하나입니다.
-
사이버 위협 헌팅 도구는 IT 팀과 위협 헌터가 위협을 감지하고 수정하는 데 사용할 수 있는 소프트웨어 리소스입니다. 위협 헌팅 도구의 예로는 바이러스 백신 및 방화벽 보호, EDR 소프트웨어, SIEM 도구 및 데이터 분석 등이 있습니다.
-
사이버 위협 헌팅의 주요 목적은 지능적인 위협과 공격이 조직에 해를 끼치기 전에 사전에 탐지하고 해결하는 것입니다.
-
사이버 위협 인텔리전스는 사이버 보안 소프트웨어가 사이버 공격으로부터 더 잘 보호하기 위해 보안 프로토콜의 일부로 수집하는 정보 및 데이터로, 종종 자동으로 수집됩니다. 위협 헌팅에는 위협 인텔리전스에서 수집한 정보를 가져와 위협을 검색하고 수정하기 위한 가설과 조치를 알리는 데 사용하는 작업이 포함됩니다.
Microsoft 팔로우