2017.03.14

'해커보다 한 걸음 앞선다' 위협 인텔리전스의 7가지 보편적 법칙

Ryan Francis | CSO
위협 인텔리전스로 기업이 해커보다 한 걸음 또는 그 이상 앞설 수 있게 됐다.

사이버 보안은 영웅적 과제다. 매일 기업과 조직은 전세계의 악의적인 공격자의 맹공격을 당하고 있다. 조직의 사이버 보안 활동의 하나로, 이러한 공격은 실제로 발생하는 경우에만 포착하지 말고 위협이 완화되고 문제가 발생하기 전에 위협을 막을 수 있다.

어떤 유형의 위협 인텔리전스를 선택하든 상관없이 모든 기업에서 실행할 수 있는 베스트 프랙티스 몇 가지가 있다. 웹에서 자유롭게 사용할 수 있는 오픈소스 정보는 기업이 공격을 예측하고 대비할 수 있도록 도와준다.

여기 위협 인텔리전스의 7가지 보편적 법칙이 있다.

보편적 법칙 1 : 구글에서 검색하라


구글이 ‘다크웹’까지 검색해 줄 수 있는 건 아니지만 여전히 유용하다. 우리는 구글을 매일 사용한다. 사이버보안에도 마찬가지다. 구글에는 우리가 참조할 만한 정보가 매일 쏟아져 나오고 집단지성의 산물들이 만들어 진다. 결국 대부분 데이터는 온라인에서 생성된다. 찾다 보면, 개방형 웹 검색 엔진을 사용해 얼마나 앞서갈 수 있는지 알게 될 것이다. 위협 인텔리전스 전문 업체만큼은 아니지만 피해를 보지 않을 수는 있다.
 
보편적 법칙 2 : 다른 사람에게 배우라


공격 및 데이터 침해 범위가 미지의 영역에 들어선 것은 사실이다. 그러나 이러한 활동이 급증하면서 한 가지 이점은 우리가 다른 사람에게 배울 기회가 생겼다는 것이다. 사이버보안은 현재 해커들에게 ‘미국 서부 개척 시대’ 같은 단계에 있어 다른 공격과 해킹으로 더 많은 것을 배울수록 더 잘 준비할 수 있다.

다른 조직에서 데이터 침해 사고가 발생했다면, 자세한 내용을 살펴보라. 이 사고가 어떻게 일어났나? 첫 번째 실마리는 언제 떨어졌나? 침입자는 어떻게 네트워크에 들어왔나? 진행중인 공격을 더 많이 연구할수록 더 많은 팀이 준비될 것이다.

보편적 법칙 3 : 페이스트빈과 깃허브를 확인하라


페이스트빈(Pastebin)과 깃허브는 많은 보안 팀 측면에서 큰 골치거리일 수 있다. 개인정보, 암호, 기타 민감한 정보가 세계에서 가장 유명한 텍스트 공유 웹 사이트 중 하나인 페이스트빈에 자주 나타나기 때문이다.

깃허브는 세계 최대의 코드 저장소로서 자체적인 문제가 있다. 누구나 정기적으로 소스 코드를 업로드 할 수 있다. 여기에는 도난당한 독점 데이터 또는 시스템의 취약점을 악용하는 코드가 포함될 수 있다. 이러한 사이트를 정기적으로 모니터링하여 적절한 조치를 취하라.




보편적 법칙 4 : 해커들의 대화를 확인하라
많은 주요 공격이나 데이터 침해 사고는 발생하기 전에 공개된다. 예를 들어, 2015년에 발생했던 톡톡(TalkTalk)의 데이터 침해 사고는 실제 공격이 일어나까지 상당한 양의 채팅이 있었다. 이 채팅 중 일부는 공개 웹에서 나온다. 일부는 다크웹에 있을 것이다. 어느 쪽이든 해킹 그룹이 말하는 것에 주의를 기울이면 팀에 경고하고 잠재적인 보안 문제에 대비할 수 있다.

보편적 법칙 5 : IoC를 가까이 하라
사이버보안팀은 항상 마음 속에 침해지표(indicators of compromise)가 있어야 한다. 지리적인 불규칙성, 이상한 IP 주소, 이상한 활동, 갑작스런 트래픽 급증 등은 모두 공격이 발생하고 있거나 위반이 발생했음을 의미한다.

이는 매뉴얼 수준에서 약간 효과적이다. 하지만 공격의 범위와 특성을 따라 잡으려면 위협 인텔리전스 전문업체를 활용하는 것이 가장 좋다. 일부 업체는 머신러닝을 사용하여 이러한 이벤트에 실시간으로 플래그를 지정할 수 있다. 

보편적 법칙 6 : TTP를 알아라


공격자처럼 사고하라. 네트워크의 취약점은 무엇인가? 최고의 공격 경로는 무엇인가? 이것을 먼저 스스로 분석한 다음 상대방의 전술, 기술, 절차(TTP)를 살펴보라. 이 정보의 대부분은 인터넷에서 자유롭게 사용할 수 있고 거론되기 때문에 잠재적인 공격자처럼 사고할 수 있다. 모든 상황에 대해 ‘가정(what-if)’하고 시나리오를 만들어 준비함으로써 사이버보안팀은 밤에 더 안전하게 잠들고 더 효과적으로 업무를 수행할 수 있다.

보편적 법칙 7 : 그게 뭐가 됐든 알고 있으
보안 위협 대응 팀은 유연하고 개방적이어야 한다. 많은 공격자가 비슷한 패턴과 TTP로 작동하지만 일부 공격자는 그렇지 않다. 가능성을 배제하지 않고, 이런 공격도 있을 수 있다는 생각으로 전체 동향을 파악하고 있어야 한다. ciokr@idg.co.kr
 



2017.03.14

'해커보다 한 걸음 앞선다' 위협 인텔리전스의 7가지 보편적 법칙

Ryan Francis | CSO
위협 인텔리전스로 기업이 해커보다 한 걸음 또는 그 이상 앞설 수 있게 됐다.

사이버 보안은 영웅적 과제다. 매일 기업과 조직은 전세계의 악의적인 공격자의 맹공격을 당하고 있다. 조직의 사이버 보안 활동의 하나로, 이러한 공격은 실제로 발생하는 경우에만 포착하지 말고 위협이 완화되고 문제가 발생하기 전에 위협을 막을 수 있다.

어떤 유형의 위협 인텔리전스를 선택하든 상관없이 모든 기업에서 실행할 수 있는 베스트 프랙티스 몇 가지가 있다. 웹에서 자유롭게 사용할 수 있는 오픈소스 정보는 기업이 공격을 예측하고 대비할 수 있도록 도와준다.

여기 위협 인텔리전스의 7가지 보편적 법칙이 있다.

보편적 법칙 1 : 구글에서 검색하라


구글이 ‘다크웹’까지 검색해 줄 수 있는 건 아니지만 여전히 유용하다. 우리는 구글을 매일 사용한다. 사이버보안에도 마찬가지다. 구글에는 우리가 참조할 만한 정보가 매일 쏟아져 나오고 집단지성의 산물들이 만들어 진다. 결국 대부분 데이터는 온라인에서 생성된다. 찾다 보면, 개방형 웹 검색 엔진을 사용해 얼마나 앞서갈 수 있는지 알게 될 것이다. 위협 인텔리전스 전문 업체만큼은 아니지만 피해를 보지 않을 수는 있다.
 
보편적 법칙 2 : 다른 사람에게 배우라


공격 및 데이터 침해 범위가 미지의 영역에 들어선 것은 사실이다. 그러나 이러한 활동이 급증하면서 한 가지 이점은 우리가 다른 사람에게 배울 기회가 생겼다는 것이다. 사이버보안은 현재 해커들에게 ‘미국 서부 개척 시대’ 같은 단계에 있어 다른 공격과 해킹으로 더 많은 것을 배울수록 더 잘 준비할 수 있다.

다른 조직에서 데이터 침해 사고가 발생했다면, 자세한 내용을 살펴보라. 이 사고가 어떻게 일어났나? 첫 번째 실마리는 언제 떨어졌나? 침입자는 어떻게 네트워크에 들어왔나? 진행중인 공격을 더 많이 연구할수록 더 많은 팀이 준비될 것이다.

보편적 법칙 3 : 페이스트빈과 깃허브를 확인하라


페이스트빈(Pastebin)과 깃허브는 많은 보안 팀 측면에서 큰 골치거리일 수 있다. 개인정보, 암호, 기타 민감한 정보가 세계에서 가장 유명한 텍스트 공유 웹 사이트 중 하나인 페이스트빈에 자주 나타나기 때문이다.

깃허브는 세계 최대의 코드 저장소로서 자체적인 문제가 있다. 누구나 정기적으로 소스 코드를 업로드 할 수 있다. 여기에는 도난당한 독점 데이터 또는 시스템의 취약점을 악용하는 코드가 포함될 수 있다. 이러한 사이트를 정기적으로 모니터링하여 적절한 조치를 취하라.




보편적 법칙 4 : 해커들의 대화를 확인하라
많은 주요 공격이나 데이터 침해 사고는 발생하기 전에 공개된다. 예를 들어, 2015년에 발생했던 톡톡(TalkTalk)의 데이터 침해 사고는 실제 공격이 일어나까지 상당한 양의 채팅이 있었다. 이 채팅 중 일부는 공개 웹에서 나온다. 일부는 다크웹에 있을 것이다. 어느 쪽이든 해킹 그룹이 말하는 것에 주의를 기울이면 팀에 경고하고 잠재적인 보안 문제에 대비할 수 있다.

보편적 법칙 5 : IoC를 가까이 하라
사이버보안팀은 항상 마음 속에 침해지표(indicators of compromise)가 있어야 한다. 지리적인 불규칙성, 이상한 IP 주소, 이상한 활동, 갑작스런 트래픽 급증 등은 모두 공격이 발생하고 있거나 위반이 발생했음을 의미한다.

이는 매뉴얼 수준에서 약간 효과적이다. 하지만 공격의 범위와 특성을 따라 잡으려면 위협 인텔리전스 전문업체를 활용하는 것이 가장 좋다. 일부 업체는 머신러닝을 사용하여 이러한 이벤트에 실시간으로 플래그를 지정할 수 있다. 

보편적 법칙 6 : TTP를 알아라


공격자처럼 사고하라. 네트워크의 취약점은 무엇인가? 최고의 공격 경로는 무엇인가? 이것을 먼저 스스로 분석한 다음 상대방의 전술, 기술, 절차(TTP)를 살펴보라. 이 정보의 대부분은 인터넷에서 자유롭게 사용할 수 있고 거론되기 때문에 잠재적인 공격자처럼 사고할 수 있다. 모든 상황에 대해 ‘가정(what-if)’하고 시나리오를 만들어 준비함으로써 사이버보안팀은 밤에 더 안전하게 잠들고 더 효과적으로 업무를 수행할 수 있다.

보편적 법칙 7 : 그게 뭐가 됐든 알고 있으
보안 위협 대응 팀은 유연하고 개방적이어야 한다. 많은 공격자가 비슷한 패턴과 TTP로 작동하지만 일부 공격자는 그렇지 않다. 가능성을 배제하지 않고, 이런 공격도 있을 수 있다는 생각으로 전체 동향을 파악하고 있어야 한다. ciokr@idg.co.kr
 

X