주요 콘텐츠로 건너뛰기

사례, 위협 헌팅 및 기타 중요한 용어

당사의 주요 목표는 사용자 환경에서 잠재적으로 악의적인 활동을 식별하고 조사하는 것입니다. 이 작업은 다음 두 가지 방법을 통해 수행됩니다. 1) MDR 감지 조사, 2) 분석가 주도형 위협 헌팅.

MDR Ops 팀이 감지 또는 활동에 추가 평가가 필요하다고 결론을 내면 사례가 생성되고 담당 운영자가 전체 조사를 수행합니다(이 프로세스에 대한 자세한 내용은 아래 참조).

참고

고객 의견 또는 조치가 필요한 사례만 이메일 또는 전화를 통해 에스컬레이션됩니다.

다음은 이러한 용어 중 일부에 대한 정의입니다.

  • 감지: 위협 가능성에 따라 가중치를 부여하고 분류하는 기술 기반의 활동 지표입니다. 대부분의 경우 이런 데이터 요소는 정보 제공만을 목적으로 하며 사례 생성으로 이어지지 않습니다. 감지에는 명령 실행, 개방형 네트워크 소켓, 인증 이벤트 및 실행 중인 응용 프로그램과 같은 항목이 포함되는 경우가 흔히 있습니다.
  • 위협: 고객 네트워크 내에서 관찰되어 확인된 공격 지표(IoA) 또는 침해 지표(IoC)
  • 사례: 감지 기반 또는 수동 생성 여부에 관계없이, 해당 감지가 실제 위협을 뜻하고 악의적인 활동이 발생하고 있는지 확인하기 위해 사례를 조사합니다.
  • 에스컬레이션: MDR Ops 팀 단독으로는 처리할 수 없어 고객 의견 또는 조치가 필요한 사례
  • 인시던트: 즉각적인 대응이 필요한 것으로 확인된 악의적인 활동

사례 심각도 분류 매트릭스

심각도 정의
중요 대화형 공격자, 데이터 암호화 또는 파괴, 유출을 포함하여 고객/MSP 자산에 임박한 위협을 가하는 시스템 침해 또는 무단 액세스가 확인된 경우.
높음 고객/MSP 자산에 중대한 위협이 될 수 있는 시스템 침해 또는 무단 액세스를 유발할 가능성이 있는 표적 공격을 나타내는 감지.
보통 그 자체로는 악의적인 것으로 간주되지 않을 수 있고 표적이 된 것으로 알려지지 않은 감지.
낮음 상태 불량, 악의적인 활동, 시스템 손상 또는 무단 액세스가 확인되지 않은 감지.
정보 제공 초기 상태 점검에 대한 특별 심각도입니다.

조사 프레임워크

"분석가 조사"란 구체적으로 무엇을 의미합니까?

당사의 조사 프레임워크는 분석가가 사례를 조사하는 동안 지침을 제시할 수 있는 구조를 제공합니다. 이 프레임워크는 MDR Ops 팀이 고객 환경 내에 악의적인 활동이 존재하는지 여부를 판단하는 데 도움이 되는 공격 설명을 작성할 수 있도록 합니다(데이터 적용 범위 및 데이터 품질이 최대 수준인 경우). 이 프로세스는 OODA 루프(Observe(관찰), Orient(방향 설정), Decide(결정), Act(행동))의 반복적 특성을 따릅니다.

조사 프레임워크.

  1. 관찰 단계에서 분석가는 선택한 각 데이터 요소가 악의적인 활동을 나타낼 가능성이 있는 활동의 논리적 설명을 설정하는 데 도움이 되는 데이터의 핵심 요소를 선택합니다.
  2. 방향 설정 단계에서 분석가는 MITRE ATT&CK Matrix, Cyber Kill Chain에 데이터 요소를 적용하여 관찰 결과를 검증하고 자신의 조직 내 지식을 활용합니다. 충분한 관찰 가능성이 지표로 검증되면 활동이 공격 설명을 작성합니다.
  3. 결정 단계에서 분석가는 데이터 요소를 반복하여 해당 활동이 악의적이라고 판단되는지 여부를 결정합니다.
  4. 행동 단계에서 분석가는 조사 결과에 따라 필요한 조치를 취합니다. 분석가가 결정 단계에서 질문에 적절하게 답변할 수 있는 충분한 정보를 확보하지 못한 경우, 이전에 수집한 지표를 조사의 새로운 기준으로 하여 새로운 OODA 루프가 시작됩니다.

위협 헌팅

위협 헌팅은 보안 분야에서 흔히 사용되지만 많은 사람이 실제로 어떤 의미인지 이해하지 못하는(그리고 현시점에서 질문하기 두려워하는) 용어 중 하나입니다. 그럼, 정의부터 시작하겠습니다.

  • 위협 헌팅


    기존 도구로 감지하거나 중지할 수 없는 새로운 공격 지표(IoA) 및 침해 지표(IoC)를 발견하기 위해 인과 및 인접 이벤트(약한 신호)를 사람이 주도하여 조사하는 것을 말합니다.

다시 말해, 위협 헌팅은 도구가 경고를 발령하지 않고 사람만이 찾을 수 있는 활동을 분석가가 수동으로 조사하는 것입니다. 그리고 위협 헌팅은 흔히 절대적인 용어로 설명되지만 위협을 헌팅하는 다양한 방법이 있습니다.

자동 위협 헌팅은 자동화 및/또는 머신 러닝을 사용하여 사람 분석가의 추가 조사가 필요할 수 있는 잠재적으로 악의적인 활동을 식별합니다. 이것은 많은 서비스 공급자가 "관리형 위협 헌팅"을 수행할 때 참조하는 것이지만 ,Sophos MDR 플랫폼에서 프로그래밍 방식으로 처리하는 것입니다.

Sophos 위협 헌팅은 경고를 생성하지 않을 수도 있지만 새로운 공격자 동작을 나타낼 수 있는 이벤트 및 활동(리드)에 대한 수동(사람 주도) 식별 및 조사를 포함합니다.

또한 위협 인텔리전스, 데이터 과학 및 공격자 동작에 대한 지식을 고객 환경에 대해 알려진 정보(예: 회사 프로필, 고가치 자산, 고위험 사용자 등)와 결합하여 새로운 공격자 동작을 예측하고 감지 및 대응 능력을 검증합니다.

위협 헌팅에는 비판적이고 창의적인 사고가 많이 필요하다는 점을 기억하십시오. 사람들은 IT(또는 일반적으로 사이버 보안)를 순수한 분석 분야로 생각하는 경향이 있습니다. 그러나 현실은 보안 운영이 예술과 과학이 반반씩 섞인 분야라는 것입니다.