업계 뉴스레터
전문가의 인사이트를 바탕으로 한 최신 기술 뉴스
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
사이버 위협 헌팅이라고도 하는 위협 헌팅은 조직의 네트워크에서 이전에 알려지지 않았거나 현재 진행 중인 사이버 위협을 식별하기 위한 사전 예방적 접근 방식입니다.
위협 헌팅은 랜섬웨어, 내부자 위협 및 기타 눈에 띄지 않을 수 있는 사이버 공격에 대해 조직이 보안 태세를 강화하는 데 도움이 되므로 중요합니다.
자동화된 보안 도구와 철저한 보안 운영 센터(SOC) 분석가는 대부분의 사이버 보안 위협이 심각한 피해를 입히기 전에 탐지할 수 있지만, 일부 정교한 위협은 이러한 방어 체계를 통과할 수 있습니다.
악의적인 공격자는 시스템에 침입하면 발견되기까지 몇 주 또는 몇 달 동안 잠복할 수 있습니다. IBM의 데이터 유출 비용(CODB) 보고서에 따르면 데이터 유출이 발생했다는 사실을 확인하는 데 평균 181일이 걸립니다. 그 동안 공격자들은 데이터를 빼돌리고 자격 증명을 도용하여 추가 액세스 권한을 확보하고 있습니다.
이러한 잠재적 위협으로 인해 얼마나 큰 피해가 발생할 수 있을까요? 데이터 유출 비용(CODB) 보고서에 따르면 데이터 유출로 인한 기업의 평균 피해액은 488만 달러에 달합니다. 초기 접근과 봉쇄 간의 시간이 길어질수록 조직에 더 많은 비용이 발생할 수 있습니다.
효과적인 위협 헌팅을 위해서는 보안팀이 이러한 숨겨진 위협을 선제적으로 탐색해야 합니다. 따라서 조직은 침입을 훨씬 더 빠르게 발견하고 완화 조치를 배포하여 공격자가 입힐 수 있는 피해를 줄일 수 있습니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
사이버 위협 헌터는 숙련된 사이버 보안 전문가입니다. 이들은 보통 조직의 운영을 잘 알고 있는 회사 IT 부서 내 보안 분석가로 구성되지만, 때로는 외부 분석가일 수도 있습니다. 위협 헌팅팀은 보안 자동화를 사용하여 위협이 심각한 문제를 일으키기 전에 탐색, 로그, 모니터링 및 무력화할 수 있도록 지원합니다.
위협 헌팅 프로그램은 데이터에 기반을 둡니다. 구체적으로는 조직의 위협 탐지 시스템과 기타 엔터프라이즈 보안 솔루션을 통해 수집된 데이터 세트를 말합니다.
위협 헌팅 프로세스 중에 위협 헌터는 이 보안 데이터를 샅샅이 뒤져 숨겨진 멀웨어, 스텔스 공격자 및 자동화된 시스템이 놓쳤을 수 있는 기타 의심스러운 활동의 징후를 탐색합니다.
위협 헌터는 위협을 발견하면 즉시 행동에 나서서 위협을 근절하고 다시는 이런 일이 발생하지 않도록 방어를 강화합니다.
헌터는 관찰, 보안 데이터 또는 기타 트리거를 기반으로 한 가설로 시작합니다. 이 가설은 잠재적 위협에 대한 보다 심층적인 조사를 위한 발판이 됩니다.
조사는 일반적으로 정형 헌팅, 비정형 헌팅 또는 상황별 헌팅의 세 가지 형태 중 한 가지를 취합니다.
MITRE 적대적 전술 기법 및 일반 지식(ATT&CK) 프레임워크와 같은 공식적인 프레임워크가 정형 헌팅을 안내합니다. 이 프레임워크는 정의된 공격 지표(IoA)와 알려진 위협 행위자의 전술, 기법 및 절차(TTP)를 탐색합니다.
비정형 헌팅은 정형 헌팅보다 반응성이 더 큽니다. 조직 시스템에서 침해 지표(IoC)를 발견하여 트리거되는 경우가 많습니다. 그런 다음 헌터는 IoC의 원인이 무엇이며 네트워크에 여전히 남아 있는지 여부를 찾습니다.
상황별 헌팅은 조직의 고유한 상황에 따른 대응입니다. 일반적으로 내부 위험 평가 또는 IT 환경의 동향 및 취약성 분석 결과를 기반으로 합니다.
엔티티 기반 헌팅은 특히 네트워크의 중요한 자산과 시스템에 초점을 맞춥니다. 위협 헌터는 이러한 엔티티에 위험을 초래할 수 있는 사이버 위협을 식별하고 지속적인 침해의 징후를 탐색합니다.
Intel 기반 헌팅은 위협 인텔리전스 소스의 IoC를 기반으로 합니다. 위협 헌터는 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 도구를 사용하여 해시 값, IP 주소, 도메인 이름 및 호스트 아티팩트와 같은 알려진 IoC를 모니터링합니다. IoC가 발견되면 헌터는 경고 전후의 네트워크 상태를 검사하여 잠재적인 악성 활동을 조사합니다.
가설 기반 헌팅은 MITRE ATT&CK와 같은 프레임워크에 기록된 알려진 IOA를 기반으로 합니다. 가설 기반 헌팅은 공격자가 특정 TTP를 사용하여 특정 네트워크에 액세스할 수 있는지 여부를 탐색합니다. 행동이 식별되면 위협 헌터는 활동 패턴을 모니터링하여 해당 행동을 사용하는 위협을 탐지, 식별 및 격리할 수 있습니다.
사전 예방적 특성으로 인해 가설 기반 헌팅은 지능형 지속 위협(APT)이 광범위한 피해를 입히기 전에 식별하고 중지하는 데 도움이 될 수 있습니다.
사용자 정의 헌팅은 조직의 맥락, 즉 이전 보안 사고, 지정학적 문제, 표적 공격, 보안 시스템의 경고 및 기타 요인에 기반합니다. 사용자 정의 헌팅은 정보 기반 헌팅 방법론과 가설 기반 헌팅 방법론의 특성을 결합할 수 있습니다.
보안팀은 위협 헌팅을 지원하기 위해 다양한 도구를 사용합니다. 가장 일반적인 도구는 다음과 같습니다.
SIEM은 조직이 비즈니스 운영을 중단하기 전에 위협과 취약성을 인식하고 해결할 수 있도록 지원하는 보안 솔루션입니다. SIEM은 공격을 조기에 탐지하고 위협 헌터가 조사해야 하는 오탐의 수를 줄이는 데 도움이 될 수 있습니다.
EDR 소프트웨어는 실시간 분석 및 AI 기반 자동화를 사용하여 기존 엔드포인트 보안 도구를 우회하는 사이버 위협으로부터 조직의 최종 사용자, 엔드포인트 장치 및 IT 자산을 보호합니다.
위협 인텔리전스는 "사이버 위협 인텔리전스"라고도 하며 조직이 사이버 보안 위협을 예방하고 퇴치하는 데 사용할 수 있는 자세하고 실행 가능한 정보입니다.
위협 인텔리전스는 조직에 네트워크를 표적으로 삼는 최신 위협과 더 넓은 위협 환경에 대한 통찰력을 제공합니다.
위협 헌터는 위협 인텔리전스를 사용하여 시스템 전반에서 악성 행위자를 철저하게 탐색합니다. 즉, 위협 헌팅은 위협 인텔리전스가 끝나는 시점부터 시작됩니다. 위협 인텔리전스에 대한 통찰력을 기존 위협을 근절하고 향후 공격을 방지하는 데 필요한 구체적인 조치로 전환합니다