지능형보안위협에대한효율적인대응방안 EMC 보안사업본부 RSA 이준희 1
사이버 Kill Chain 대응방안 지능형보안위협대응을위한 RSA Framework 지능형보안위협분석예 2
사이버 Kill Chain 대응방안 3
Cyber Kill Chain 에대한두가지시선 Cyber Kill Chain 을보는관점 공격자의관점 공격을통해중요데이터수집을위한방안구성 방어자의관점 효율적인공격방어를위한전략구성 공격방어를위한일련의행위 탐지, 차단, 방해, 권한축소, 공격조작및해결 4
공격자 Cyber Kill Chain 미리탐지및위험감소 사건조사및대응 Reconnaissance Weaponization Delivery Exploitation Installation CC Action 기본공격방안세팅 공격대상및구조분석 일반적인상황으로위장 Tools, Techniques, Procedures 공격자는어떻게목표대상을공략하고원하는정보를획득하는가? 5
공격자의노력 데이터유출 의심스러운 IP 윈도우실행파일 취약점공격 악성 Email 공격대상용첨부파일 악성코드은닉 왼쪽으로, 왼쪽으로 공격자가바라는방향으로진행되지못하도록 Reconnaissance Weaponization Delivery Exploitation Installation CC Action 공격자 Kill Chain 6
정찰단계에서의대응 Intelligence/ 선제적분석 / 행위분석 / 지속적인관찰연계분석공격학습 7
정찰단계공격방어를위한노력! 공격대상이될수있는내부자산정보 > 무엇을, 왜, 어떻게? 자산및중대한사용내역확인 비즈니스환경정보 공격시도구분 대응프로세스 공격내역확인 이상행위발생시대응메뉴얼 8
정찰단계공격방어를위한노력! 공격자에대한정보 > 누가, 무엇을, 왜? 공격가능대상확인 위협정보수집 공격자들이진행중인캠페인, 능력, TTP 확인 RSA LIVE INTELLIGENCE 공격자가할수있는것들에대한이해 Track Capabilities 9
RSA Live Threat Intelligence APT Attacks Botnet Vulnerabilities (Heartbleed) 10
RSA 빅데이터분석 이상행위에대한연관성분석으로침해가능성을예측 DS 모델을통한분석 비정상접속행위 의심스러운내부자행위 호스트프로파일 의심스러운도메인명 Fast-flux 형태의공격 *DS: Data Science 11
공격코드생성 (Weaponization) 악성코드개발주기 Development 악성코드제작툴생성 x1 Evasion Q&A Deployment 악성코드은닉, 변종생성 탐지엔진을우회여부확인 기존보안장비에서탐지되지않는악성코드전송 x10,000 x5,000 12
악성코드은닉단계공격방어를위한노력! 패킷분석을통한악성코드형태분석 러시아형태 POST /foo.php HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-us; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729) Accept: text/html,application/xhtml+xml,application/xml;q =0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: http://localhost/test.php Content-Type: application/x-www-form-urlencoded Content-Length: 43 중국형태 POST /foo.php HTTP/1.1 Accept: text/html,application/xhtml+xml,application/ xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Charset: ISO-8859-1,utf- 8;q=0.7,*;q=0.7 Keep-Alive: 300 Referer: http://localhost/test.php Content-Type: application/x-www-formurlencoded TTP > 누가작성한코드인가 13
전달, 취약점공격, 설치, C&C 통신 2 x Cyber Kill Chain 직접공격 간접공격 공격대상으로이동 내부로이동 내부컴퓨터 중요서버구간 외부영역 내부정찰 중요시스템으로이동 지속적활용 14
탐지시점에서부터사건을재구성 악의적인 E-Mail 7 백도어구성 9 악성코드 8 전파방법 6 Detection 의심스러운 IP 1 주기적인통신 2 수신파일목록 3 관련사용자 4 중요내부정보 5 데이터유출 사건재구성 공격자의 TTP 에대한상세한이해 어떻게침입했는지? 무슨툴을사용했는지? 침입이후에는어떤일을했는지? 왜그들은해당자료를원했는지? 침해를감소시키고빠르게대응할수있는효율적인방안을향상시킴 침해가능성에대한사전대응능력향상 Delivery Exploitation Installation CC Action 사건재구성 좀더빠른단계에서탐지가능 1. CC Installation 2. CC Exploitation 3. CC Delivery 15
사건재구성에필요한것들 수집시점중요정보추가 발견한 IOC 를이용한상황분석 빠른조사및재구성 패킷 Index Visualize 호스트포렌직 INDEX 전체적상황에대한빠른인지 보안위협 로그 Enrich Bus. Context 자산 / 인력정보 지역정보 블랙리스트 Analyze 위험지표분석 Parse Correlate 넷플로우 Raw Meta 패킷 호스트 로그 NetFlow 전반적인보안상황 실시간분석 보안위협지표 16
사건의재구성 Raw Meta Correlate Report 17
지능형보안위협대응 RSA Framework 18
사건재구성을위한 RSA 프레임워크 클라우드 패킷 로그 Visibility 수집시점추가정보제공 LIVE Analysis LIVE LIVE Incident 관리 Action 컴플라이언스보고서 내부시스템 엔드포인트 ENRICH 사건분석 세션재구성 NETFLOW 빅데이터분석 엔드포인트포렌식 RSA LIVE 위협정보 비즈니스정보정책 파서 빅데이터모델리포트 Feed Powered by RSA Research, Incident Response & Engineering 19
지능형보안위협분석예 20
RSA 분석방안 Phishing 공격 1 악성코드가첨부된 Email 발송 To: 공격대상 From: 유명헤더헌팅회사 Subject: 이력서진행사항입니다 2 Resume.zip 난독화된 ZIP 파일를이용하여안티바이러스제품을우회. 안녕하세요공격대상님, 전에말씀하셨던이력관련지원자이력서를보내드립니다. 악성코드가포함되어있지만정상적인 PDF 이름으로보이도록전송. 확인부탁드립니다. Resume-MartinSmith.pdf.exe 유명헤드헌팅회사 4 악성코드설치및공격자는자유롭게해당 PC 의정보및주변정보수집 3? 사용자는 Zip 파일을열고첨부문서를클릭 (PDF 로위장된파일 ) 21
사건재구성을통한빠른대응 사이버 kill chain 안에서빠르게탐지및대응방안을적용 TTP 탐지악성코드, 백도어작성자, 악성 E-Mail, 조기위협탐지 사이버 kill chain 안에서빠르게탐지및대응방안을적용 공격의모든상황상황마다변화되는내역에대한완벽한가시성확보 탐지된내역을탐지정책으로추가하여일상적인위험에대한자동탐지로구성 계속적인신규위협에대한분석대응 22