17 년 RSA Conference 에서 Data 기반의새로운기회에대한협력제시 전세계는 Cyber Chaos 상태 (Data 를무기로한전시상황 ) 혼란이조성한기회에대응하기위해과학 / 기술을기반으로 전세계 Security Professional 이힘을모아야할때임 Data 를중심으로한혼란 새로운기회 ( 위협과대응기술 ) 협력 2
Cyber 해킹기술의발전에대비탐지기술은정체되어있음 3
대규모보안투자는이루어졌지만아직까지사고는발생하고있음 IDS/IPS 웹쉘탐지솔루션 APT 솔루션 WAF SIEM 관제센터구축 방화벽 웹악성코드탐지 Endpoint 보안 망분리 / SOC 인증관리 차세대방화벽 NW DLP DDoS 암복호화 Web Proxy Email Proxy Full Packet 장비 Signature 신규 Sandbox 보안솔루션 사회공학 기반우회 공법기법 우회기법 취약점 기법 4
공격자는거대집단화되고있으며공격기법은지속적으로발전하고정교해지고있음 매우빠르고, 다양한 Threat landscape Agile, Intelligence 한 Threat Actor 필요 제한적인리소스와공격방어에대한핵심적인한계극복필요 서로협력하지않으면공격자에대한대응이더이상어려움 5
Cyber Threat Alliance(CTA) 는주요사이버보안전문솔루션업체들의위협정보공유를위한그룹으로, 지능적사이버공격에대한그룹멤버의상황인지력을높이고빠른침해대응등을목표로함 CTA Threat Intelligence 지능적사이버공격에대한그룹멤버혹은고객들의방어 (Defense) 능력향상을위하여관련정보를공유하며상호협력하는그룹 (Alliance) 임 침해탐지향상을위한 Threat Intelligence 정보공유 그룹멤버의고객들에게보다신속하고양질 Protection 서비스를제공 Member Infrastructure Analysts CTA Client Product & Research Systems CTA Client CTA Platform CTA Client SK 인포섹 정보관제, 보안컨설팅, 보안 SI, 솔루션 Eleven Paths 사이버보안, IoT 보안, IAM, 개인정보보호 Benefit Global 타벤더의 Threat Intelligence 정보활용으로침해에대한사전예방혹은빠른인지 멤버가입을통한 Global Relation 형성및국내외기업인지도향상 CTA Client Structured Threat Information expression (STIX) (Cyber Threat Intelligence 를위한구조화된언어 ) ReversingLabs N/W 보안, 포렌식, Incident Response Zscaler 사이버보안, 데이터보호, 클라우드 / 모바일보안 Indicator Indicator Indicator 6
배경 ( 공격및탐지방식의변화 ) 탐지방법론변화 Emerging Attack 공격분류 탐지기법 (6WH 기준 ) APT 등 Emerging 공격에대응하기위한탐지방법론필요 (6WH 초점 ) Threat Intelligence - 공격자, 의도, 대상 - 유포지, 악성코드, C&C 서버 Legacy Attack 기존탐지방법론 (How, What 초점 ) 7
Threat 정보에대한공유를통한사전대응방어 공격자 5 1 2 3 4 Threat Intelligence 8
5W1H: Who, When, What, Where, Why and How STIX & TAXII: 미국토안보부에서개발한침해사고정보공유 Project 1STIX - Structured Threat Information expression - 침해사고정보에대한표준명세임 - 침해흔적, 공격자, 작전명, 사용된기술및전략, 대응방법등으로구성됨 2TAXII - Trusted Automated exchange of Indicator Information - STIX 정보를공유하기위한통신프로토콜 STIX 구조 구분 Observable Indicator Incident Tactics, Techniques and Procedures(TTP) Campaign ThreatActor ExploitTarget CoursesOfAction(COA) 설명시스템이나네트워크동작중에발생하는 Artifact 혹은이벤트정보객체특정행위를나타내는정보이며 Observable 패턴으로구성됨침해사고이벤트정보객체공격에사용된 Tactic, Technique, Procedure에관한정보객체공격작전에관한정보이며객체인지된 Incident 와 TTP 들의집합공격자에관한정보객체공격에사용된취약점, 환경설정에관한정보객체공격방어에대한정보객체이며대응, 예방, 완화에관한조치 9
관제 Layer 에서탐지방법및분석지원기능고도화를위한기능 AS-IS TO-BE 수집, 저장 고객 Interface 분석 Engine 관제체계 Layer 분석지원 탐지방법론 Workflow - 공격자 IP - 유포지 URL - 파일 Hash - C&C 서버 IP 개별정보 공격자정보 + Set - 공격자 IP - 유포지 URL - 파일 Hash - C&C 서버 IP 10
Threat Data 활용을통한 Intelligence DB 구축 로컬수집 IDS WAF Web악성코드 Email 악성코드 APT장비 NetFlow 유포지 IP, URL 악성코드 Hash C&C서버 IP, URL 추가분석기 Sandbox Crawler 수집 [A 공격 ] 취약점공격 [B 공격 ] Malware Payloa d IP Hash File IP Hash AV 정보 Data 연관성분석 분석알고리즘개발 Tool 공격유형 IP IP Has AV h 정보 Grouping Set 유포지유포지 IP, 유포지 URL IP, IP, URL URL 악성코드악성코드악성코드 Hash Hash Hash C&C서버 C&C C&C IP, 서버서버 URL IP, IP, URL URL 동일공격유형 Group 독립 Set 유포지 IP, URL 악성코드 Hash C&C서버 IP, URL Private Virustotal 공격자정보 Global수집 Sandbox Exploit Checker Google SNS Human Intelligence 공격자의도 공격방식 악성코드 set 보안시스템 Community 활동 C&C 서버 set 공격자식별 Group 11
다양한 Threat Data 수집을통해수집경로다각화필요 Web-Crawler 를통한악성코드경유지, 유포지확보 보안장비를통한악성코드경유지, 유포지확보 Knowledge 수집경로다각화 Sand-Box 분석을통한 C2 IP 확보 축척된보안관제 DB + 외부평판 DB 활용 대량 Traffic 악성코드탐지솔루션활용 Mail Gateway 를통한악성파일 /URL 확보 Knowledge DB 수집자동화 보안관제를통한공격자 IP 확보 국내외악성 IP/URL 수집웹사이트정보를 Crawler/ 검색엔진을이용해정보수집 다양한수집경로별수집시스템구축 기구축되어있는시스템활용 통합 DB 구축을통한 Data 일원화 12
8 종의수집, 분석기, Human Information 를통해생성되어지는 Artifact Data 를 Profiling, Correlation 진행 Sandbox : File, URL Behavior Analyzer OSINT : Open Source Intelligence IP Web Crawler : URL Malicious Checker Human Information Security Indicator Alliance : CTA(Palo alto, IBM, Symantec..) MD5 IP PE Type Geo Domain Macro MD5 Data Profiling URL URL Import Hash SHA Import Hash Data SHA Correlation SK Infosec Top Cert 에서분석되는국내보안이슈정보적용 AV Detection Name File Name File Name Security Information Gather : Security RSS/Blog/Site/CVE/CVSS/SNS Exploit Checker AV Google Docs Private Virus total 13
Malicious Data Collect 5K+ 이상의보안장비연동을통한 Data 수집 + 2K+ 이상의 MSSP 고객 700 명규모의컨설팅 / 관제 / 서트인력을통한정보수집 External Data 수집 - Cyber Threat Alliance - OSINT - Humint 자체악성코드수집기를통한악성코드수집 Data Analyze Automation Profiling/Correlation 200,000+ / Day 파일분석 + 3000,000 개의 URL 분석 Orchestration 악성판정받은 Data 에대한 IOC 지표생성및연관성분석 Security Expert Group Top Tier Forensic, 컨설팅인력을통한사고처리및정보입수 120K+ Threat Information Daily Report 40,000+ Exploit Code 보유 + 87,000+ Vulnerability 정보보유 10,000+ SNS, Site, 문서정보수집및분류작업을통한 Information Security 정보제공 24/7/365 Service 국내최대규모의인포섹원격관제서비스를통한악성파일, C&C 탐지 250,000 / day 일 200,000 개이상의신규악성파일수집 + 일 50,000 개이상의신규악성 URL 수집 보안지표생성 50K+ 수집되는 Data 에서분석을통해보안지표생성생성된보안지표의유사도연결을통해악성파일간상호연관성지표생성 14
Threat Intelligence 는 Correlation 분석을통해악성 IOC 정보의 Value(Alive 여부 ) 를판단해야함 Collect Correlation 동일 C&C 사용 Analyze AV File URL IP URL IP Behavior Log URL IP Behavior Log Sandbox Web Crawler Private Virustotal Information Security Humint 다양한수집기들을이용하여악성 Data 획득및추출 / 분류작업을통해 Data 를 정보 로변환함 Hash Profile A Mutex Hash Profile B Mutex 추출된정보를바탕으로정보의연결을통해해커 / 해커그룹의행위를예측한다 Snort Yara 파일 /URL 에대한 Behavior", "Static 분석을통해 C&C IP 및행위관련로그수집 [ SecudiumTI 는 Correlation Data 를바탕으로 Legacy 보안장비와 Log Match 진행됨 ] 기존 Intelligence Database 의문제점은오래된, Live 하지않은정보도포함된보안지표를 Legacy 보안장비에적용하여 False Positive 문제가존재함 인포섹 SecudiumTI 는 Correlation, 최초탐지시점기간, 보안지표노출빈도등을계산하여점수를부여함점수에따라 Severity 가차등부여되며악성 IOC 관리가진행됨 15
자체 IoC 정보와추가 Threat 정보, Open IoC 를연결하여인포섹만의특화된 Profiling 진행함 악성파일 or URL 공격기법 공격자그룹 IP C2 우회기술 공격자 TTPs 악성코드 URL 정적분석 Incident 정보 Hash - Dropper Additional IoC 공격자 IoC 16
Profiling 된 Data 의연결을통해공격자가원하는목적, 해킹기술, 공격절차에대해예측 / 대응할수있음 Data Collector Data Analyzer Data Profiling Data Correlation 자체 Profiling 된 IoC 를이용한 Data 연결 Data 연결을통해 C&C IP/URL 의활성상태체크 Threat Actor 를기반한추가공격자식별정보연결 Open IoC 와연계된공격자 Group 식별 17
SIEM 을통해이기종장비간 Log 분석을하고있다. 평소로그와다른 IP(216.146.38.70) 를확인했다. 보안장비에서는 Audit 로그만확인이되었다. 이상하기는한데.. 어떤부분을봐야할까? 보안장비 SIEM 담당자이벤트확인 자산확인 취약여부확인 IP 차단및 URL에대한 이력관리 216.146.38.70 IP 는 다수의악성 Artifact 와 연계되었던부분을확인가능하다 Data Correlation : 수집되어있는 Artifact 와검색한 IP 의연결점을확인한다. Data Profiling : Artifact 연결정보를통해검색한 IP 에서특정해킹그룹 (Infosec A.0024863) Artifact 와연결되어있는것을확인한다. 18
침해사고조사중특이한 URL(hxxp://ipecho.net/plain) 을발견하였다. URL 에접근해서보니악성코드가확인되지않고 URL 접근이이루어지지않고있다. MFT 확인결과해당 URL 접근시간에특이파일이생성되었다. 이상하기는한데.. 시나리오만있지 Fact 가없다. 보안장비 SIEM 담당자이벤트확인 자산확인 취약여부확인 IP 차단및 URL에대한 이력관리 hxxp://ipecho.net/plain URL 은악성파일 Downloader 역할을수행한것을확인가능하다 Data Correlation : 수집되어있는 Artifact 와검색한 URL 의연결점을확인한다. Data Profiling : Artifact 연결정보를통해검색한 URL 에서특정해킹그룹 (Infosec A.003188) Artifact 와연결되어있는것을확인한다. 19
Secudium Intelligence Portal 제공 - 분석용계정제공 - 악성 IP/Hash 조회 - 악성파일 Download - 일일 / 월간동향보고서제공 - 통계 Report 다운로드 API 제공서비스 - 악성IP/URL 조회서비스제공 Query 결과 Return 고객용 API Secudium Intelligence 검색 / 분석분석가 Secudium Intelligence 분석주요기능 - Secudium 모든 Data 조회가능 - 공격자 Profiling - Data Correlation Secudium Intelligence Sensor - SIEM + S.I Sensor : SIEM 모든 Data 결과판정 Query + 로그전송 SIEM Sensor 결과 Return Secudium Intelligence Secudium Intelligence App for SIEM - Qradar/Archsight/Splunk 전용 App, On-Demand 형태 Query + 결과 Return SIEM 전용 App Secudium Intelligence 20
망연계솔루션이용한로그전송 - SIEM + S.I Sensor : SIEM 모든 Data 결과판정 Query 연동방식 - 기존망연계솔루션연계 Data 전송 망연계솔루션 로그전송 결과 Return - 외부통신없음 SIEM Sensor Secudium Intelligence Data Feed Service - 지정된매체를통한위협지표전송 - SIEM + S.I Sensor : SIEM 모든 Data 결과판정 연동방식 - 지정된전송방식 (ex: Email) 을통한 Data 전송 SIEM + 로그전송 Sensor 지정매체를통한 위협지표전송 1 회 /1 일 Secudium Intelligence 21
수집분석대응 국내최대관제정보및 Global Alliance 를통한 대규모 Threat Data 에대한 Profiling 및상관분석 보안솔루션장비와연동된 NRT 대응가능 국 내외최대정보수집 공격자식별및대응 level 판단 신속한대응연계 국내 1,600 여사이트보안위협정보를수집 / 분석하여국내특화된최적의정보제공 아시아최초 CTA 가입을통해 Cisco, McAfee, Symantec, PaloAlto 등 해외보안사의보안정보수집 IoC 지표기반공격자에대한분류체계수립및공격자에따른대응 Level 판단가능 신규위협에대한자산영향도제공 사용자 / 특정행위등다양한위협 유형탐지 SIEM 및방화벽등보안솔루션차단기능과연동가능 실운영과연계된대응효과 CTA(Cyber Threat Alliance) : 보안정보를공유하는 Global Alliance 22
A 사적용한결과기존보안솔루션및타사 Threat Intelligence 에서발견하지못한 Unknown 악성코드 20 건이보유한 Threat Data 및분석기법으로탐지되어대응함 기타솔루션 SMS URL API 결과조회및 Return Web Crawler Sensor ID(P)S Sensor Threat Intelligence Sand Box FW 모든로그전송 악성코드발견 Malware BOT APT AV / EDR SIEM Threat Intelligence Database DDoS Agent 7 건 원격제어용 RAT 13 건 CTA OSINT WAF SNS Crawler 23
Real Time 방어 SOC 센터활용 Threat 연구및 Hunting 알려진악성 Actor 에대한 Blocking SIEM 및사고대응솔루션과연동 잠재보안위협에대한연구 - IP, Domain, URL, Hash 등 수집된 Threat Data 와의연동 REST API 및 Web Portal 사용 Firewall, IPS, Web Proxy 장비에 - 보안솔루션탐지로그 Blocking 구현을통한 Real Time 방어 Blocking 에대한신속한결정 운영중인솔루션과의연동 Script 기반 Query 자동화 Blocking 에대한임계치설정 신속한사고대응을위한 Indicator 다양한 Intelligence 소스수집필요 성능을고려한증분 Update 필요 유연한검색필요 Delivery 방식 장비 Blocking 기능 ex)paloalto Block URL/IP List Secudium Intelligence Sensor REST API REST API Web 기반 Secudium Intelligence SIEM App 24