powerpoint 프레젠테이션 - intelligence.pdf · 웹악성코드 탐지 apt 솔루션...
TRANSCRIPT
2
17년 RSA Conference에서 Data 기반의 새로운 기회에 대한 협력 제시
• 전 세계는 Cyber Chaos 상태(Data를 무기로 한 전시상황)
• 혼란이 조성한 기회에 대응하기 위해 과학/기술을 기반으로
• 전 세계 Security Professional이 힘을 모아야 할 때임
Data를 중심으로 한 혼란 새로운 기회 (위협과 대응 기술) 협력
4
대규모 보안 투자는 이루어졌지만 아직까지 사고는 발생하고 있음
IDS/IPS
WAF
방화벽
웹쉘탐지 솔루션
웹악성코드 탐지
APT 솔루션
관제센터 구축
Endpoint 보안
SIEM
망분리 / SOC
인증 관리 NW DLP
차세대방화벽
DDoS Full Packet 장비
암복호화 Web Proxy Email Proxy
Signature
기반우회
Sandbox
우회기법
신규
공법기법
보안솔루션
취약점
사회공학
기법
5
“서로 협력하지 않으면 공격자에 대한 대응이 더 이상 어려움”
공격자는 거대 집단화 되고 있으며 공격 기법은 지속적으로 발전하고 정교해지고 있음
• 매우 빠르고, 다양한 Threat landscape
• Agile, Intelligence 한 Threat Actor 필요
• 제한적인 리소스와 공격 방어에 대한 핵심적인 한계 극복 필요
Global 타 벤더의 Threat Intelligence 정보 활용으로 침해에 대한 사전예방 혹은 빠른 인지
Cyber Threat Alliance(CTA)는 주요 사이버보안 전문 솔루션 업체들의 위협정보 공유를 위한 그룹으로, 지능적 사이버 공격에 대한 그룹 멤버의 상황 인지력을 높이고 빠른 침해 대응 등을 목표로 함
CTA Threat Intelligence
지능적 사이버 공격에 대한 그룹 멤버 혹은 고객 들의 방어(Defense) 능력 향상을 위하여 관련 정보를 공유하며 상호 협력하는 그룹(Alliance) 임
침해탐지 향상을 위한 Threat Intelligence 정보 공유
그룹 멤버의 고객들에게 보다 신속하고 양질 Protection 서비스를 제공
【SK인포섹】 정보관제, 보안컨설팅, 보안SI, 솔루션
【Eleven Paths】 사이버보안, IoT보안, IAM, 개인정보보호
【ReversingLabs】 N/W보안, 포렌식, Incident Response
【Zscaler】 사이버보안, 데이터보호, 클라우드/모바일 보안
CTA Platform
CTA Client
CTA Client
CTA Client
CTA Client
Analysts
Product & Research Systems
Member Infrastructure
Structured Threat Information eXpression (STIX) (Cyber Threat Intelligence를 위한 구조화된 언어)
Indicator Indicator Indicator
【 Benefit 】
멤버 가입을 통한 Global Relation 형성 및 국내외 기업인지도 향상
6
7
배경 (공격 및 탐지방식의 변화)
Legacy
Attack
Emerging
Attack
공격 분류 탐지 기법 (6WH 기준)
- 공격자, 의도, 대상 - 유포지, 악성코드, C&C 서버
(How, What 초점)
(6WH 초점)
탐지 방법론 변화
Threat Intelligence
“APT 등 Emerging 공격에 대응하기 위한 탐지 방법론 필요”
기존 탐지방법론
9
5W1H: Who, When, What, Where, Why and How
• STIX & TAXII: 미국토안보부에서 개발한 침해사고 정보 공유 Project ①STIX - Structured Threat Information eXpression
- 침해 사고 정보에 대한 표준 명세임
- 침해 흔적, 공격자, 작전명, 사용된 기술 및 전략, 대응 방법 등으로 구성됨
②TAXII - Trusted Automated eXchange of Indicator Information
- STIX 정보를 공유하기 위한 통신 프로토콜
구분 설명
Observable 시스템이나 네트워크 동작 중에 발생하는 Artifact 혹은 이벤트 정보 객체
Indicator 특정 행위를 나타내는 정보 이며 Observable 패턴으로 구성됨
Incident 침해 사고 이벤트 정보 객체
Tactics, Techniques and Procedures(TTP) 공격에 사용된 Tactic, Technique, Procedure에 관한 정보 객체
Campaign 공격 작전에 관한 정보이며 객체 인지된 Incident 와 TTP 들의 집합
ThreatActor 공격자에 관한 정보 객체
ExploitTarget 공격에 사용된 취약점, 환경 설정에 관한 정보 객체
CoursesOfAction(COA) 공격 방어에 대한 정보 객체이며 대응, 예방, 완화에 관한 조치
• STIX 구조
10
관제 Layer에서 탐지 방법 및 분석지원 기능 고도화를 위한 기능
관제체계 Layer
수집, 저장
분석 Engine
Workflow
탐지 방법론
고객 Interface
분석 지원
AS-IS TO-BE
- 공격자 IP
- 유포지 URL
- 파일 Hash
- C&C 서버 IP
개별 정보
- 공격자 IP
- 유포지 URL
- 파일 Hash
- C&C 서버 IP
공격자 정보 + Set
11
Threat Data 활용을 통한 Intelligence DB 구축
유포지 IP, URL
악성코드 Hash
C&C서버 IP, URL
독립 Set
AV 정보
Human Intelligence
Community 활동
IDS
WAF
Web악성코드
Email 악성코드
APT장비
NetFlow
Sandbox
보안 시스템
[A공격]
[B공격]
취약점 공격
Malware
File
IP
Hash
IP
Hash
Payload
IP
Hash
Tool
공격 유형
IP
AV정보
Data 연관성 분석
분석 알고리즘개발
유포지 IP, URL
악성코드 Hash
C&C서버 IP, URL
Grouping Set
공격자 정보
공격자 의도
공격방식
악성코드 set
C&C서버 set
유포지 IP, URL
악성코드 Hash
C&C서버 IP, URL
유포지 IP, URL
악성코드 Hash
C&C서버 IP, URL
유포지 IP, URL
악성코드 Hash
C&C서버 IP, URL
동일 공격유형Group
공격자 식별 Group
Global수집
로컬수집
추가 분석기
Crawler 수집
Sandbox
Private Virustotal
Exploit Checker
SNS
12
다양한 Threat Data 수집을 통해 수집 경로 다각화 필요
• Web-Crawler를 통한 악성코드 경유지, 유포지 확보 • 보안장비를 통한 악성코드 경유지, 유포지 확보
• Sand-Box 분석을 통한 C2 IP 확보
• Mail Gateway를 통한 악성 파일/URL 확보
• 보안 관제를 통한 공격자 IP 확보
• 국내외 악성 IP/URL수집 웹사이트 정보를 Crawler/검색엔진을 이용해 정보 수집
• 축척 된 보안관제 DB + 외부 평판 DB”활용 • 대량 Traffic 악성코드 탐지 솔루션 활용
Knowledge 수집 경로 다각화
• 다양한 수집 경로 별 수집 시스템 구축
• 기 구축되어 있는 시스템 활용
• 통합 DB구축을 통한 Data 일원화
Knowledge DB 수집 자동화
13
8종의 수집, 분석기, Human Information를 통해 생성되어지는 Artifact Data를 Profiling, Correlation 진행
AV
Sandbox : File, URL Behavior Analyzer
Web Crawler : URL Malicious Checker
Security Information Gather : Security RSS/Blog/Site/CVE/CVSS/SNS
Google Docs
Private Virus total
Exploit Checker
Security Indicator Alliance : CTA(Palo alto, IBM, Symantec ..)
OSINT : Open Source Intelligence
IP
URL MD5
SHA
Import Hash
File Name
Macro PE Type
IP
URL
Domain MD5
SHA Import Hash
Geo
File Name
AV Detection Name
Data Profiling
Data Correlation
Human Information
SK Infosec Top Cert 에서 분석되는 국내 보안 이슈 정보 적용
14
5K+ 이상의 보안장비 연동을 통한 Data수집 + 2K+ 이상의 MSSP 고객
200,000+ / Day 파일 분석 + 3000,000개의 URL 분석
40,000+ Exploit Code 보유 + 87,000+ Vulnerability 정보 보유
국내 최대 규모의 인포섹 원격관제 서비스를 통한 악성 파일, C&C 탐지
Malicious Data Collect
Data Analyze Profiling/Correlation
24/7/365 Service
10,000+ SNS, Site, 문서 정보 수집 및 분류 작업 을 통한 Information Security 정보 제공
Threat Information
악성 판정 받은 Data에 대한 IOC 지표 생성 및 연관성 분석
Top Tier Forensic, 컨설팅인력을 통한 사고 처리 및 정보 입수
Security Expert Group
Automation
250,000 / day
Orchestration
일 200,000개 이상의 신규 악성 파일 수집 + 일 50,000개 이상의 신규 악성 URL 수집
120K+ Daily Report
수집되는 Data에서 분석을 통해 보안지표 생성 생성된 보안지표의 유사도 연결을 통해 악성 파일간 상호 연관성 지표 생성
보안 지표 생성 50K+
700명 규모의 컨설팅/관제/서트 인력을 통한 정보 수집
External Data 수집 - Cyber Threat Alliance - OSINT - Humint
자체 악성코드 수집기 를 통한 악성코드 수집
15
Threat Intelligence는 Correlation분석을 통해 악성 IOC정보의 Value(Alive 여부)를 판단해야 함
Collect
File URL IP
Information Security
Humint
다양한 수집기들을 이용하여 악성 Data 획득 및 추출/분류 작업을 통해
“Data”를 “정보”로 변환함
Analyze
Sandbox Web Crawler
AV
Private Virustotal
Snort Yara
파일/URL에 대한 “Behavior", "Static” 분석을 통해 C&C IP 및 행위 관련 로그 수집
Correlation
[ SecudiumTI는 Correlation Data를 바탕으로 Legacy보안장비와 Log Match 진행됨]
IP URL
Hash Mutex
Behavior Log
IP URL
Hash Mutex
Behavior Log
동일 C&C 사용
Profile A Profile B
추출된 정보를 바탕으로 정보의 연결을 통해 해커/해커그룹의 행위를 예측한다
기존 Intelligence Database의 문제점은 오래된, Live하지 않은 정보도 포함된 보안지표를 Legacy보안장비에 적용하여 False Positive문제가 존재함
인포섹 SecudiumTI는 Correlation, 최초탐지 시점 기간, 보안지표 노출 빈도 등을 계산하여 점수를 부여함
점수에 따라 Severity가 차등 부여되며 악성 IOC관리가 진행됨
16
자체 IoC 정보와 추가 Threat 정보, Open IoC를 연결하여 인포섹 만의 특화된 Profiling 진행 함
악성파일 or URL
IP – C2
악성코드 URL
Hash - Dropper
공격 기법
우회 기술
정적 분석
Additional IoC
공격자 그룹
공격자 TTPs
Incident 정보
공격자 IoC
17
Profiling된 Data의 연결을 통해 공격자가 원하는 목적, 해킹기술, 공격 절차에 대해 예측/대응 할 수 있음
Data Collector Data Analyzer Data Profiling Data Correlation
자체 Profiling된 IoC를 이용한 Data연결
Data연결을 통해 C&C IP/URL 의 활성상태 체크
Threat Actor를 기반한 추가 공격자 식별 정보 연결
Open IoC와 연계된 공격자 Group 식별
18
SIEM을 통해 이 기종 장비간 Log분석을 하고 있다. 평소 로그와 다른IP(216.146.38.70)를 확인 했다. 보안장비에서는 Audit로그만 확인이 되었다. 이상하기는 한데.. 어떤 부분을 봐야 할까?
Data Correlation : 수집되어 있는 Artifact와 검색한 IP의 연결점을 확인한다.
Data Profiling : Artifact연결정보를 통해 검색한 IP에서 특정 해킹그룹 (Infosec A.0024863) Artifact와 연결되어 있는 것을 확인한다.
보안장비 SIEM 담당자 이벤트 확인 자산 확인 IP 차단 및 URL에 대한 이력관리
취약여부 확인
“216.146.38.70” IP는
다수의 악성 Artifact와
연계되었던 부분을
확인 가능하다
19
침해사고 조사 중 특이한 URL(hxxp://ipecho.net/plain)을 발견하였다. URL에 접근해서 보니 악성코드가 확인되지 않고 URL접근이 이루어 지지 않고 있다. MFT 확인 결과 해당 URL접근시간에 특이 파일이 생성되었다. 이상하기는 한데.. 시나리오만 있지 Fact가 없다.
Data Correlation : 수집되어 있는 Artifact와 검색한 URL의 연결점을 확인한다. Data Profiling : Artifact연결정보를 통해 검색한 URL에서 특정 해킹그룹(Infosec A.003188) Artifact와 연결되어 있는 것을 확인한다.
“hxxp://ipecho.net/plain”
URL은 악성파일
Downloader 역할을 수행
한 것을 확인 가능하다
보안장비 SIEM 담당자 이벤트 확인 자산 확인 IP 차단 및 URL에 대한 이력관리
취약여부 확인
20
Secudium Intelligence Portal 제공
- 분석 용 계정 제공
- 악성 IP/Hash 조회
- 악성파일 Download
- 일일/월간 동향 보고서 제공
- 통계 Report 다운로드
검색/분석
분석가 Secudium Intelligence
API 제공 서비스
- 악성IP/URL 조회 서비스 제공
Secudium Intelligence 고객용 API
Query
결과 Return
Secudium Intelligence Sensor
- SIEM + S.I Sensor : SIEM 모든 Data 결과 판정
Secudium Intelligence SIEM
Query
결과 Return
Secudium Intelligence App for SIEM
- Qradar/Archsight/Splunk 전용 App, On-Demand 형태
분석 주요 기능
- Secudium 모든 Data 조회 가능
- 공격자 Profiling
- Data Correlation
Sensor
+
로그전송
SIEM
+
전용 App Secudium Intelligence
Query
결과 Return
21
망 연계 솔루션 이용한 로그 전송
- SIEM + S.I Sensor : SIEM 모든 Data 결과 판정
Secudium Intelligence SIEM Sensor
망 연계 솔루션
로그전송
Query
결과 Return
Data Feed Service
- 지정된 매체를 통한 위협 지표 전송
- SIEM + S.I Sensor : SIEM 모든 Data 결과 판정
Secudium Intelligence SIEM Sensor
지정 매체를 통한
위협 지표 전송
1회/1일
+
로그전송
연동 방식
- 기존 망 연계 솔루션 연계 Data 전송
- 외부 통신 없음
연동 방식
- 지정된 전송 방식(ex: Email)을 통한
Data 전송
22
수집 분석 대응
국·내외 최대 정보 수집
공격자 식별 및 대응 level 판단
신속한 대응 연계
국내 최대 관제 정보 및 Global Alliance를 통한
대규모 Threat Data에 대한 Profiling 및 상관분석
보안 솔루션 장비와 연동된 NRT 대응 가능
• 국내 1,600여 사이트 보안위협
정보를 수집/분석하여 국내
특화된 최적의 정보 제공
• 아시아 최초 CTA 가입을 통해
Cisco, McAfee, Symantec, PaloAlto등
해외 보안사의 보안 정보 수집
※ CTA(Cyber Threat Alliance) : 보안 정보를 공유하는 Global Alliance
• IoC 지표 기반 공격자에 대한 분류
체계 수립 및 공격자에 따른 대응
Level 판단 가능
• 신규 위협에 대한 자산 영향도 제공
• 사용자 / 특정 행위등 다양한 위협
유형 탐지
• SIEM 및 방화벽 등 보안 솔루션
차단 기능과 연동 가능
• 실 운영과 연계 된 대응 효과
23
A사 적용한 결과 기존 보안솔루션 및 타사 Threat Intelligence 에서 발견하지 못한
Unknown 악성코드 20건이 보유한 Threat Data 및 분석 기법으로 탐지되어 대응 함
API
Threat Intelligence Database
SIEM
Sensor ID(P)S
AV / EDR
APT
WAF
FW
SMS URL
기타 솔루션
Web Crawler
Sand Box
CTA
SNS Crawler
OSINT
Sensor
Malware BOT
Threat Intelligence
결과 조회 및 Return
모든 로그 전송
악성코드 발견
DDoS Agent 7건
원격제어용 RAT 13건
24
Real Time 방어 SOC 센터 활용 Threat 연구 및 Hunting
Delivery 방식
• REST API
• Web 기반 Secudium Intelligence
• 장비 Blocking 기능
ex)PaloAlto Block URL/IP List
• Secudium Intelligence Sensor
• REST API
• SIEM App
• 알려진 악성 Actor에 대한 Blocking
- IP, Domain, URL, Hash 등
• Firewall, IPS, Web Proxy 장비에
Blocking 구현을 통한 Real Time 방어
• Blocking에 대한 신속한 결정
• Blocking에 대한 임계치 설정
• 성능을 고려한 증분 Update
• SIEM 및 사고 대응 솔루션과 연동
• 수집된 Threat Data와의 연동
- 보안솔루션 탐지 로그
• 운영 중인 솔루션과의 연동
• 신속한 사고대응을 위한 Indicator
필요
• 잠재 보안 위협에 대한 연구
• REST API 및 Web Portal 사용
• Script 기반 Query 자동화
• 다양한 Intelligence 소스 수집 필요
• 유연한 검색 필요