위협 추적: 사이버 보안의 차세대 진화

조직에서는 사이버 공격이 증가함에 따라 위협을 차단하는 데 지속적인 투자가 이루어져야 합니다. 사이버 범죄는 더욱 지능적이고 집중적으로 진화해 기업을 공격합니다. 업계 최고의 사이버 보안 업체인 시스코에서는 위협 추적을 자사 제품에 통합하여 공격이 실행되기 전에 중단시킬 수 있습니다. 시스코와 협력하여 위협 추적을 실행하면 기업은 선제적으로 사이버 위협을 추적, 검색 및 중단시킬 수 있습니다.

위협 추적은 사이버 보안에 반드시 필요합니다.
기존의 사이버 보안 전술은 악의적 활동이 시작되기를 기다리는 사후 대응적인 방식입니다.
엔드포인트 보호 플랫폼(EPP) 및 엔드포인트 탐지 및 대응(EDR)도 사이버 보안을 아예 안 하는 것보다는 효과적이지만, 일단 사이버 공격이 감지되면 이를 막기에는 너무 늦을 수 있습니다. 그것이 공격을 막는 보호 수단에만 의존하는 것으로는 더 이상 지속 가능하지 않은 이유입니다.
위협 추적은 기업에 피해를 주기 전에 사이버 범죄자를 추적하여 자체 보호하는 방식으로 보안을 변화시킵니다.

위협 추적이란?
위협 추적 전문가는 다양한 입력 변수로 가설을 세워 이전에 분류된 정보를 활용하여 반복 가능한 프로세스에 적용하고 탐지를 회피한 손상 징후를 찾습니다.
기존의 사이버 보안 전략을 대체하는 것이 아니라 강화하기 위해 개발된 위협 추적은 이미 시행 중인 보안 조치를 강화합니다.

기존의 사이버 보안과 위협 추적 비교

기존의 보안 도구로 고도화된 위협 차단 불가능
교묘한 공격자는 탐지하기가 매우 어려움
모든 공격을 막는 데 인공지능과 머신러닝 기술로는 역부족

작동 방식

위협 추적 분석가는 가설 중심 방법론을 사용합니다.

우선 MITRE, 인시던트 대응 관측치 또는 연구에서 나올 수 있는 기법을 식별합니다. 다음으로 계획과 범위를 정합니다. 그런 다음 실행 계획을 수행하고 데이터를 수집합니다. 이 데이터를 사용하여 자동 분석 및 애널리틱스를 수행합니다. 마지막으로 가설을 조정하거나 수락하고, 이 과정을 반복합니다.

비정상적인 동작이나 악의적인 활동이 내부 보안 팀에 보고되어, 이를 막기 위한 조치를 취할 수 있습니다.

위협 추적 범주:

고급 분석 및 머신러닝 조사:

위협 추적 전문가는 강력한 데이터 분석과 머신러닝을 결합하여 방대한 양의 정보를 면밀히 살펴보고 공격이 가능한 지점을 가리키는 불규칙성을 탐지할 수 있습니다.

알려진 IOC 또는 IOA 기반 조사:

전술적 위협 정보를 활용하여 새로운 위협과 연관되어 알려진 IOC(Indicators of Compromise) 및 IOA(Indicators of Attack) 카탈로그를 작성한 위협 추적 전문가는 MITRE ATT&CK™과 같은 카탈로그를 사용하여 악의적인 공격이나 숨겨진 활동을 탐지합니다.

가설 기반 조사:

위협 추적 전문가는 대규모 크라우드소싱 공격 데이터 풀을 통해 식별된 새로운 위협으로 인해 공격자의 특정 동작이 자신의 환경에서 발견되는지를 탐색합니다.

MITRE ATT&CK™ – 위협 추적의 핵심

효과적인 위협 추적은 일회성이거나, 외부와 단절된 상태로 이루어지는 것이 아닙니다.

지속적이고 사전 대응적이며 분석 탐지 기능으로 구축된 강력한 인텔리전스로 작동되므로 복잡하고 시간이 오래 걸립니다. 그렇기 때문에 MITRE는 2013년부터 위협 추적 전문가에게 조직의 사이버 보안 프로그램에 대한 실행 가능한 정보를 제공하기 위해 정보를 수집하고 있습니다. MITRE는 사이버 범죄자에 대한 정보 수집, 해석 및 공유를 쉽게 하는 경험 중심 프레임워크인 ATT&CK™(Adversarial Tactics, Techniques & Common Knowledge)을 개발했습니다.

ATT&CK는 공격자의 방식을 이해하기 위한 명확하고 체계적인 방법을 제공합니다. 위협 추적 전문가는 공격 대상 그룹에 대한 이 정보에 액세스하여 인텔리전스를 분석하여 공격을 탐지 및 완화하고 기업의 취약성을 위협 중심으로 이해하여 방어를 맞춤화할 수 있습니다.

위협 추적을
통해 상당한
개선 달성

위협 추적은 사이버 위협으로부터의 보호를 원하는 조직에 꼭 필요한 것임을 입증하는 데이터가 있습니다. 위협 추적 전술을 이미 구현한 대부분의 기업이 측정 가능한 각종 목표를 달성했다고 밝혔습니다.

위협 추적의 결과로 측정 가능한 개선 사항	약간 개선	크게 개선
탐지된 인시던트 수를 기준으로 한 보안 침해 횟수	54.2%	28.3%
공격 표면 노출/강화된 네트워크 및 엔드포인트	48.3%	47.5%
탈옥 시간(횡적 확산의 초기 손상)	44.2%	30.8%
잠시 멈춤 시간(탐지 감염)	45.0%	40.0%
유출 탐지(조직에서 나가는 데이터가 탐지됨)	45.0%	31.7%
악성코드 감염 빈도/수	45.8%	37.5%
교정 조치에 사용되는 리소스(예: 직원 숙소, 비용)	49.2%	25.8%
억제 시간(확산 또는 횡적 확산 탐지/예방)	55.8%	32.5%

기업의 위협 추적을 가로막는
5가지 주요 장벽

제한된 리소스

기업은 뛰어난 위협 추적 전문가를 확보하는 데 어려움을 겪고 있습니다. 아울러 제한된 기능, 레거시 인프라 및 아키텍처로 인해 어려움을 겪고 있습니다.

알림 우선순위 지정

매일 쏟아지는 알림 속에서 위협의 근원을 식별하기 어렵다는 사실과 더불어 조사의 우선순위를 판단하기가 어렵습니다.

효과적인 정보 사용

위협 정보를 운영하기는 어렵고 많은 소스가 신뢰할 수 없고 오래된 경우가 많습니다.

인터넷 전반의 위협 가시성

조직에서는 공격자가 공격을 개시하는 위치와 도메인, IP, ASN 및 악성코드가 연결되는 방식을 식별하는 데 어려움을 겪고 있습니다.

위협 추적의 성숙 여정

조직은 일반적으로 낮은 수준의 IOC만 추적하는 방식으로 시작하여 더 높은 수준으로 진행하기 때문에 시간이 걸립니다.