XOps 보안 플레이북 - 스캐너 및 취약점

이 플레이북은 스토리 워크벤치를 사용하여 취약점 및 스캐닝 활동을 기반으로 한 스토리를 조사하는 방법을 설명합니다.

개요

이 플레이북은 SOC 엔지니어가 스캐닝 활동 및 취약점과 관련된 잠재적인 보안 사건을 조사하기 위한 체계적인 접근 방식을 설명합니다. 초기 정보를 수집하고 네트워크 트래픽을 분석하며 위협의 본질에 대한 결론을 도출하기 위한 프레임워크를 제공합니다.

이 플레이북은 스캐닝 활동과 취약점 활용을 기반으로 한 공격의 여러 단계를 네트워크 전반에서 식별하는 데 도움을 줍니다. 다음은 이러한 공격과 일반적으로 관련된 전술입니다:

정찰
초기 접근
권한 상승
측면 이동
유출

스캐너 및 취약점 스토리 식별

XOps 엔진은 특정 위협 행동에 맞는 IPS 서명을 기반으로 주로 스캐너 및 취약점 스토리를 식별합니다. 스토리를 트리거한 행동을 이해하면 조사하는 데 도움이 되는 더 나은 아이디어를 제공합니다. 다음 표에는 이러한 유형의 스토리에 대한 다양한 IPS 서명 형식이 나와 있으며 서명과 일치하는 잠재적으로 악성 행동을 설명합니다.

IPS 서명	설명
cid_cve_*	CVE 식별자가 있는 취약점
cid_vuln_*	CVE 식별자가 없는 취약점
cid_scan_*	네트워크 스캐너용
cid_waf_*	웹 서비스로 향하는 네트워크 스캐너 및 취약점용
feed_cid_cve_*	특정 취약점 관련 위협 인텔리전스 소스용
feed_threat_scanner*	위협 스캐너로 분류된 IP와 연관된 인바운드 트래픽용

조사 워크플로

이 섹션은 스캐닝 활동 또는 취약점 활용 시도로 시작된 공격을 식별하기 위한 조사 워크플로를 설명합니다.

1단계 - 위협에 대한 초기 정보 수집

스토리 내 세부 정보 위젯을 사용하여 잠재적 위협에 대한 기본 정보를 수집하십시오. 스토리의 설명을 검토합니다. 이것은 스토리를 생성한 논리에 기반하여 조사를 집중하는 데 도움이 될 수 있습니다. 추가로, 유사한 스토리 섹션은 유사한 지표 및 관찰 가능한 요소를 공유하는 다른 스토리를 보여줍니다.

추가 조사가 필요한지 결정하기 위해, 예를 들어 다음과 같은 추가 데이터를 검토하십시오:

방향: 이 요소는 조사 과정에 영향을 미치며, 더 많은 정보는 3단계 - 방향에 따른 조사를 참조하세요.
출처/대상: 이 탭은 영향을 받은 장치에 대한 데이터를 표시합니다.

참고: 인바운드 스토리의 경우, 대상은 영향을 받은 호스트를 의미하며, 출처는 Cato 외부에 위치한 조사된 객체를 의미합니다. 이는 Cato 네트워크의 일부로 설정되지 않은 장치나 사이트 또는 구성 오류로 인해 발생할 수 있습니다.
지표 카탈로그: 이 요소는 지표의 논리를 이해하는 데 도움이 될 수 있습니다.

2단계 - 위협 유형 식별

스캐너 스토리에서 스토리를 트리거한 서명과 서명에 표시된 애플리케이션을 기반으로 스캐너 유형을 식별할 수 있습니다. 이는 Nessus나 Qualys와 같은 특정 유형과 연관되거나 일반적인 서비스/애플리케이션 및 트래픽 양을 기반으로 할 수 있습니다.

취약점 스토리에서 이벤트 내 레퍼런스를 통해 취약점을 이해하고 관련 IOC에 대한 조사를 집중할 수 있습니다.

이벤트 내 위협 레퍼런스 필드는 National Vulnerability Database에서 위협을 조회할 수 있는 링크를 제공합니다.

3단계 - 방향에 따른 조사

스토리의 방향은 조사에서의 다음 단계에 영향을 미칩니다:

인바운드 스캔 / 취약점 스토리

조사의 이 단계의 목적은 외부 적대자의 정보 수집 / 침투 시도의 가능성을 식별하고 검증하는 것입니다.

출처 테이블에서 식별된 출처를 조사하여 잠재적인 악의적 의도를 확인하십시오:

위험 평가를 위한 테이블 매개변수 분석: 소스의 악성 점수, 인기, 관련 카테고리 및 위협 인텔리전스 피드의 수 등을 평가하여 소스가 악의적인 가능성을 판단하십시오.
외부 검색을 위한 출처 링크 사용: 평판 좋은 서드 파티 검색 엔진 및 보안 데이터베이스에서 출처 링크를 사용하여 외부 검색을 수행합니다. 출처와 연관된 역사적 컨텍스트, 연관성 또는 악의적 행동 지표를 찾습니다. 수집된 데이터를 상관하여 출처와 다른 엔티티 간의 연결을 식별하고, 알려진 위협 행위자, 캠페인 또는 기술과의 연결이 있는지 확인해 보십시오.
공격 관련 흐름/이벤트: 지정된 테이블을 사용하여 트리거된 스토리에 해당하는 처리되지 않은 데이터 흐름 샘플을 검사하십시오. 흐름에서 URL, 사용자 에이전트, 파일 이름 및 추가 관련 속성과 같은 보조 데이터 포인트를 분석하고, 이러한 매개변수를 이전 조사 단계의 발견사항과 비교하여 통신 소스의 최종 판단에 대한 통찰을 얻습니다.

스토리의 관련 이벤트를 기반으로 위협 유형을 이해한 후, 트래픽과 관련된 추가 통찰을 얻기 위해 관련 이벤트로 세분화하는 것이 중요합니다. 예를 들어:

트래픽을 확인하고 서명 참조가 이벤트에서 발견된 데이터와 상관되어 실제 긍정이나 실제 부정으로 분류합니다.
위협의 범위를 이해하기:
- 이 통신이 새로운 것인지, 이전에 본 것인지 이해하기 위해 통신 소스에서 추가 트래픽을 확인하십시오.
- 유사한 트래픽 특성(애플리케이션, 대상 포트)을 가진 추가 소스를 확인하십시오.
- 조사된 소스에 의해 통신된 추가 대상/호스트를 확인하십시오
- 이벤트 간의 다른 점을 확인하십시오 예를 들어 다른 URL, 대상 포트, 요청 방법 등.
- Action 필드를 기반으로 트래픽이 차단되었는지 확인하십시오

결론

스캐너 조사의 경우, 다음과 같은 여러 알려진 스캐너 및 스캐닝 방법의 분류가 있습니다:

Nessus
Nmap
Xmas
핑 스위프

취약점 조사의 경우, 다음과 같은 여러 알려진 취약점의 분류가 있습니다:

SQL 인젝션
교차 사이트 스크립팅 인젝션 (XSS 인젝션)

스토리에 특정 취약점이 분류 목록에 없는 경우, 새로 만들기를 클릭하고 관련 필드를 작성하여 계정에 로컬로 추가할 수 있습니다.

스토리가 실제 긍정이며 차단되지 않은 경우, 조사된 소스를 RPF 정책 차단 목록에 추가하는 것이 매우 권장됩니다. 자세한 내용은 계정 원격 포트 포워딩 구성을 참조하십시오.

스토리가 거짓 긍정인 경우, 이를 잘못됨/정보용/에 추가하고 Mute Stories 규칙에 추가할 수 있습니다. (스토리가 합법적인 스캔/침투 테스트의 결과인 경우 특정 시간 범위에 대해 Mute Stories 규칙에 추가하는 것이 좋습니다.)

아웃바운드 스캔 / 취약점 스토리

조사의 목적은 유출, 명령 및 제어 트래픽, 봇넷 활동 등의 가능성을 식별하고 검증하는 것입니다.

대상 테이블에서 식별된 대상을 조사하여 잠재적인 악성 의도를 확인하십시오:

위험 평가를 위한 테이블 매개변수 분석: 대상의 악성 점수, 인기, 관련 카테고리 및 위협 인텔리전스 피드의 수 등을 평가하여 대상이 악의적일 가능성을 판단하십시오.
외부 검색을 위한 대상 링크 사용: 아웃바운드 스캐닝 활동의 경우, 대상 조사가 어려울 수 있으며 대부분의 커뮤니케이션 대상은 많은 보안 엔진에서 인식되지 않으며 외부 데이터가 부족합니다.

그러나, 외부 소스를 사용하여 가능한 한 많은 컨텍스트를 찾기 위해 역사적 컨텍스트, 연관성 또는 악의적 행동 지표를 사용하여 찾는 것이 좋습니다. 수집된 데이터를 상관하여 대상과 다른 엔티티 간의 연결을 식별하고, 알려진 위협 행위자, 캠페인 또는 기술과의 연결이 있는지 확인해 보십시오.
공격 관련 흐름/이벤트: 지정된 테이블을 사용하여 트리거된 스토리에 해당하는 처리되지 않은 데이터 흐름 샘플을 검사하십시오. 플로우의 보조 데이터 포인트, 예를 들어 대상 포트, 애플리케이션, URL, 사용자 에이전트, 대상 국가 및 기타 관련 속성을 분석하고 이전 조사 결과와 비교하여 통신 대상의 최종 판결에 대한 통찰을 얻습니다.

스토리의 관련 이벤트를 기반으로 위협 유형을 이해한 후에는 관련 트래픽에 대한 추가 통찰을 얻기 위해 관련 이벤트를 자세히 조사하는 것이 중요합니다. 예를 들어:

트래픽을 검증하고 이벤트에서 발견된 데이터와 상관시켜 시그니처의 참조를 기반으로 이를 true positive 또는 true negative로 분류합니다.
위협의 범위 이해:
- 이 통신이 새로운 것인지 아니면 이전에 관찰된 것인지 이해하기 위해 통신 대상의 추가 트래픽을 확인합니다.
- 유사한 트래픽 특성(애플리케이션, 대상 포트)을 가진 추가 대상이 있는지 확인합니다.
- 조사된 대상이 통신한 추가 대상/호스트가 있는지 확인합니다.
- 다른 URL, 다른 대상 포트, 요청 방법 등 사건 간의 차이점을 확인합니다.
- Action 필드를 기반으로 트래픽이 차단되었는지 확인합니다.
결론

스캐너 조사를 위해 알려진 스캐너 및 스캔 방법의 여러 분류가 있습니다, 예를 들어:
- ICMP 스캔
- SYN 스캔
- SMTP 스캔
취약성 조사를 위해 알려진 취약점의 분류가 있습니다, 예를 들어:
- SQL 인젝션
- 교차 사이트 스크립팅 인젝션 (XSS 인젝션)
스토리에서 발견된 특정 취약점이 분류 목록에 존재하지 않는 경우, 새로운을 클릭하고 관련 필드를 작성하여 로컬에 추가할 수 있습니다.

스토리가 true positive이고 차단되지 않은 경우 조사된 대상을 인터넷 방화벽 차단 규칙에 추가하는 것이 강력히 권장됩니다. 또한, IPS 시그니처가 허용 목록에 있는 경우, 방화벽 규칙을 사용하거나 IPS 허용 규칙을 편집하여 알려진 대상만 포함하도록 차단하는 것이 권장됩니다.

스토리가 false positive인 경우 이를 무해/정보로 분류하고 Mute Stories 규칙에 추가할 수 있습니다. 스토리가 정당한 스캔/침투 테스트에서 파생된 경우 특정 시간 범위에 대해 Mute Stories 규칙에 추가하는 것이 좋습니다.

WAN바운드 스캔 / 취약성 스토리

조사의 목적은 탈취, 수평 이동, 권한 상승 등 가능한 사례를 식별하고 확인하는 것입니다.

대상 테이블은 통신되는 모든 대상에 대한 가시성을 제공합니다.

테이블을 활용하여 발생한 스토리에 해당하는 처리되지 않은 데이터 흐름 샘플을 검사합니다. 플로우의 보조 데이터 포인트, 예를 들어 URL, 사용자 에이전트, 파일 이름 및 기타 관련 속성을 분석하고 이전 조사 단계에서의 결과와 비교하여 통신 소스의 최종 판결에 대한 통찰을 얻습니다.

트래픽을 검증하고 이벤트에서 발견된 데이터와 상관시켜 시그니처의 참조를 기반으로 이를 true positive 또는 true negative로 분류합니다.
위협의 범위 이해:
- 이 통신이 새로운 것인지 아니면 이전에 관찰된 것인지 이해하기 위해 통신 소스의 추가 트래픽을 확인합니다.
- 유사한 트래픽 특성(애플리케이션, 대상 포트)을 가진 추가 소스가 있는지 확인합니다.
- 조사된 소스가 통신한 추가 대상/호스트가 있는지 확인합니다.
- 다른 URL, 다른 대상 포트, 요청 방법 등 사건 간의 차이점을 확인합니다.
- Action 필드를 기반으로 트래픽이 차단되었는지 확인합니다.
스캐너 조사를 위해 알려진 스캐너/스캔 방법의 여러 분류가 있습니다, 예를 들어:
- Nessus
- Nmap
- Xmas
- Ping Sweep
취약성 조사를 위해 알려진 취약점의 분류가 있습니다, 예를 들어:
- SQL 인젝션
- 교차 사이트 스크립팅 인젝션 (XSS 인젝션)
스토리에서 발견된 특정 취약점이 분류 목록에 존재하지 않는 경우, 새로운을 클릭하고 관련 필드를 작성하여 로컬에 추가할 수 있습니다.

스토리가 true positive이고 차단되지 않은 경우 조사된 대상을 WAN 방화벽 차단 규칙에 추가하는 것이 강력히 권장됩니다. 또한, IPS 시그니처가 허용 목록에 있는 경우, 방화벽 규칙을 사용하거나 IPS 허용 규칙을 편집하여 알려진 대상만 포함하도록 차단하는 것이 권장됩니다.

스토리가 false positive인 경우 이를 무해/정보로 분류하고 Mute Stories 규칙에 추가할 수 있습니다. 스토리가 합법적인 스캔 또는 침투 테스트에서 파생된 경우 특정 시간 범위에 대해 Mute Stories 규칙에 추가하는 것이 좋습니다.