위협 인텔리전스(TI) 피드는 위협 환경에 맞춰 기업의 방어를 조정하기 위한 공격자 행동에 대한 중요한 정보를 제공합니다. 이러한 피드 없이 귀하의 보안 도구 및 귀하의 보안 제공업체가 사용하는 도구는 사이버 운영 및 자산을 방어하는 데 필요한 원시 인텔리전스를 결여할 것입니다.
그러나 오픈 소스, 공유 커뮤니티, 상업용 제공업체에서 오는 TI 피드의 품질은 매우 다양합니다. 모든 알려진 위협을 포괄하지 않으며 종종 오탐이 포함되어 합법적인 네트워크 트래픽이 차단되고 비즈니스에 부정적인 영향을 미치게 됩니다. Cato Networks의 보안 팀은 업계 모범 사례를 적용한 후에도 30%의 TI 피드가 오탐을 포함하거나 악성 침해 지표(IoCs)를 놓칠 것임을 발견했습니다.
이 문제를 해결하기 위해 Cato에서는 목적에 맞게 설계된 평판 평가 시스템을 개발했습니다. 통계적으로, 이는 쉽게 이용 가능한 네트워킹 및 보안 정보를 상관시키기 위해 기계 학습 모델 및 AI를 사용하여 모든 오탐을 제거합니다. 여기 우리가 한 일을 소개하겠습니다. 직접 그런 시스템을 구축할 시간과 자원이 없을 수도 있지만, 네트워크에서 이와 유사한 작업을 수행하는 방법을 제시합니다.
모든 보안 팀이 직면한 가장 큰 과제는 비즈니스 프로세스에 최소한의 방해로 위협을 식별하고 차단하는 것입니다. 공격자의 혁신 범위와 속도가 평균 기업을 방어 입장에 놓게 합니다. IT 팀은 종종 위협을 차단하는 데 필요한 기술과 도구가 부족합니다. 해당 원자재가 있어도 기업은 전체 위협 환경의 일부만 볼 수 있습니다.
위협 인텔리전스 서비스는 이 격차를 메우고 위협을 탐지하고 차단하는 데 필요한 정보를 제공한다고 주장합니다. TI 피드는 잠재적으로 악성 IP 주소, URL 및 도메인과 같은 IoC 목록으로 구성됩니다. 많은 경우 위협의 심각도와 빈도도 포함됩니다.
현재 시장에는 수백 개의 유료 및 무료 TI 피드가 있습니다. 위협 환경의 전체 범위를 알지 않고서는 피드의 품질을 결정하기 어렵습니다. 정확도는 특히 최저의 오탐을 보장하는 데 중요합니다. 오탐이 너무 많으면 불필요한 경고가 보안 팀을 압도하여 합법적인 위협을 발견하지 못하게 합니다. 오탐 또한 비즈니스를 방해하여 사용자가 합법적인 리소스에 접근하지 못하게 됩니다.
보안 분석가는 여러 피드에서 공통적으로 발견되는 IoC를 확인하여 오탐을 방지하려고 했습니다. 공유된 IoC가 많은 피드가 보다 권위 있는 것으로 간주되었습니다. 그러나 30개의 TI 피드를 사용하여 이 방법을 적용했더니, Cato의 보안 팀은 정확하다고 여겨지는 피드의 78%가 여전히 많은 오탐을 포함하고 있음을 발견했습니다.
그림 1. 이 매트릭스에서는 TI 피드 간의 IoC 중복 정도를 보여줍니다. 밝은 색상은 더 많은 중복과 높은 피드 정확성을 나타냅니다. 전체적으로 75%의 TI 피드가 상당한 중복을 나타냈습니다.
보안 피드를 더욱 정제하기 위해 네트워크 트래픽 데이터를 사용하여 보안 데이터를 보강하면 피드 정확도가 크게 향상될 수 있음을 발견했습니다. 과거에는 네트워크 트래픽 데이터를 활용하는 것이 많은 조직에게 비현실적이었습니다. 보안 및 네트워킹 장치에서 이벤트 데이터를 추출하고 데이터를 정규화하며 데이터를 저장한 다음 그 데이터 저장소를 조사하기 위한 필수 쿼리 도구를 갖추는 데 상당한 투자가 필요했을 것입니다.
그러나 보안 액세스 서비스 에지(SASE) 솔루션으로의 전환은 네트워킹과 보안을 통합합니다. 보안 분석가는 이제 이전에 사용할 수 없었던 네트워킹 이벤트 데이터를 활용하여 보안 분석을 풍부하게 할 수 있습니다. 특히 이 분야에서 유용한 것은 실제 사용자 사이에서 특정 IoC의 인기도입니다.
우리의 경험에 따르면, 합법적인 트래픽은 사용자가 자주 방문하는 도메인이나 IP 주소에서 주로 종료됩니다. 우리는 이를 직관적으로 이해합니다. 사용자가 자주 방문하는 사이트는 일반적으로 오랫동안 운영되고 있습니다. (자주 새로운 서버를 인스턴스화하는 연구 환경을 다루는 경우 제외.) 반면에 공격자는 URL 필터에 의해 악성으로 분류되어 차단되지 않도록 자주 새로운 서버와 도메인을 인스턴스화합니다.
따라서 실제 사용자가 IoC 대상을 방문하는 빈도, 즉 우리가 인기도라고 부르는 점수를 결정함으로써 보안 분석가는 오탐일 가능성이 높은 IoC 대상을 식별할 수 있습니다. IoC 대상을 향한 사용자 트래픽이 적을수록 인기도 점수가 낮아지고 해당 대상이 악성일 가능성이 높아집니다.
Cato에서는 모든 고객의 사용자로부터 모든 흐름의 메타데이터로 구성된 데이터 웨어하우스에서 머신러닝 알고리즘을 실행하여 인기도 점수를 도출합니다. 네트워크의 다양한 로그 및 장비에서 네트워킹 정보를 가져와서 유사한 작업을 수행할 수 있습니다.
TI 피드에서 발견된 오탐을 격리하기 위해, 우리는 피드를 두 가지 방법으로 평가했습니다: 피드 간의 중복된 IoC의 수를 나타내는 "중복도 점수"와 "인기도 점수" 이상적으로는 TI 피드가 높은 중복도 점수와 낮은 인기도 점수를 가지길 원합니다. 진정으로 악의적인 IoC는 여러 위협 인텔리전스 서비스에 의해 식별되는 경향이 있으며, 실제 사용자에 의해 거의 액세스되지 않습니다.
그러나 우리가 발견한 것은 전혀 반대였습니다. 많은 TI 피드(30%)의 IoC는 낮은 중복도 점수와 높은 인기도 점수를 가졌습니다. 이러한 TI 피드에서 IoC를 차단하면 불필요한 보안 경고가 발생하고 사용자가 좌절하게 됩니다.
그림 2. 네트워킹 정보를 고려함으로써 위협 인텔리전스 피드에서 일반적으로 발견되는 오탐을 제거할 수 있습니다. 이 예시에서는 30개의 위협 인텔리전스 피드(이름 제거됨)의 평균 점수를 볼 수 있습니다. 선 위에 있는 항목들은 정확한 것으로 간주됩니다. 점수는 피드의 인기도와 다른 TI 피드와의 중복 수 간의 비율입니다. 전체적으로 30%의 피드가 오탐을 포함하고 있는 것으로 나타났습니다.
네트워킹 정보를 사용함으로써 대부분의 오탐을 제거할 수 있으며, 이는 조직에 유익합니다. 그러나 이 인사이트를 보안 프로세스에 다시 피드백함으로써 결과가 더욱 개선됩니다. 자산이 손상된 것으로 확인되면, 호스트가 생성하는 모든 통신과 함께 외부 위협 인텔리전스가 자동으로 강화되어 새로운 인텔리전스를 생성할 수 있습니다. 감염된 호스트가 연락한 도메인과 IP, 다운로드한 파일들은 자동으로 악성으로 표시되고 IoC에 추가되어 더 큰 보호를 제공합니다.
Cato는 고객의 내부 위협 탐지 기능을 매끄럽게 확장하여 네트워크 내에서 손상된 악성 소프트웨어에 감염된 엔드포인트를 지속적으로 모니터링합니다. 네트워크 트래픽이 Cato를 통해 흐르기 때문에 트래픽 가시성을 얻기 위해 에이전트나 장치를 설치하지 않고 지속적인 위협을 무발자국으로 탐지할 수 있습니다.
Cato는 네트워크 및 연결된 장치를 감지하고 조사하며 보호하기 위해 Managed Threat Detection and Response (MDR) 서비스를 제공합니다. Cato MDR은 네트워크 트래픽에서 위협 인디케이터를 탐지하는 머신러닝 알고리즘과 감지된 이상 현상에 대한 인간의 검증을 결합하여 사용합니다. 그런 다음 Cato 전문가들이 고객이 손상된 엔드포인트를 복구할 수 있도록 안내합니다.
MDR 서비스에 대한 자세한 정보는 여기를 클릭하세요.
댓글 0개
댓글을 남기려면 로그인하세요.