5 Practical Techniques for Effective Cyber Threat Hunting
- 동종 조직·지역 기반 위협 파악
- 다른 국가나 지역의 유사 기업들이 어떤 공격을 겪고 있는지 확인
- 예: ANY.RUN 제공 Threat Intelligence (TI) Lookup 활용
- 제출된 샘플(악성파일, 피싱 등) 분석 레포트 조회
- 지역·파일 유형 등 다양한 필터로 해당 지형 공격 파악
- 효과
- 실제 진행 중인 공격 파악
- 방어 우선순위와 자원 배분 최적화
- 의심 IP·시스템 아티팩트 검증
- 보안 경보(로그, IDS)에서 검출된 IP 주소, 명령줄(Command line) 등 의심 지표를 TI 툴로 재확인
- 예: TI Lookup로 IP 조회
- 악성 행위, 해킹 툴 사용 여부 등 신속히 판별 가능
- 자칫 놓칠 수 있는 해킹 시도를 조기 발견
- 효과
- 알림량이 많은 SOC 환경에서 실제 악성 IOC 구분
- 사고 대응 속도 향상
- 특정 전술기술절차(TTP)별 위협 파악
- MITRE ATT&CK 등에서 정의된 TTP를 기반으로 악성 행위 추적
- 예: TI Lookup에 T1562.001(보안 툴 비활성) 등 TTP 검색
- 해당 TTP 쓰는 악성코드·공격사례 자동 식별
- 효과
- 공격자 기법별로 탐지 규칙 보강
- 지속적인 방어 체계 업그레이드
- 지속 모니터링으로 위협 진화 추적
- 공격자가 기존 멀웨어 변형, 인프라 교체 등 지속 변화
- TI 서비스에서 특정 지표(도메인, 해시 등)에 구독 걸어두면 갱신 내용 실시간 감지
- 예: “Lumma Stealer” 관련 신규 샘플, 변형을 빠르게 파악
- 효과
- 재발가능성 있는 위협 선제적 차단
- 실시간 탐지·대응 체계 강화
- 타 보고서·3자 정보 연계하여 지식 확장
- 공개된 보안 보고서나 블로그에서 기초 지표(해시, 파일명, path 등) 확보 후 TI Lookup 등으로 추가 악성샘플 및 연관 공격 탐색
- 예: 특정 DLL 파일이 Lumma Stealer와 연관된 경우, TI Lookup 검색으로 관련 세션·샘플 모두 수집
- 효과
- 파편화된 인텔 통합
- 정확한 방어정책 도출에 기여
- 결론
- 선제적 위협 헌팅은 보안팀이 무수한 로그와 이벤트 속에서 실제 악성 요소를 발굴하여 조직 자산을 보호하는 핵심 수단
- 소개된 5가지 기법(지역 기반 위협 식별, 의심 아티팩트 TI 검증, TTP별 분석, 지속 모니터링, 외부 보고서 보강)은 정확도와 효율성을 크게 높여줄 것
- TI Lookup 같은 도구를 활용해 정교한 공격에 대응하고, 사전 방어 중심의 보안 역량을 강화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 기술팀이 알아야 할 웹어셈블리 주의사항 5가지 (0) | 2025.01.05 |
|---|---|
| VPN과 ZTNA: 하이브리드 근무 환경 보안을 위한 비교 (0) | 2025.01.05 |
| 국가 사이버 사고 대응 계획 (National Cyber Incident Response Plan, NCIRP) (3) | 2025.01.05 |
| 악성 SharePoint 알림 위장 공격: Xloader 배포 주의 (0) | 2025.01.04 |
| 파이썬, 티오베 선정 2024년 올해의 언어로 유력 (1) | 2025.01.04 |