사이버 헌팅( Threat )이란 무엇인가요?

사이버 위협 헌팅은 위협 헌터가 조직의 네트워크에 숨겨진 보안 위험을 선제적으로 검색하는 인터넷 보안에 대한 미래 지향적인 접근 방식입니다. 자동화된 위협 탐지 시스템과 같은 수동적인 사이버 보안 헌팅 전략과 달리 사이버 헌팅은 네트워크의 자동화된 방어 시스템을 회피했을 수 있는 이전에 탐지되지 않았거나 알려지지 않았거나 해결되지 않은 위협을 능동적으로 찾습니다.

하이브리드 IT란 무엇인가요?

사이버 범죄자들은 그 어느 때보다 더 정교해지고 있으며, 사이버 위협 헌팅은 강력한 네트워크, 엔드포인트 및 데이터 세트 보안 전략의 필수 요소로 자리 잡았습니다. 지능형 외부 공격자나 내부자 위협이 초기 네트워크 방어 시스템을 피할 경우 몇 달 동안 탐지되지 않을 수 있습니다. 이 기간 동안 공격자는 민감한 데이터를 수집하거나 기밀 정보를 유출하거나 로그인 자격 증명을 확보하여 네트워킹 환경 전반을 가로질러 몰래 침입할 수 있습니다.

보안 담당자는 더 이상 앉아서 자동화된 사이버 위협 탐지 시스템이 임박한 공격을 알려줄 때까지 기다릴 여유가 없습니다. 사이버 위협 헌팅을 사용하면 공격으로 인해 피해가 발생하기 전에 잠재적인 취약점이나 위협을 선제적으로 식별할 수 있습니다.

사이버 위협 헌팅은 어떻게 작동하나요?

사이버 위협 헌팅은 인적 요소와 소프트웨어 솔루션의 빅 데이터 처리 능력을 결합합니다. 솔루션과 인텔리전스/데이터를 사용하여 일반적인 방어를 회피할 수 있는 공격자를 찾는 인간 위협 헌터는 복잡한 보안 모니터링 및 분석 도구의 데이터를 활용하여 위협을 사전에 식별하고 무력화할 수 있습니다.

인간의 직관, 전략적이고 윤리적 사고, 창의적인 문제 해결 능력은 사이버 헌팅 프로세스에서 필수적인 역할을 합니다. 이러한 인간의 특성을 통해 조직은 자동화된 위협 탐지 도구에만 의존하는 것보다 더 빠르고 정확하게 위협 해결을 구현할 수 있습니다.

위협 헌팅을 시작하려면 무엇이 필요하나요?

사이버 위협 헌팅이 제대로 작동하려면 먼저 위협 헌터가 이상 징후를 더 잘 식별할 수 있도록 예상 또는 승인된 이벤트의 기준선을 설정해야 합니다. 그런 다음 위협 헌터는 이 기준선과 최신 위협 인텔리전스를 사용하여 보안 데이터와 위협 탐지 기술로 수집한 정보를 검색할 수 있습니다. 이러한 기술에는 보안 정보 및 이벤트 관리 솔루션(SIEM), 관리형 탐지 및 대응(MDR) 또는 기타 보안 분석 도구가 포함될 수 있습니다.

엔드포인트, 네트워크, 클라우드 데이터 등 다양한 소스의 데이터를 확보한 위협 헌터는 잠재적 위험, 의심스러운 활동 또는 정상에서 벗어난 트리거를 찾기 위해 시스템을 샅샅이 뒤질 수 있습니다. 알려진 위협 또는 잠재적 위협이 감지되면 위협 헌터는 가설을 세우고 심층적인 네트워크 조사를 진행할 수 있습니다. 이러한 조사 과정에서 위협 헌터는 위협이 악성인지 양성인지 또는 새로운 유형의 사이버 위협으로부터 네트워크가 적절히 보호되고 있는지 여부를 파악합니다.

사이버 위협 헌팅도 위협 인텔리전스의 일부인가요?

사이버 위협 인텔리전스는 비즈니스가 직면한 위협에 대한 이해를 높이기 위해 데이터의 분석, 수집, 우선순위 지정에 중점을 둡니다.

Threat 사냥 조사 유형

세 가지 핵심 위협 헌팅 조사 유형이 있습니다:

• 구조화: 이 유형의 사이버 보안 헌팅은 공격의 지표와 공격자의 전술, 기술 및 절차(TTP)를 기반으로 합니다. 구조화된 헌팅은 위협 헌터들이 네트워크에 해를 끼치기 전에 악성 행위자를 식별할 수 있도록 MITRE ATT&CK®(Adversary Tactics Techniques and Common Knowledge) 프레임워크를 사용합니다.
• 비정형: 트리거 또는 침해 지표(IoC)를 기반으로 위협 헌터는 비정형 헌팅을 사용하여 트리거 또는 IoC가 발견되기 전과 후에 네트워크 전체에서 눈에 띄는 패턴을 검색합니다.
• 상황 또는 위협 인텔리전스 기반: 가설은 네트워크 위험 평가 중에 발견된 취약점과 같은 상황적 상황에서 도출됩니다. 위협 헌터는 최신 위협 인텔리전스를 통해 네트워크를 분석할 때 사이버 공격 트렌드 또는 공격자 TTP에 대한 내부 또는 크라우드소싱 데이터를 참조할 수 있습니다.

이 세 가지 조사 유형 모두에서 위협 헌터는 이벤트를 통해 이상 징후, 취약점 또는 예상되거나 승인된 이벤트 외의 의심스러운 활동을 검색합니다. 보안 허점이나 비정상적인 활동이 발견되면 헌터는 사이버 공격이 발생하거나 재발하기 전에 네트워크를 패치할 수 있습니다.

사이버 위협 헌팅의 4단계

사이버 위협 헌팅 프로그램을 효과적으로 시작하려면 보안 담당자가 따라야 할 네 가지 단계가 있습니다:

• 가설 개발: Threat 헌터는 조직의 인프라, 현재 위협 인텔리전스 또는 공격자 TTP, 의심스러운 활동 또는 표준 기준 활동에서 벗어난 트리거에 존재할 수 있는 위험 또는 취약성을 기반으로 가설을 개발해야 합니다. 또한 자신의 지식, 경험 및 창의적인 문제 해결 기술을 사용하여 위협 가설을 수립하고 이를 테스트하기 위한 경로를 결정할 수 있습니다.
• 조사를 시작합니다: 조사 중에 위협 헌터는 SIEM, MDR, 사용자 엔터티 행동 분석과 같은 위협 헌팅 솔루션에서 파생된 복잡하고 기록적인 데이터 세트를 활용할 수 있습니다. 조사는 가설이 확인되고 이상 징후가 탐지되거나 가설이 양성으로 판명될 때까지 진행됩니다.
• 새로운 패턴을 발견하세요: 이상 징후나 악의적인 활동이 발견되면 다음 단계는 신속하고 효율적인 대응을 배포하는 것입니다. 여기에는 사용자 비활성화, IP 주소 차단, 보안 패치 적용, 네트워크 구성 변경, 인증 권한 업데이트 또는 새로운 식별 요건 도입 등이 포함될 수 있습니다. 보안팀은 네트워크 위협을 선제적으로 해결하기 위해 노력하면서 위협 행위자의 TTP와 향후 이러한 위협을 완화할 수 있는 방법을 본질적으로 학습하게 됩니다.
• 대응, 강화, 자동화 사이버 범죄자들은 항상 발전하고 새로운 네트워크 위협을 만들어 내기 때문에 위협 헌팅 작업은 끝이 없습니다. 사이버 위협 헌팅은 자동화된 위협 탐지 기술 및 보안팀의 현재 위협 식별 및 해결 프로세스와 함께 운영되는 조직 내 일상적인 관행이 되어야 합니다.

사이버 위협 헌팅의 가장 큰 과제는 무엇인가요?

사이버 위협 헌팅은 위협 탐지 및 해결을 위해 사전 예방적이고 실질적인 접근 방식을 취하기 때문에 일부 조직은 이 보안 관행을 구현할 때 상당한 어려움에 직면합니다. 사이버 위협 헌팅 프로그램이 성공하려면 조직은 세 가지 핵심 요소가 조화롭게 작동해야 합니다:

• 전문 위협 헌터: 사이버 위협 헌팅과 관련된 인적 자본은 가장 중요한 요소입니다. Threat 헌터는 위협 환경에 대한 전문가여야 하며 정교한 공격의 경고 징후를 신속하게 식별할 수 있어야 합니다.
• 포괄적인 데이터: 위협을 제대로 찾아내려면 헌터들은 전체 인프라에 대한 가시성을 제공하는 풍부한 데이터(현재 및 과거 데이터 모두)에 액세스할 수 있어야 합니다. 이러한 종합적인 데이터가 없으면 위협 헌터는 엔드포인트, 네트워크 또는 클라우드 인프라를 기반으로 정보에 입각한 위협 가설을 만들 수 없습니다.
• 최신 위협 인텔리전스: Threat 위협 헌터는 최신 사이버 공격 동향을 내부 데이터와 비교할 수 있는 최신 위협 인텔리전스를 갖추고 있어야 합니다. 새로운 위협이나 유행하는 위협이 무엇인지 알지 못하면 위협 헌터는 잠재적인 네트워크 위협을 올바르게 분석하는 데 필요한 정보를 얻지 못합니다.

이 세 가지 구성 요소를 모두 배포하고 원활하게 함께 작동하도록 하려면 많은 조직 리소스가 필요합니다. 안타깝게도 일부 보안팀은 본격적인 사이버 위협 추적 프로그램을 구축할 수 있는 적절한 도구, 인력 또는 정보에 액세스할 수 없습니다.

OpenText 사이버 보안으로 관리형 사이버 위협 헌팅 알아보기

조직의 인프라를 성공적으로 보호하려면 사후 대응이 아닌 사전 예방적 접근 방식이 필요합니다. 자동화된 위협 탐지 기술만으로는 기밀 데이터나 정보를 보호할 수 있는 시대는 지났습니다. 대신 보안팀은 외부 공격자나 내부 위협으로 인해 피해가 발생하기 전에 정보에 기반한 가설을 세우고 네트워크 이상 징후, 위험 또는 의심스러운 활동을 찾아낼 수 있는 지속적인 사이버 위협 헌팅 프로그램을 구현해야 합니다.

소프트웨어와 리소스에 투자할 필요 없이 사이버 위협 헌팅을 제공하는 매니지드 서비스를 찾고 계신가요? OpenText™ 보안 서비스는 특정 시점 위협 헌팅 및 구독 기반 서비스를 제공하여 상황별, 비정형 및 정형 기반 위협을 수행하고 이상 징후, 취약점 및 의심스러운 활동을 식별합니다. 위험 및 규정 준수, 디지털 포렌식, 사고 대응에 대한 전문 지식과 결합하여 고객은 OpenText 을 통해 사이버 복원력을 향상시킬 수 있습니다.