주요 콘텐츠로 건너뛰기
RSA 컨퍼런스 2024에서 NetWitness를 만나보세요!
#254 부스를 방문하거나 전문가와의 미팅을 예약하세요. 지금 예약하세요!
버거 메뉴
업계 관점

암호화된 네트워크 트래픽에서 선제적 위협 헌팅의 이점 알아보기

  • by 코디 스푸너

위협 헌팅에 대한 사전 예방적 접근 방식이 조직이 잘못된 구성과 사이버 공격에 대비하는 데 어떻게 도움이 되는지 알아보세요.

데이터 프라이버시 및 보안의 확산, 클라우드 기반 서비스의 도입, 사람들의 업무 및 커뮤니케이션 방식의 변화 등 여러 가지 요인으로 인해 암호화된 네트워크 트래픽은 수년 동안 증가 추세에 있습니다. 그러나 암호화된 네트워크 트래픽은 네트워크 트래픽을 모호하게 만들고, 암호화로 인해 잠재적인 위협을 탐지하기가 더 어려워지는 등 위협 헌터들에게도 고유한 과제를 제시합니다. 

암호화 트래픽은 여러 면에서 정보 보안의 슈뢰딩거 고양이와 같습니다. 우리는 데이터가 암호화되어 있다고 생각하고, 또 암호화되어 있기를 바랍니다. 하지만 직접 눈으로 확인하기 전까지는 알 수 없습니다. 궁극적으로 보안 분석가는 암호화가 의도한 대로 작동하는지 검증하여 데이터가 안전하게 이동하고 있다는 100%의 확신을 가져야 합니다. 

이러한 맥락에서 위협 헌팅은 무엇보다도 위험을 식별하는 데 중점을 둡니다. 흔히 위협 헌팅을 '나쁜 놈'을 찾는 것으로 미화하지만, 위협 헌팅은 위협 행위자나 악의적인 활동보다 조직이 발견할 가능성이 훨씬 높은 잘못된 구성을 찾는 것에 더 가깝습니다. 

궁극적으로 조직은 암호화된 트래픽의 문제를 이해하고 선제적인 위협 추적 전략을 구현함으로써 잘못된 설정이나 사이버 공격의 위험으로부터 자신을 더 잘 보호할 수 있습니다. 

 

암호화에 대한 간단한 설명

네트워크 암호화는 데이터를 코드나 암호로 변환하여 네트워크를 통해 전송하는 동안 데이터를 보호하는 것입니다. 암호화는 무단 액세스, 가로채기, 도청으로부터 민감한 데이터를 보호합니다. 암호화에는 일반 텍스트 데이터를 스크램블되거나 읽을 수 없는 형식인 암호 텍스트로 변환하는 작업이 포함됩니다. 발신자는 네트워크를 통해 암호 텍스트를 전송하고 수신자는 암호 해독 키를 사용하여 암호를 해독하여 다시 일반 텍스트로 변환합니다. 

평문 데이터를 사용하면 기본적으로 잘못된 설정이나 사이버 공격으로 인해 암호화된 트래픽이 적절하게 보호되지 않았다는 증거 또는 스모킹 건을 확보할 수 있습니다. 하지만 암호화된 데이터의 경우, 조직은 사용 가능한 아티팩트를 기반으로 추론하는 데 초점을 맞춘 행동 기반 접근 방식으로 변경해야 합니다. 

 

사실 확인 및 위험 식별

사실을 확인하고 위험을 식별하는 것은 데이터를 바라보는 현상 유지에 도전하고, 데이터가 어떤 모습일 것으로 기대하는지를 인식하고, 그 기대에 부합하는지 확인하는 일입니다.

조직에 "X, Y, Z는 허용되지 않는다"는 비즈니스 정책이 있다면 이를 액면 그대로 받아들이고 싶을 수 있습니다. 그러나 거의 항상 더 자세히 살펴볼 필요가 있습니다. 해당 정책을 준수하고 있는가, 아니면 해당 정책을 위반하고 있는가? 위반하고 있다면 비즈니스에 위험이 있을까요? 그 위험은 무엇인가요?

바로 여기에서 위협 헌팅의 역할이 시작됩니다. 이러한 위험을 사전에 식별함으로써 조직이 모든 절차를 준수하도록 보장할 수 있습니다.

사실 확인 및 위험 식별을 위한 팁

  • 기존 정책부터 시작하세요. 현재 시행 중인 정책을 살펴보고 이의를 제기하는 데 필요한 데이터 집합을 결정하세요. 
  • 가설로 시작하세요. 위협 헌팅은 종종 가설에서 시작됩니다. 위협이 무엇인지, 무엇을 찾고 싶은지 범위를 좁혀서 검색을 시작하세요. 그런 다음, 도구 세트를 살펴보고 데이터를 통해 네트워크에서 예상되는 하루를 파악하세요. 궁극적으로 선제적 위협 헌팅은 사용자의 환경과 일상적인 동작을 이해하는 데서 시작됩니다. 상황 인식과 강력한 데이터 보강을 결합하면 데이터 세트 내에서 이상 징후를 효율적으로 식별하고 가설을 쉽게 테스트할 수 있습니다.
  • 프로토콜 불일치를 사용하여 네트워크를 통과하는 데이터를 검사하세요. 프로토콜 불일치는 네트워크 트래픽이 수신자가 예상하는 것과 다른 프로토콜을 사용할 때 발생합니다. 프로토콜 불일치를 감지하려면 네트워크 트래픽 분석 도구를 사용하여 네트워크 트래픽에 불일치가 있는지 검사하세요. 프로토콜 불일치가 감지되면 추가 조사가 필요한지 판단합니다. 잘못된 구성으로 인해 불일치가 발생한 경우에는 추가 조사가 필요하지 않을 수 있으며, 악의적인 활동으로 인해 불일치가 발생한 경우에는 공격자를 식별하고 위험을 완화하기 위한 추가 조치를 취합니다. 
  • 클라이언트 메타키를 검토합니다. 클라이언트 메타 키는 관찰된 트래픽을 시작하는 데 사용된 클라이언트 애플리케이션(패킷의 사용자 에이전트 필드)에 대한 인사이트를 제공합니다. 트래픽이 암호화되면 일반적으로 사용자 에이전트는 보이지 않습니다. 웹 서버가 HTTP를 HTTPS로 리디렉션하면 사용자 에이전트 문자열이 '유출'되는 경우가 많습니다. HTTP/S 프로토콜 불일치가 발생하면 사용자 에이전트 필드도 채워집니다. 트래픽이 복호화되는 경우, 클라이언트 메타키를 통해 위협 헌터에게 클라이언트 애플리케이션의 HTTP 및 HTTPS 트래픽에 대한 가시성을 제공합니다.
  • 암호 키를 보세요. 암호 키는 데이터 암호화에 사용된 알고리즘에 대한 인사이트를 제공합니다. 오래되었거나 취약한 알고리즘이 있는지 암호 키를 검사하면 암호화된 트래픽의 잠재적 위험에 대한 귀중한 인사이트를 얻을 수 있습니다. 이 작업은 최근 규정 준수 및 사이버 보험에 대한 고객 감사에서 더욱 빈번하게 이루어지고 있습니다.   
  • 버전 키를 고려하세요. 그리고 버전 키는 네트워크 세션에 사용되는 암호화 프로토콜 버전(예: "TLS 1.0"). 공격자는 이전 버전의 암호화 프로토콜의 취약점을 악용하여 잠재적인 위험을 식별하고, 오래되거나 승인되지 않은 버전의 암호화 프로토콜이 사용되는지 네트워크 트래픽을 모니터링할 수 있습니다. 

 

감사 지원

사이버 보험사의 감사와 다양한 규정 준수 규정이 강화됨에 따라 조직은 네트워크를 통과하는 민감한 데이터가 어떻게 보호되고 있는지에 대한 인사이트를 제공해야 합니다. 여기에는 암호화 프로토콜과 암호화 알고리즘(암호) 분석이 포함됩니다. 

많은 조직이 "이 데이터를 어떻게 비즈니스에 적용할 수 있을까?"라고 궁금해합니다. 

감사 지원을 위한 팁

  • 보고 기능이 있는 도구를 선택하세요. 어떤 도구를 사용하든 수집한 모든 데이터를 비즈니스 요구사항에 맞게 변환할 수 있어야 합니다. 때로는 경영진이 이해할 수 있는 방식으로 해당 정보를 경영진에게 제시하는 것도 포함됩니다. 
  • 실행 가능한 결과를 위해 데이터를 번역하세요. 대부분의 기업은 네트워크 환경에서 트래픽이 어떤 양상을 보이는지 분석해야 합니다. 비즈니스 관점에서 이러한 분석이 이루어져야 SOC가 비즈니스가 새로운 정책과 절차를 수립하는 데 필요한 해답을 제공할 수 있습니다. 

 

불안정한 로봇과 C2 트래픽

명령 및 제어(C2) 트래픽은 공격자가 손상된 시스템과 통신하여 시스템을 제어하려고 시도하는 것을 말합니다. 일반적으로 명령 서버는 어떤 형태의 비콘을 기다립니다. 위협 행위자가 첫 번째 방어선을 통과하여 악성 페이로드를 가져올 수 있다면 C2 감염이 시작되는 것입니다.

임플란트가 실행되면 프레임워크의 클라이언트 측이 활성화되고 명령 서버로 다시 비콘을 보내기 시작합니다. 하지만 이 비콘 간격은 위협 행위자가 사용하는 프레임워크에 따라 달라지며, 이는 모두 사용자 정의가 가능하기 때문에 분석가와 위협 헌터들의 삶을 더욱 어렵게 만듭니다. 

과거에는 위협 헌터들이 패턴을 빠르게 식별할 수 있었습니다. 예를 들어, 알 수 없는 디바이스로 30초마다 연결 비콘이 전송되는 것을 볼 수 있다면(특히 평문으로) 이는 C2 공격을 의미할 수 있습니다. 

오늘날 암호화된 트래픽의 증가와 함께 대부분의 C2 프레임워크에 '지터'라는 개념이 추가되었습니다. "지터"라는 용어는 불규칙성을 의미합니다. 네트워크 암호화에서 '지터'는 C2 트래픽에 무작위성을 도입하는 것을 의미합니다. 예를 들어, 비콘 시간이나 페이로드 크기에서 무작위성이 발생할 수 있습니다. 

C2 비콘에 지터가 도입되면 의심스러운 트래픽 패턴을 식별하기가 더 어려워집니다. 또한 비콘의 콜아웃 타임스탬프와 같이 반복되는 아티팩트에서 설정된 패턴에 의존하는 탐지 규칙을 더 이상 사용할 수 없게 됩니다. 기술적으로는 여전히 이러한 행동을 탐지할 수 있지만 사람의 손길이 필요한 경우가 많습니다. 이는 선제적 위협 헌팅이 매우 가치 있는 사용 사례입니다. 자동화된 탐지의 관점에서 기준선과 시간 창을 사용하면 C2 행동을 효과적으로 식별할 수 있습니다. 효과적인 위협 헌팅의 결과는 위협 탐지 콘텐츠를 사용자 환경에 맞게 조정하는 데 도움이 될 수 있습니다.

조사 기간을 30분이 아니라 몇 시간에서 며칠로 길게 보면 무작위성에도 어느 정도 패턴이 있다는 것을 알 수 있습니다. 다시 말하지만, 지터는 사용자 정의할 수 있지만 기본값에서 크게 벗어나지 않습니다. 

한 가지 주목할 만한 조언이 있습니다: 암호화된 네트워크 트래픽에서 동작을 식별하는 것은 중요할 수 있지만 조사의 끝은 아니며, 이러한 동작을 찾기 위한 좋은 출발점이므로 더 깊이 조사에 착수할 수 있습니다.

C2 트래픽 조사를 위한 팁

  • 상황 인식과 명확한 가시성을 유지하세요. 사각지대가 어디 있는지 파악하고, 가능한 한 많은 부분을 커버하며, 데이터가 네트워크를 통해 어떻게 흐르는지 이해하려고 노력하세요. 알 수 없어 답할 수 없는 질문이 충분히 많아지면 전체적인 이야기를 만들기 위해 그림을 짜기 시작할 수 있습니다. 조사를 통해 스토리가 끝날 즈음에는 "이 문제를 계속 추적해야 할까, 아니면 조사를 중단해도 될까?"에 대해 보다 현명한 결정을 내릴 수 있습니다.
  • 도움이 되는 도구를 선택하세요. 어떤 도구를 사용하든 조사하는 동안 데이터를 의미 있는 방식으로 정리하는 것이 중요합니다. 모든 SOC와 모든 분석가는 데이터를 조사하는 방식에 대해 조금씩 다른 워크플로우를 가지고 있습니다. 선택한 도구는 다음을 지원할 수 있을 만큼 유연해야 합니다. 당신의 워크플로.  

 

JA3 및 JA3S

JA3 및 JA3S는 TLS(전송 계층 보안) 트래픽에서 클라이언트 애플리케이션의 핑거프린팅을 위한 오픈 소스 개념입니다. 

JA3는 서버와 TLS 또는 SSL 연결을 설정할 때 클라이언트가 보내는 TLS 클라이언트 헬로 메시지의 고유한 지문을 생성합니다. JA3S는 클라이언트 헬로 메시지에 대한 응답으로 서버로 전송되는 TLS 서버 헬로 메시지에 지문을 남기도록 특별히 설계된 JA3의 변형입니다. 이 두 가지를 함께 사용하면 해당 연결의 비교적 고유한 지문을 생성합니다. 

해시값은 해시값이므로 이를 효과적으로 활용할 수 있는 계획을 세우는 것이 중요합니다. 해시 값은 사람이 읽을 수 없습니다(무작위 문자를 문자열로 조합한 것처럼 보입니다). 하지만 효과적으로 활용하면 가치가 있습니다. 

JA3 및 JA3S 활용을 위한 팁

  • 손상 지표로 해시값을 제공하세요(IoC). 다른 IoC와 마찬가지로, JA3 및 JA3S 해시를 원하는 도구에 제공하고, 태그를 지정하고, 알림을 보낼 수 있습니다. 위협 인텔리전스 관점에서 JA3/s를 활용하는 경우 다른 IoC 아티팩트와 마찬가지로 이를 모니터링, 유지 관리, 정리해야 합니다. SOAR 및 TIP 플랫폼은 IoC 아티팩트의 자동화된 큐레이션에 매우 유용합니다.
  • 베이스라인 JA3 및 JA3S. 시간 창을 설정하고 중요한 서버를 수집하고 새로운 이상 징후를 경고하기 위해 JA3와 JA3S의 고유한 쌍을 캡처하세요. JA3S 값은 JA3 값만큼 자주 변경되지 않으므로 해시를 결합하여 중요한 서버를 모니터링하고 이를 기준으로 삼으면 이상 징후 탐지의 정확도가 더욱 높아집니다.  
  • 사용자 엔티티 및 행동 분석(UEBA) 도구를 활용하세요. UEBA 도구를 사용하면 조직은 더 많은 디바이스에 대해 더 오랜 기간에 걸쳐 기준선을 수행할 수 있습니다. 궁극적으로 UEBA는 이상 징후 탐지에 관한 것입니다. 효과적인 UEBA는 데이터 세트의 이상값을 지속적으로 학습하고 경고합니다. 

 

NetWitness의 지원 방법

NetWitness와 같은 네트워크 탐지 및 대응(NDR) 플랫폼은 암호화된 네트워크 트래픽의 위협 헌팅 및 분석을 위한 다양한 도구와 기능을 제공합니다. NetWitness를 통해 조직은 다음을 수행할 수 있습니다:

  • 암호화된 네트워크 트래픽 해독 및 분석 를 통해 보안팀은 네트워크 트래픽을 모니터링하고 분석하여 암호화된 트래픽에 숨겨진 잠재적인 보안 위협을 탐지할 수 있습니다. 
  • 네트워크 활동 패턴을 식별하고, 잠재적인 이상 징후와 의심스러운 행동을 탐지하며, 실시간으로 보안 위협을 식별합니다. 고급 분석 및 머신 러닝 알고리즘을 비롯한 다양한 도구와 기능을 사용하여 위협 헌팅을 수행합니다. 
  • 잠재적 위협을 신속하게 식별하고 대응 네트워크 활동 및 잠재적 보안 위협에 대한 실시간 정보를 제공하는 대시보드, 알림, 보고서를 포함한 시각화 및 보고 기능을 제공합니다. 

 

자세한 정보 를 통해 조직이 위협 헌팅에 대한 사전 예방적 접근 방식을 채택하고 암호화된 네트워크 트래픽과 관련된 위험을 줄이는 데 NetWitness가 어떻게 도움이 되는지 알아보세요. 데모 예약하기 오늘.