사실 확인 및 위험 요소 파악

사실 확인 및 위험 요소 파악은 가정에 도전하는 과정입니다. 네트워크 트래픽을 분석하여 예상된 내용과 일치하는지 확인하는 것이 핵심입니다. 

조직에 “X, Y, Z는 허용되지 않는다”는 정책이 있다면, 이를 준수한다고 가정하기 쉽습니다. 그러나 네트워크 트래픽 모니터링을 통해 위반 사항이나 편차가 종종 드러납니다.  

보안 팀은 위험을 사전에 식별함으로써 정책이 준수되고 있는지 확인하고, 암호화된 네트워크 트래픽에 숨겨진 잘못된 구성이나 위협에 대한 노출을 줄일 수 있습니다.

사실 확인 및 위험 식별을 위한 팁

• 현재 정책부터 시작하세요: 기존 정책을 평가하고 이를 검증하는 데 필요한 데이터셋(예: 네트워크 트래픽 모니터링 시스템)을 구축하세요.  
• 가설부터 세우세요: 선제적 위협 탐색은 항상 가설에서 시작됩니다. 탐색 대상을 좁힌 후 네트워크 트래픽 분석 도구를 활용해 가설을 검증하고 이상 징후를 찾아내세요.  
• 프로토콜 불일치 식별: 프로토콜 불일치를 활용해 네트워크 트래픽을 스캔하세요: 프로토콜 불일치는 예상치 못한 프로토콜로 네트워크 트래픽이 실행될 때 발생합니다. 일부 오류는 단순한 형식 오류일 수 있으나, 일부는 악의적인 의도를 나타낼 수 있습니다.  
• 클라이언트 메타키 확인: 클라이언트 메타키는 네트워크 트래픽을 시작한 애플리케이션(사용자 에이전트 필드를 통해)을 보여줍니다. 암호화된 트래픽에서도 프로토콜 불일치나 리디렉션은 조사자에게 통찰력을 제공할 수 있습니다.  
• 암호화 키 고려: 암호화 키는 암호화 알고리즘을 의미합니다. 취약하거나 오래된 알고리즘은 암호화된 네트워크 트래픽의 취약점 원인이 될 수 있으므로 정기적으로 점검해야 합니다.  
• 버전 키 고려: 버전 키는 암호화 프로토콜 버전(예: TLS 1.0)을 나타냅니다. 오래된 프로토콜은 공격자에게 악용될 수 있으므로 구버전이나 승인되지 않은 버전을 추적하는 것이 최선입니다.

규정 준수 및 감사 지원

규정 준수 규정과 사이버 보험 감사가 더욱 엄격해짐에 따라, 조직은 네트워크 트래픽 내 데이터가 어떻게 보호되는지 입증해야 합니다. 

이는 데이터 전송에 사용되는 암호화 강도, 프로토콜 버전 및 알고리즘(암호화 방식)을 평가하는 것을 포함합니다. 

많은 조직이 “이 네트워크 트래픽 데이터를 비즈니스 용어로 어떻게 해석해야 할까?”라고 묻습니다.

감사 지원을 위한 팁

1. 보고기능이 있는 도구 선택: 

기술적 발견 사항을 경영진이 활용할 수 있는 비즈니스 보고서 형태로 변환하는 네트워크 트래픽 모니터링 플랫폼을 선택하십시오. 

2. 실행가능한 결과로 네트워크 트래픽 데이터 해석: 

네트워크 트래픽 인사이트를 분석하여 규정 준수 상태를 보여주고 의사 결정권자가 더 나은 보안 정책을 수립할 수 있도록 지원하십시오. 

기술적 모니터링과 비즈니스 요구 사항을 연결함으로써 조직은 규정 준수와 정보에 기반한 거버넌스를 모두 보장할 수 있습니다. 

불안정한 로봇과 C2 트래픽

공격자가 네트워크 트래픽을 매개체로 해킹된 시스템과 통신할 때 명령 및 제어(C2) 트래픽이 발생합니다. 

악성 페이로드가 실행되면 명령 서버로 “비콘 신호”를 보내기 시작합니다. 전통적으로 30초마다 비콘을 보내는 등의 패턴은 평문 네트워크 트래픽에서 쉽게 식별되었습니다. 

그러나 암호화된 네트워크 트래픽으로 인해 공격자들은 적응했습니다. 이제 그들은 지터를 활용하여 비콘 타이밍이나 페이로드 크기에 무작위성을 도입해 활동을 숨깁니다. 

이로 인해 예측 가능한 패턴 기반 탐지는 효과적이지 않습니다. 현대적인 선제적 클라우드 위협 헌팅은 기준선과 확장된 관찰 기간을 활용해 이러한 미묘한 패턴을 포착합니다. 수시간 또는 수일 동안 관찰하면 지터가 적용된 비콘조차도 규칙성의 흔적을 드러냅니다. 

암호화된 네트워크 트래픽 내 행동 탐지는 종종 첫 단계에 불과합니다—심층 조사로의 진입점입니다. 고급 분석을 통합하면 탐지 정확도가 강화됩니다.

C2 네트워크 트래픽 조사 팁

• 상황 인식 및 가시성 유지 – 네트워크 트래픽 내 사각지대를 파악하고 시스템 간 데이터 흐름을 이해하십시오.
• 유연한 도구 선택 – 네트워크 트래픽 분석 도구가 팀의 워크플로우에 따라 데이터를 체계화하고 상관관계를 분석할 수 있도록 하십시오.

JA3 및 JA3S

JA3 및 JA3S는 TLS 네트워크 트래픽에서 클라이언트 및 서버 애플리케이션의 지문(fingerprint)을 생성하는 오픈소스 기술입니다. 

• JA3는 SSL/TLS 핸드셰이크 중 클라이언트의 “hello” 메시지를 지문화합니다. 
• JA3S는 서버의 응답을 지문화합니다.

이 두 기술은 함께 암호화된 세션에 고유한 해시를 생성하여, 페이로드가 숨겨져 있을 때에도 분석가가 의심스러운 연결을 추적할 수 있게 합니다.

JA3 및 JA3S 활용 팁

1. 해시값을 침해 지표(IoC)로 활용하기: 

다른 IoC와 마찬가지로 JA3 및 JA3S 해시를 선택한 도구에 입력하여 태그 지정하고 경보를 설정할 수 있습니다. 사전적 위협 헌팅 인텔 관점에서 JA3/s를 활용할 경우, 다른 IoC 아티팩트와 마찬가지로 네트워크 트래픽을 모니터링하고 유지 관리하며 정리해야 합니다. SOAR 및 TIP 플랫폼은 IoC 아티팩트의 자동화된 큐레이션에 매우 유용합니다.

2. JA3및JA3S 기준선 설정: 

시간 창을 설정하고 네트워크 트래픽에서 JA3와 JA3S의 고유한 쌍을 캡처하여 핵심 서버를 수집하고 새로운 이상 현상에 대해 경보를 발령하십시오. JA3S 값은 JA3 값만큼 자주 변경되지 않으므로, 해시를 결합하고 핵심 서버를 모니터링하며 기준선을 설정하면 이상 탐지 정확도가 높아집니다. 

3. 사용자엔터티 및 행동 분석(UEBA) 도구 활용: 

UEBA 도구를 통해 조직은 네트워크 트래픽 모니터링으로 더 많은 기기에 대해 장기간에 걸친 기준선을 설정할 수 있습니다. 궁극적으로 UEBA는 이상 탐지가 핵심입니다. 효과적인 UEBA는 데이터 세트 내 이상값을 지속적으로 학습하고 경고합니다.

NetWitness가 제공하는 지원

NetWitness와 같은 네트워크 탐지 및 대응(NDR) 플랫폼은 암호화된 네트워크 트래픽 내에서 사전 예방적 위협 탐색을 위한 포괄적인 가시성을 제공합니다. 

NetWitness를 통해 조직은 다음과 같은 작업을 수행할 수 있습니다: 

• 암호화된 트래픽을 분석하여 숨겨진 위협을 해독합니다. 
• 이상 탐지 실시간 네트워크 트래픽 분석과 머신 러닝을 활용하여 이상 징후를 탐지합니다. 
• 대시보드, 알림 및 규정 준수 준비가 완료된 보고서를 통해 결과를 설명하고 제시합니다.  

응답자 주도 프로세스를 자동화하고 워크플로우화합니다. NetWitness는 네트워크 모니터링과 지능형 분석을 통합하여 조직이 사후 대응적 탐지에서 선제적 방어 체계로 전환할 수 있도록 지원합니다.

결론

암호화 없이는 프라이버시를 달성할 수 없으며, 이는 위험을 숨깁니다. 즉, 암호화된 네트워크 트래픽의 가시성이 없으면 위협이 감지되지 않은 채 통과할 수 있습니다.  

조직은 NetWitness NDR과 같은 능동적 위협 탐색, 네트워크 트래픽 추적 및 해석을 통해 감지되지 않은 활동을 식별하고, 암호화를 정당화하며, 암호화된 트래픽이 공격자에게 사각지대가 되지 않도록 할 수 있습니다.