2

17년 RSA Conference에서 Data 기반의 새로운 기회에 대한 협력 제시

• 전 세계는 Cyber Chaos 상태(Data를 무기로 한 전시상황)

• 혼란이 조성한 기회에 대응하기 위해 과학/기술을 기반으로

• 전 세계 Security Professional이 힘을 모아야 할 때임

Data를 중심으로 한 혼란 새로운 기회 (위협과 대응 기술) 협력

3

Cyber 해킹 기술의 발전에 대비 탐지 기술은 정체되어 있음

4

대규모 보안 투자는 이루어졌지만 아직까지 사고는 발생하고 있음

IDS/IPS

WAF

방화벽

웹쉘탐지 솔루션

웹악성코드 탐지

APT 솔루션

관제센터 구축

Endpoint 보안

SIEM

망분리 / SOC

인증 관리 NW DLP

차세대방화벽

DDoS Full Packet 장비

암복호화 Web Proxy Email Proxy

Signature

기반우회

Sandbox

우회기법

신규

공법기법

보안솔루션

취약점

사회공학

기법

5

“서로 협력하지 않으면 공격자에 대한 대응이 더 이상 어려움”

공격자는 거대 집단화 되고 있으며 공격 기법은 지속적으로 발전하고 정교해지고 있음

• 매우 빠르고, 다양한 Threat landscape

• Agile, Intelligence 한 Threat Actor 필요

• 제한적인 리소스와 공격 방어에 대한 핵심적인 한계 극복 필요

Global 타 벤더의 Threat Intelligence 정보 활용으로 침해에 대한 사전예방 혹은 빠른 인지

Cyber Threat Alliance(CTA)는 주요 사이버보안 전문 솔루션 업체들의 위협정보 공유를 위한 그룹으로, 지능적 사이버 공격에 대한 그룹 멤버의 상황 인지력을 높이고 빠른 침해 대응 등을 목표로 함

CTA Threat Intelligence

지능적 사이버 공격에 대한 그룹 멤버 혹은 고객 들의 방어(Defense) 능력 향상을 위하여 관련 정보를 공유하며 상호 협력하는 그룹(Alliance) 임

침해탐지 향상을 위한 Threat Intelligence 정보 공유

그룹 멤버의 고객들에게 보다 신속하고 양질 Protection 서비스를 제공

【SK인포섹】 정보관제, 보안컨설팅, 보안SI, 솔루션

【Eleven Paths】 사이버보안, IoT보안, IAM, 개인정보보호

【ReversingLabs】 N/W보안, 포렌식, Incident Response

【Zscaler】 사이버보안, 데이터보호, 클라우드/모바일 보안

CTA Platform

CTA Client

CTA Client

CTA Client

CTA Client

Analysts

Product & Research Systems

Member Infrastructure

Structured Threat Information eXpression (STIX) (Cyber Threat Intelligence를 위한 구조화된 언어)

Indicator Indicator Indicator

【 Benefit 】

멤버 가입을 통한 Global Relation 형성 및 국내외 기업인지도 향상

6

7

배경 (공격 및 탐지방식의 변화)

Legacy

Attack

Emerging

Attack

공격 분류 탐지 기법 (6WH 기준)

- 공격자, 의도, 대상 - 유포지, 악성코드, C&C 서버

(How, What 초점)

(6WH 초점)

탐지 방법론 변화

Threat Intelligence

“APT 등 Emerging 공격에 대응하기 위한 탐지 방법론 필요”

기존 탐지방법론

8

Threat 정보에 대한 공유를 통한 사전 대응 방어

공격자

Threat Intelligence

1

2 3

4

5

9

5W1H: Who, When, What, Where, Why and How

• STIX & TAXII: 미국토안보부에서 개발한 침해사고 정보 공유 Project ①STIX - Structured Threat Information eXpression

- 침해 사고 정보에 대한 표준 명세임

- 침해 흔적, 공격자, 작전명, 사용된 기술 및 전략, 대응 방법 등으로 구성됨

②TAXII - Trusted Automated eXchange of Indicator Information

- STIX 정보를 공유하기 위한 통신 프로토콜

구분 설명

Observable 시스템이나 네트워크 동작 중에 발생하는 Artifact 혹은 이벤트 정보 객체

Indicator 특정 행위를 나타내는 정보 이며 Observable 패턴으로 구성됨

Incident 침해 사고 이벤트 정보 객체

Tactics, Techniques and Procedures(TTP) 공격에 사용된 Tactic, Technique, Procedure에 관한 정보 객체

Campaign 공격 작전에 관한 정보이며 객체 인지된 Incident 와 TTP 들의 집합

ThreatActor 공격자에 관한 정보 객체

ExploitTarget 공격에 사용된 취약점, 환경 설정에 관한 정보 객체

CoursesOfAction(COA) 공격 방어에 대한 정보 객체이며 대응, 예방, 완화에 관한 조치

• STIX 구조

10

관제 Layer에서 탐지 방법 및 분석지원 기능 고도화를 위한 기능

관제체계 Layer

수집, 저장

분석 Engine

Workflow

탐지 방법론

고객 Interface

분석 지원

AS-IS TO-BE

- 공격자 IP

- 유포지 URL

- 파일 Hash

- C&C 서버 IP

개별 정보

- 공격자 IP

- 유포지 URL

- 파일 Hash

- C&C 서버 IP

공격자 정보 + Set

11

Threat Data 활용을 통한 Intelligence DB 구축

유포지 IP, URL

악성코드 Hash

C&C서버 IP, URL

독립 Set

AV 정보

Human Intelligence

Community 활동

IDS

WAF

Web악성코드

Email 악성코드

APT장비

NetFlow

Sandbox

보안 시스템

[A공격]

[B공격]

취약점 공격

Malware

File

IP

Hash

IP

Hash

Payload

IP

Hash

Tool

공격 유형

IP

AV정보

Data 연관성 분석

분석 알고리즘개발

유포지 IP, URL

악성코드 Hash

C&C서버 IP, URL

Grouping Set

공격자 정보

공격자 의도

공격방식

악성코드 set

C&C서버 set

유포지 IP, URL

악성코드 Hash

C&C서버 IP, URL

유포지 IP, URL

악성코드 Hash

C&C서버 IP, URL

유포지 IP, URL

악성코드 Hash

C&C서버 IP, URL

동일 공격유형Group

공격자 식별 Group

Global수집

로컬수집

추가 분석기

Crawler 수집

Sandbox

Private Virustotal

Exploit Checker

SNS

Google

12

다양한 Threat Data 수집을 통해 수집 경로 다각화 필요

• Web-Crawler를 통한 악성코드 경유지, 유포지 확보 • 보안장비를 통한 악성코드 경유지, 유포지 확보

• Sand-Box 분석을 통한 C2 IP 확보

• Mail Gateway를 통한 악성 파일/URL 확보

• 보안 관제를 통한 공격자 IP 확보

• 국내외 악성 IP/URL수집 웹사이트 정보를 Crawler/검색엔진을 이용해 정보 수집

• 축척 된 보안관제 DB + 외부 평판 DB”활용 • 대량 Traffic 악성코드 탐지 솔루션 활용

Knowledge 수집 경로 다각화

• 다양한 수집 경로 별 수집 시스템 구축

• 기 구축되어 있는 시스템 활용

• 통합 DB구축을 통한 Data 일원화

Knowledge DB 수집 자동화

13

8종의 수집, 분석기, Human Information를 통해 생성되어지는 Artifact Data를 Profiling, Correlation 진행

AV

Sandbox : File, URL Behavior Analyzer

Web Crawler : URL Malicious Checker

Security Information Gather : Security RSS/Blog/Site/CVE/CVSS/SNS

Google Docs

Private Virus total

Exploit Checker

Security Indicator Alliance : CTA(Palo alto, IBM, Symantec ..)

OSINT : Open Source Intelligence

IP

URL MD5

SHA

Import Hash

File Name

Macro PE Type

IP

URL

Domain MD5

SHA Import Hash

Geo

File Name

AV Detection Name

Data Profiling

Data Correlation

Human Information

SK Infosec Top Cert 에서 분석되는 국내 보안 이슈 정보 적용

14

5K+ 이상의 보안장비 연동을 통한 Data수집 + 2K+ 이상의 MSSP 고객

200,000+ / Day 파일 분석 + 3000,000개의 URL 분석

40,000+ Exploit Code 보유 + 87,000+ Vulnerability 정보 보유

국내 최대 규모의 인포섹 원격관제 서비스를 통한 악성 파일, C&C 탐지

Malicious Data Collect

Data Analyze Profiling/Correlation

24/7/365 Service

10,000+ SNS, Site, 문서 정보 수집 및 분류 작업 을 통한 Information Security 정보 제공

Threat Information

악성 판정 받은 Data에 대한 IOC 지표 생성 및 연관성 분석

Top Tier Forensic, 컨설팅인력을 통한 사고 처리 및 정보 입수

Security Expert Group

Automation

250,000 / day

Orchestration

일 200,000개 이상의 신규 악성 파일 수집 + 일 50,000개 이상의 신규 악성 URL 수집

120K+ Daily Report

수집되는 Data에서 분석을 통해 보안지표 생성 생성된 보안지표의 유사도 연결을 통해 악성 파일간 상호 연관성 지표 생성

보안 지표 생성 50K+

700명 규모의 컨설팅/관제/서트 인력을 통한 정보 수집

External Data 수집 - Cyber Threat Alliance - OSINT - Humint

자체 악성코드 수집기 를 통한 악성코드 수집

15

Threat Intelligence는 Correlation분석을 통해 악성 IOC정보의 Value(Alive 여부)를 판단해야 함

Collect

File URL IP

Information Security

Humint

다양한 수집기들을 이용하여 악성 Data 획득 및 추출/분류 작업을 통해

“Data”를 “정보”로 변환함

Analyze

Sandbox Web Crawler

AV

Private Virustotal

Snort Yara

파일/URL에 대한 “Behavior", "Static” 분석을 통해 C&C IP 및 행위 관련 로그 수집

Correlation

[ SecudiumTI는 Correlation Data를 바탕으로 Legacy보안장비와 Log Match 진행됨]

IP URL

Hash Mutex

Behavior Log

IP URL

Hash Mutex

Behavior Log

동일 C&C 사용

Profile A Profile B

추출된 정보를 바탕으로 정보의 연결을 통해 해커/해커그룹의 행위를 예측한다

기존 Intelligence Database의 문제점은 오래된, Live하지 않은 정보도 포함된 보안지표를 Legacy보안장비에 적용하여 False Positive문제가 존재함

인포섹 SecudiumTI는 Correlation, 최초탐지 시점 기간, 보안지표 노출 빈도 등을 계산하여 점수를 부여함

점수에 따라 Severity가 차등 부여되며 악성 IOC관리가 진행됨

16

자체 IoC 정보와 추가 Threat 정보, Open IoC를 연결하여 인포섹 만의 특화된 Profiling 진행 함

악성파일 or URL

IP – C2

악성코드 URL

Hash - Dropper

공격 기법

우회 기술

정적 분석

Additional IoC

공격자 그룹

공격자 TTPs

Incident 정보

공격자 IoC

17

Profiling된 Data의 연결을 통해 공격자가 원하는 목적, 해킹기술, 공격 절차에 대해 예측/대응 할 수 있음

Data Collector Data Analyzer Data Profiling Data Correlation

자체 Profiling된 IoC를 이용한 Data연결

Data연결을 통해 C&C IP/URL 의 활성상태 체크

Threat Actor를 기반한 추가 공격자 식별 정보 연결

Open IoC와 연계된 공격자 Group 식별

18

SIEM을 통해 이 기종 장비간 Log분석을 하고 있다. 평소 로그와 다른IP(216.146.38.70)를 확인 했다. 보안장비에서는 Audit로그만 확인이 되었다. 이상하기는 한데.. 어떤 부분을 봐야 할까?

Data Correlation : 수집되어 있는 Artifact와 검색한 IP의 연결점을 확인한다.

Data Profiling : Artifact연결정보를 통해 검색한 IP에서 특정 해킹그룹 (Infosec A.0024863) Artifact와 연결되어 있는 것을 확인한다.

보안장비 SIEM 담당자 이벤트 확인 자산 확인 IP 차단 및 URL에 대한 이력관리

취약여부 확인

“216.146.38.70” IP는

다수의 악성 Artifact와

연계되었던 부분을

확인 가능하다

19

침해사고 조사 중 특이한 URL(hxxp://ipecho.net/plain)을 발견하였다. URL에 접근해서 보니 악성코드가 확인되지 않고 URL접근이 이루어 지지 않고 있다. MFT 확인 결과 해당 URL접근시간에 특이 파일이 생성되었다. 이상하기는 한데.. 시나리오만 있지 Fact가 없다.

Data Correlation : 수집되어 있는 Artifact와 검색한 URL의 연결점을 확인한다. Data Profiling : Artifact연결정보를 통해 검색한 URL에서 특정 해킹그룹(Infosec A.003188) Artifact와 연결되어 있는 것을 확인한다.

“hxxp://ipecho.net/plain”

URL은 악성파일

Downloader 역할을 수행

한 것을 확인 가능하다

보안장비 SIEM 담당자 이벤트 확인 자산 확인 IP 차단 및 URL에 대한 이력관리

취약여부 확인

20

Secudium Intelligence Portal 제공

- 분석 용 계정 제공

- 악성 IP/Hash 조회

- 악성파일 Download

- 일일/월간 동향 보고서 제공

- 통계 Report 다운로드

검색/분석

분석가 Secudium Intelligence

API 제공 서비스

- 악성IP/URL 조회 서비스 제공

Secudium Intelligence 고객용 API

Query

결과 Return

Secudium Intelligence Sensor

- SIEM + S.I Sensor : SIEM 모든 Data 결과 판정

Secudium Intelligence SIEM

Query

결과 Return

Secudium Intelligence App for SIEM

- Qradar/Archsight/Splunk 전용 App, On-Demand 형태

분석 주요 기능

- Secudium 모든 Data 조회 가능

- 공격자 Profiling

- Data Correlation

Sensor

+

로그전송

SIEM

+

전용 App Secudium Intelligence

Query

결과 Return

21

망 연계 솔루션 이용한 로그 전송

- SIEM + S.I Sensor : SIEM 모든 Data 결과 판정

Secudium Intelligence SIEM Sensor

망 연계 솔루션

로그전송

Query

결과 Return

Data Feed Service

- 지정된 매체를 통한 위협 지표 전송

- SIEM + S.I Sensor : SIEM 모든 Data 결과 판정

Secudium Intelligence SIEM Sensor

지정 매체를 통한

위협 지표 전송

1회/1일

+

로그전송

연동 방식

- 기존 망 연계 솔루션 연계 Data 전송

- 외부 통신 없음

연동 방식

- 지정된 전송 방식(ex: Email)을 통한

Data 전송

22

수집 분석 대응

국·내외 최대 정보 수집

공격자 식별 및 대응 level 판단

신속한 대응 연계

국내 최대 관제 정보 및 Global Alliance를 통한

대규모 Threat Data에 대한 Profiling 및 상관분석

보안 솔루션 장비와 연동된 NRT 대응 가능

• 국내 1,600여 사이트 보안위협

정보를 수집/분석하여 국내

특화된 최적의 정보 제공

• 아시아 최초 CTA 가입을 통해

Cisco, McAfee, Symantec, PaloAlto등

해외 보안사의 보안 정보 수집

※ CTA(Cyber Threat Alliance) : 보안 정보를 공유하는 Global Alliance

• IoC 지표 기반 공격자에 대한 분류

체계 수립 및 공격자에 따른 대응

Level 판단 가능

• 신규 위협에 대한 자산 영향도 제공

• 사용자 / 특정 행위등 다양한 위협

유형 탐지

• SIEM 및 방화벽 등 보안 솔루션

차단 기능과 연동 가능

• 실 운영과 연계 된 대응 효과

23

A사 적용한 결과 기존 보안솔루션 및 타사 Threat Intelligence 에서 발견하지 못한

Unknown 악성코드 20건이 보유한 Threat Data 및 분석 기법으로 탐지되어 대응 함

API

Threat Intelligence Database

SIEM

Sensor ID(P)S

AV / EDR

APT

WAF

FW

SMS URL

기타 솔루션

Web Crawler

Sand Box

CTA

SNS Crawler

OSINT

Sensor

Malware BOT

Threat Intelligence

결과 조회 및 Return

모든 로그 전송

악성코드 발견

DDoS Agent 7건

원격제어용 RAT 13건

24

Real Time 방어 SOC 센터 활용 Threat 연구 및 Hunting

Delivery 방식

• REST API

• Web 기반 Secudium Intelligence

• 장비 Blocking 기능

ex)PaloAlto Block URL/IP List

• Secudium Intelligence Sensor

• REST API

• SIEM App

• 알려진 악성 Actor에 대한 Blocking

- IP, Domain, URL, Hash 등

• Firewall, IPS, Web Proxy 장비에

Blocking 구현을 통한 Real Time 방어

• Blocking에 대한 신속한 결정

• Blocking에 대한 임계치 설정

• 성능을 고려한 증분 Update

• SIEM 및 사고 대응 솔루션과 연동

• 수집된 Threat Data와의 연동

- 보안솔루션 탐지 로그

• 운영 중인 솔루션과의 연동

• 신속한 사고대응을 위한 Indicator

필요

• 잠재 보안 위협에 대한 연구

• REST API 및 Web Portal 사용

• Script 기반 Query 자동화

• 다양한 Intelligence 소스 수집 필요

• 유연한 검색 필요