사이버 킬 체인의 초기 단계에서 공격자를 탐지하는 방법

현대 사이버 전쟁에서는 진화하는 위협으로부터 조직을 보호하기 위해 공격자의 전술을 깊이 이해하고 민첩하게 대응해야 합니다. 이를 통해사이버 킬 체인는 공격 주기를 여러 단계로 나누어 이러한 위협을 이해하고 대처할 수 있는 강력한 프레임워크를 제공합니다.

공격 사슬의 핵심은 정찰 단계로, 공격자는 표적에 대한 정보를 철저히 검색합니다. 이 단계는 초기 단계이지만 공격자에게 해당 시스템의 인프라와 취약성에 대한 기본적인 인사이트를 제공하기 때문에 매우 중요합니다.

이 백서에서는 이 단계와 함께 다음과 같은 내용을 살펴봅니다.사이버 보안전문가가 더 심각한 위협으로 발전하기 전에 의심스러운 활동을 탐지하고 차단하는 방법. 예를 들어, 조직은 오픈 소스 인텔리전스(OSINT) 기술과 네트워크 트래픽 모니터링을 사용하여 공격자보다 한 발 앞서 네트워크와 민감한 데이터를 파괴적인 사이버 공격으로부터 보호할 수 있습니다.

사이버 킬 체인이란 무엇인가요??

먼저 사이버 킬 체인에 대해 자세히 알아보기 전에 사이버 킬 체인이 무엇인지 이해해야 합니다.

이는 군사 전략에서 가져온 개념으로, 록히드 마틴(1995년에 설립된 항공우주 제품 제조업체. 세계 최대 군수품 생산업체 중 하나)가 개발하여 적용한 개념입니다.네트워크 보안 모델공격은 7단계로 구성됩니다. 공격의 단계가 식별되면 보안 운영자가 개입하여 공격의 사슬을 끊을 수 있습니다.

목표는 공격자의 행동을 예측하고 공격의 영향을 줄여 위협이 아직 초기 단계에 있을 때 식별하는 것입니다.

이 글에서는 첫 번째 단계인 스카우팅에 초점을 맞추겠습니다.

전통적인 전쟁에서와 마찬가지로 성공적인 사이버 공격은 일반적으로 매우 효과적인 정보 수집에서 시작되며 정찰은 사이버 킬 사슬의 첫 번째 단계라는 점에 주목할 필요가 있습니다.

이러한 방식으로 체인의 다음 실행 단계로 이동하기 위해 대상에 대한 많은 양의 데이터와 관련 정보를 얻을 수 있습니다.

보안 전문가와 공격자 모두 정찰 단계에서 위협을 식별하기 위해 유사한 기술을 사용할 수 있으며, 특히 오픈 소스 인텔리전스(OSINT)를 사용할 수 있습니다.

이해를 돕기 위해 먼저 관행을 개념화해 보겠습니다:

OSINT(즉, 오픈 소스 인텔리전스)는 소셜 미디어, 온라인 포럼, 공공 데이터베이스, 정부 기록 및 뉴스 웹사이트와 같은 공개 소스에서 정보를 수집하고 분석합니다.

오픈 소스 인텔리전스 외에도 조직 환경 내외부의 악의적인 활동을 식별하도록 설계된 사이버 보안 방법론으로 구성된 위협 헌팅과 같은 잠재적 위협을 사전에 검색할 수도 있습니다.

이 두 기술을 올바르게 조합하여 사용하면 사이버 킬 체인의 정찰 단계의 요소를 식별하는 강력한 도구가 될 수 있습니다.

공격자가 공격 사슬의 초기 단계에 있는 두 가지 사례와 사이버 방어 전문가가 공격자의 행동을 탐지하고 신속하게 대응하여 두 번째 단계(무기화)로의 진행을 방지하는 방법에 대해 설명합니다.

첫 번째 경우에는 공격자가 있다고 가정합니다.Mr X그는 계획된 공격의 대상으로 은행 기관을 선택했습니다. 그는 회사 직원에 대한 정보를 찾기 위해 링크드인, 페이스북, 트위터, 인스타그램과 같은 은행의 소셜 네트워크에 대한 광범위한 조사를 시작했습니다. 심지어 스피어 피싱 공격의 잠재적 표적을 파악하기 위해 시스템 관리자나 고위 관리자 등 특정 직책을 가진 직원을 검색하기도 했습니다. 그런 다음 그는 회사의 소유주, 실제 주소, 법적 이력에 대한 데이터를 확보하기 위해 도메인 및 부동산 기록과 같은 공공 기록을 검색하기 시작했습니다. 마지막으로 X는 은행 웹사이트를 분석하여 가능한 직원, 파트너, 고객 목록과 제공되는 상품 및 서비스에 대한 세부 정보를 확인했습니다.

그러나 앞서 언급한 은행 기관의 세심하고 끈질긴 위협 사냥꾼인 John이 울타리 반대편에서 지속적으로 조치를 취하고 있었고 이미 여러 탐지 기술을 구현하여 주목할 만한 움직임을 포착한 상태였기 때문에 X 씨는 그의 존재를 인식하지 못했습니다. 보다 신중한 분석. John은 소셜 미디어 모니터링 도구를 사용하여 회사, 직원 및 임원에 대한 언급을 추적하고, 온라인 검색 활동 분석 도구를 사용하여 자신이 근무하는 회사와 관련이 있을 수 있는 키워드를 검색합니다. 흥미롭게도 이러한 도구는 마케팅 목적으로 사용되는 리소스이지만 중요한 데이터를 제공할 수 있습니다. 또한 의심스러운 메시징 앱(예: 텔레그램) 그룹에서 회사 이름에 대한 언급을 적극적으로 검색한 결과, 마케팅 도구에서 관찰된 회사에 대한 관심 증가 기간과 일치하는 여러 암시들이 있음을 발견했습니다.

두 번째 가상 시나리오에서 X는 Nmap과 같은 도구를 사용하여 회사 시스템에서 열려 있는 포트를 식별합니다. 이러한 도구는 다양한 포트에 패킷을 보내고 응답을 분석하여 포트가 열려 있는지 여부를 확인하여 사이버 킬 체인의 다음 단계에서 악용될 수 있는 취약점이 있는지 확인합니다.

nmap으로 수행한 포트 스캔의 예입니다.

와이어샤크와 같은 네트워크 트래픽 모니터링 도구를 사용하여 포트 또는 서비스 검색을 나타내는 패턴을 식별합니다.

이 도구는 패킷에서 작동합니다. 이는 네트워크를 가장 상세하게 모니터링하는 방법 중 하나입니다. 이 도구는 사용된 콘텐츠와 프로토콜 외에도 소스 및 대상 주소와 다양한 기타 정보를 검색합니다.

또한 John은 네트워크를 통해 전송되는 데이터의 양에 초점을 맞춘 대역폭 분석 방법을 사용하여 예를 들어 더 많은 대역폭을 소비하는 트래픽 급증을 감지합니다.

이러한 형태의 모니터링에서는 개별 패킷이 아닌 집계된 데이터를 수집하여 트래픽에 대한 집계된 정보를 사용하기 때문에 트래픽도 중요합니다. 여기에는 데이터 볼륨, 소스 및 대상 IP 주소, 통신 포트 등의 기록이 포함됩니다.

이러한 방식으로 John은 예를 들어 여러 개의 연속 또는 순차 포트에 대한 많은 수의 요청이 스캔 신호를 트리거하는 것을 발견했습니다.

그 결과, 그는 즉시 의심스러운 트래픽을 격리하는 절차를 시작하여 새로운 방화벽 규칙을 구현하거나 침입 탐지 및 방어 시스템에서 포트 스캔에 관련된 IP 주소의 트래픽을 차단하여 공격자가 악의적인 활동을 지속하고 발전시키지 못하도록 했습니다.

사례 예시

어떤 회사(" CompanyX ")는 경쟁이 치열한 업계에서 운영되며 금융 데이터, 지적 재산, 개인 고객 정보 등 많은 양의 정보를 제공합니다. 사이버 위협으로부터 이러한 데이터를 보호하는 것이 중요하다는 것을 깨달은 CompanyX의 사이버 보안팀은 데이터 유출 탐지 시스템을 구현했습니다.

이 시스템은 다크 웹, 지하 포럼, 파일 공유 사이트, 소셜 네트워크 등 다양한 인터넷 채널을 지속적으로 모니터링하면서 데이터 유출을 나타낼 수 있는 의심스러운 활동의 징후를 찾아냅니다. 이 시스템은 고급 알고리즘을 사용하여 관련 정보의 불법 판매 또는 공유와 관련된 행동 패턴을 식별합니다.

어느 날, CompanyX의 데이터 유출 탐지 시스템이 언더그라운드 포럼에서 사이버 보안팀의 관심을 끄는 게시물을 감지했습니다. 이 게시물에는 " DarkHacker123 "CompanyX의 사용자는 CompanyX에 속한 대량의 기밀 데이터를 판매하고 있습니다. 이 데이터에는 직원 이메일 주소, 재무 정보, 고객 연락처 정보가 포함됩니다.

이 발견을 접한 CompanyX의 사이버 보안팀은 즉각적인 조치를 취했습니다. 침해된 데이터의 진위 여부를 확인하고 공격자가 데이터에 어떻게 액세스했는지 파악하기 위해 상세한 조사를 시작했습니다. 여기에는 침해된 데이터를 분석하여 행동 패턴을 파악하고, 네트워크 보안 로그를 검토하여 잠재적으로 침해된 진입 지점을 파악하고, 해당 기관과 소통하여 사고를 보고하는 작업이 포함될 수 있습니다.

그 동안 사이버 보안팀은 데이터 유출로 인한 피해를 완화하기 위해 즉각적인 조치를 취합니다. 여기에는 액세스 자격 증명 변경, 데이터 유출에 따른데이터 보안전략을 수립하고, 영향을 받은 고객에게 연락하여 사고에 대해 알리고, 비즈니스 파트너와 협력하여 운영에 추가 보안 조치가 구현되도록 합니다.

이벤트는 킬 체인의 정찰 단계와 어떤 관련이 있나요?

앞서 사이버 킬 체인에서 설명한 것처럼 정찰 단계는 공격자가 실제 공격을 수행하기 전에 대상에 대한 정보를 수집하는 첫 번째 단계입니다. 이 단계에서 공격자는 기업의 인프라를 이해하고 취약점을 파악하며 효과적인 공격 계획을 수립합니다.

제공된 예시에서는 "DarkHacker123"이라는 공격자가 정찰 활동을 수행하면서 CompanyX에 대한 민감한 정보를 수집하려고 시도하고 있습니다. 이러한 정보 수집은 공격자가 표적 사이버 공격을 보다 효과적으로 계획하고 실행하기 위해 매우 중요합니다.

공교롭게도 앞서 언급한 공격자들은 데이터를 입수하자마자 사이버 킬 체인의 다음 단계로 진행하기도 전에 비밀 포럼에 데이터를 공개하기 시작했습니다.

결론적으로

사이버 킬 체인의 초기 단계에서 정찰 활동을 조기에 탐지하는 것은 조직의 사이버 방어를 강화하는 데 매우 중요합니다. 사이버 보안 전문가는 오픈 소스 인텔리전스 기술과 네트워크 트래픽 모니터링을 결합하여 의심스러운 행동 패턴을 식별하고 신속하게 대응하여 공격 시도를 차단할 수 있습니다.

소셜 미디어 모니터링 도구를 사용하여 공격자 프로필을 식별하고 네트워크 트래픽을 심층 분석하여 포트 스캔을 탐지하는 등의 실제 사례를 통해 보안 전문가가 공격자보다 한 발 앞서 나갈 수 있는 방법을 설명합니다.

점점 더 복잡하고 위협적인 환경에서 조직은 선제적인 사이버 방어 전략에 투자하고 진화하는 디지털 환경의 도전에 맞설 준비를 해야 합니다. 사이버 보안에 대한 통합적인 접근 방식을 취함으로써 증가하는 사이버 위협으로부터 시스템과 데이터를 보호하고 디지털 세상에서 비즈니스 운영의 탄력성을 보장할 수 있습니다.