위협 헌팅은 기존 보안 툴을 회피하는 위협을 검색하는 선제적 프로세스입니다. 여기에는 데이터 분석, 가설 개발 및 패턴을 조사하여 의심스러운 활동이 피해를 입히기 전에 식별하는 것이 포함됩니다.
목차
위협 헌팅이란 무엇입니까?
위협 헌팅은 자동화된 탐지 도구를 회피하는 위협을 식별하는 데 중점을 둔 선제적 사이버 보안 관행입니다. 위협 헌팅은 경보를 기다리는 대신 의심스러운 행동, 약한 신호 또는 공격자가 이미 환경에 있음을 나타낼 수 있는 이상을 적극적으로 검색하는 것을 포함합니다.
위협 헌팅은 방어가 잘 된 환경에서도 침해가 발생할 수 있고 발생할 수 있다고 가정합니다. 헌터는 엔드포인트, 네트워크, ID 및 클라우드 서비스 전반에 걸쳐 원격 분석을 분석하여 정상적인 운영에 혼합되는 악성 활동을 발견합니다. 여기에는 종종 기존의 경보를 트리거하지 않는 자격 증명 남용, 육지 생활 기술, 측면 이동 및 지속성 메커니즘을 탐지하는 것이 포함됩니다.
자동 탐지와 달리 위협 헌팅은 데이터, 분석 및 위협 인텔리전스가 지원하는 인간 주도 추론에 의존합니다. 시간이 지남에 따라 효과적인 위협 헌팅은 SOC 운영 및 탐지 엔지니어링에 통찰력을 제공하여 공격자 체류 시간을 줄이고 탐지 로직을 개선하며 전반적인 보안 태세를 강화합니다.
사이버 보안에서 위협 헌팅이 중요한 이유
공격자들은 탐지를 피하는 데 점점 더 능숙해지고 있습니다. 파일리스 멀웨어, 원격 액세스 도구 및 자격 증명 남용과 같은 기법을 사용하여 합법적인 활동과 혼합됩니다. 이러한 방법은 기존 보안 시스템을 우회하는 경우가 많습니다.
경고에만 의존하면 격차가 남을 수 있습니다. 위협 헌팅은 종종 명확한 지표가 나타나기 전에 위협을 조기에 식별하여 이를 해결합니다. 경보에 의존하는 대응 방법과 달리 위협 헌팅은 자동화된 방어를 트리거하지 않을 수 있는 은밀하고 지속적인 기술에 중점을 둡니다.
그 결과 위협 헌팅은 체류 시간을 줄이고 영향을 제한하며 조직이 더 빠르게 대응할 수 있도록 지원합니다. SAN의 위협 헌팅 설문조사에 따르면 이러한 이점은 공식적인 위협 헌팅 방법론을 채택한 조직의 수가 2024년에 64%로 증가했다는 사실을 반영하고 있습니다.
위협 헌팅 대 사고 대응
위협 헌팅 및 사고 대응은 다양한 목적을 제공합니다.
위협 헌팅은 선제적입니다. 여기에는 가정이나 약한 신호에 기초하여 잠재적 침해의 징후를 적극적으로 찾는 것이 포함됩니다.
사고 대응은 대응적입니다. 이는 침해가 탐지된 후 시작되며 봉쇄, 조사 및 복구에 중점을 둡니다.
둘은 함께 작동할 수 있지만 서로 다른 일정을 따릅니다. 예를 들어, 헌팅은 경고를 트리거하기 전에 사고를 발견하여 더 빠른 개입을 가능하게 할 수 있습니다. 누락된 위협 헌팅 문제가 발생하면 침해 후 침해 사고 대응 프레임워크가 개입됩니다.
위협 탐지 대 위협 인텔리전스
위협 인텔리전스는 보안에 대한 컨텍스트를 제공합니다. 랜섬웨어 또는 멀웨어 균주와 같은 알려진 위협에 대한 데이터가 포함됩니다.
반면 위협 헌팅은 이 정보를 라이브 환경에 적용합니다. 조직 내에서 유사한 행동이 전개되고 있다는 징후를 찾습니다.
두 분야는 분리되어 있지만 서로를 강화합니다. 성숙한 SOC 팀은 위협 인텔리전스를 사용하여 헌트를 안내하고, 위협 헌팅은 새로운 위협을 식별하여 인텔리전스 플랫폼에 다시 피드할 수 있습니다.
위협 헌팅 방법론
위협 헌팅은 일반적으로 구조화된 접근 방식을 따릅니다.
가설 중심 헌팅
가설 중심 헌팅에서 분석가는 잠재적 악성 활동에 대한 가정으로 시작합니다. 예를 들어, “공격자는 훔친 자격 증명을 사용하여 재무 시스템 내에서 내부로 이동할 수 있습니다.” 그런 다음 헌터는 관련 데이터 소스를 쿼리하여 가설을 입증하거나 반증합니다. 이 접근 방식은 구조화되고 반복 가능하며 강력한 원격 측정 및 숙련된 분석가가 있는 조직에 적합합니다.
인텔리전스 기반 헌팅
인텔리전스 기반 헌팅은 외부 또는 내부 위협 인텔리전스를 기반으로 합니다. 헌터는 활성 공격자, 멀웨어 캠페인 또는 공격 기술에 대한 보고서를 사용하여 자체 환경에서 관련 행동을 검색합니다. 이 방법론은 조직이 관련 위협에 집중하고 실제 공격자 활동에 맞게 탐지 노력을 조정하는 데 도움이 됩니다.
분석 중심 헌팅
분석 중심의 헌팅은 통계 분석, 기본 라이닝 및 행동 분석을 통해 이상 징후를 표시합니다. 헌터는 특정 가설로 시작하는 대신 비정상적인 로그인 시간, 비정상적인 데이터 전송 또는 드문 프로세스 실행과 같은 정상적인 활동의 편차를 검사합니다. 이 접근 방식은 알려지지 않았거나 새로운 위협을 발견하는 데 효과적입니다.
상황 또는 대응적 사냥
상황 추적은 새로운 취약점, 공공 침해 공개 또는 위협 환경의 변화와 같은 이벤트에 의해 트리거됩니다. 예를 들어, 헌터는 중요한 취약점이 발표된 후 악용 활동을 사전에 검색할 수 있습니다. 본질적으로 대응적이지만 이 접근 방식은 기존의 경보 기반 대응에 비해 여전히 선제적입니다.
공격 지표 대 침해 지표
위협 탐지는 정적 지표보다는 행동 증거에 초점을 맞추는 경우가 많습니다.
- 침해 지표(IOC)는 악성 파일 해시, IP 주소 또는 도메인 이름과 같은 알려진 공격에 연결된 아티팩트입니다. 탐지에 유용하지만 IOC는 종종 수명이 짧고 공격자가 쉽게 변경할 수 있습니다.
- 공격 지표(IOA)는 공격자의 행동과 기술에 중점을 둡니다. 예를 들어, 의심스러운 PowerShell 사용, 비정상적인 권한 에스컬레이션 또는 비정상적인 인증 패턴이 있습니다. IOA는 공격자가 사용하는 특정 툴이 아닌 공격자의 운영 방식을 식별하기 때문에 위협 헌팅에 특히 중요합니다.
효과적인 위협 헌팅은 회피에 대해 더 탄력적이고 최신 공격 기술에 더 잘 부합하기 때문에 IOA를 우선시합니다.
위협 탐지 기술
위협 추적 기술은 분석가가 데이터를 조사하여 위협을 발견하는 방법을 설명합니다.
- TTP 분석
헌터는 MITRE ATT&CK와 같은 프레임워크를 사용하여 공격자 전술, 기술 및 절차를 분석합니다. 이를 통해 팀은 환경 전반에서 알려진 공격 행동을 체계적으로 검색할 수 있습니다. - 이상치 감지
이 기법은 확립된 기준에서 벗어나는 활동을 식별하는 데 중점을 둡니다. 예를 들어, 특정 사용자 또는 시스템에 대한 드문 명령 실행, 비정상적인 데이터 액세스 또는 비정상적인 로그인 패턴이 있습니다. - 시간 기반 상관 관계
공격자는 종종 탐지를 피하기 위해 시간이 지남에 따라 조치를 수행합니다. 시간 기반 상관 관계는 엔드포인트, ID 및 네트워크 전반에 걸쳐 관련 이벤트를 연결하여 독립적으로 양성으로 보일 수 있는 공격 체인을 보여줍니다. - 도메인 및 비즈니스 컨텍스트 분석
헌터는 비즈니스 운영에 대한 지식을 적용하여 합법적인 활동과 의심스러운 행동을 구분합니다. 시스템과 사용자가 정상적으로 작동하는 방식을 이해하는 것은 정확한 위협 헌팅에 매우 중요합니다.
위협 헌팅 도구
위협 헌팅 도구는 조사를 지원하는 데 필요한 가시성과 분석 기능을 제공합니다.
SIEM 플랫폼
SIEM은 환경 전반에서 로그를 중앙 집중화하고 쿼리, 상관 관계 및 타임라인 분석을 지원합니다. 위협 헌팅 활동의 출발점이 되는 경우가 많습니다.
XDR 플랫폼
XDR 솔루션은 엔드포인트, 이메일, 클라우드, ID 및 네트워크 계층의 원격 측정을 상호 연관시킵니다. 이러한 도메인 간 가시성은 복잡한 공격 패턴을 표면화하고 조사 사각지대를 줄이는 데 도움이 됩니다.
위협 인텔리전스 플랫폼
이러한 도구는 공격자, 멀웨어 및 캠페인에 대한 컨텍스트를 제공합니다. 헌터는 인텔리전스를 사용하여 가설을 안내하고 조사의 우선순위를 지정합니다.
스크립팅 및 탐지 엔지니어링 도구
YARA 및 Sigma와 같은 도구를 사용하면 헌터가 환경에 맞게 사용자 지정 탐지 로직 및 재사용 가능한 쿼리를 만들 수 있습니다.
위협 헌팅 데이터 소스
효과적인 헌팅은 엔드포인트 원격 측정, 네트워크 트래픽, ID 로그 및 클라우드 감사 추적을 포함한 고품질 데이터에 대한 액세스에 달려 있습니다. 이 데이터의 깊이와 보존은 헌팅 효과에 직접적인 영향을 미칩니다.
Trend Vision One 과 같은 플랫폼은 이러한 데이터 소스에 대한 통합 액세스를 제공하여 분석가가 신속하게 전환하고 여러 계층에서 위협을 조사할 수 있도록 합니다.
실제 위협 추적 사례 및 사례 연구
Microsoft 365의 자격 증명 남용
한 글로벌 물류 회사가 Microsoft 365에서 비정상적인 로그인 패턴을 발견했습니다. 위협 헌터는 위치 기반 필터링 및 감사 로그를 사용하여 손상된 파트너 계정을 추적했습니다. 이 계정은 내부적으로 피싱 이메일을 보내는 데 사용되었습니다.
엔터프라이즈 환경에서의 현장 생활 기술
트렌드마이크로 위협 헌팅 연구 사례 뉴스 기사에서 위협 헌터는 여러 높은 권한 엔드포인트에 대한 지속적인 명령줄 활동을 조사했습니다. 분석 결과 PowerShell 및 WMI와 같은 합법적인 도구를 남용하여 파일을 삭제하지 않고 백도어를 구축하는 것으로 밝혀졌습니다.
이 기술은 '땅에서 벗어나 살기'라고 하며 보안 소프트웨어에 의한 탐지를 피하도록 설계되었습니다. 엔터프라이즈 위협 탐지에서 가장 일반적인 과제 중 하나입니다.
공급망 침해
Trend Micro Vision One 고객은 신뢰할 수 있는 타사 벤더와 연결된 비정상적인 DNS 요청을 식별했습니다. 심층 조사 결과 벤더의 환경이 훼손되어 측면 이동에 사용되고 있는 것으로 나타났습니다.
위협 헌팅 프레임워크를 구축하는 방법
위협 헌팅 프레임워크는 자동화된 탐지를 회피하는 위협을 선제적으로 식별하기 위한 구조화된 접근 방식을 제공합니다. 정의된 위협 헌팅 프로세스는 임시 조사에 의존하는 대신 반복 가능하고 측정 가능하며 조직의 위험에 부합하도록 보장합니다.
다음 위협 헌팅 라이프사이클은 보안 팀이 효과적인 위협 헌팅 프레임워크를 구축하고 운영할 수 있는 방법을 설명합니다.
1단계: 위협 탐지 가설 정의
모든 위협 헌팅은 명확한 가설에서 시작됩니다. 이는 위협 인텔리전스, 알려진 공격자 기법, 환경 위험 또는 최근 사고를 기반으로 한 잠재적 악성 활동에 대한 테스트 가능한 가정입니다.
예를 들어, 가설은 클라우드 환경에서의 자격 증명 남용 또는 내장된 관리 도구를 사용한 내부 이동에 초점을 맞출 수 있습니다. 효과적인 가설은 구체적이고 실행 가능하며 MITRE ATT&CK와 같은 공격자 행동 프레임워크에 매핑됩니다.
2단계: 관련 데이터 범위 지정 및 준비
가설이 정의되면 분석가는 이를 검증하는 데 필요한 데이터 소스를 식별합니다. 위협 헌팅 데이터에는 엔드포인트 원격 측정, 인증 로그, 네트워크 트래픽, DNS 활동 또는 클라우드 감사 추적이 포함될 수 있습니다.
스코핑은 조사가 관련 시스템 및 기간에 초점을 맞추도록 보장합니다. 또한 분석가는 결론을 약화시킬 수 있는 격차를 피하기 위해 데이터 품질, 적용 범위 및 보존을 확인합니다.
3단계: 원격 측정 전반에 걸쳐 조사 및 전환
조사 단계에서 헌터는 쿼리, 행동 필터 및 상관 기술을 사용하여 데이터를 분석합니다. 의심스러운 활동이 식별되면 분석가는 관련 계정, 프로세스 또는 네트워크 연결과 같은 관련 신호로 전환합니다.
위협 헌팅은 본질적으로 반복적입니다. 초기 발견은 종종 패턴이 등장함에 따라 새로운 질문, 확장된 범위 또는 수정된 가설로 이어집니다.
4단계: 결과 검증 및 영향 평가
헌터는 증거가 원래 가설을 뒷받침하는지 여부를 결정합니다. 악성 활동이 확인되면 분석가는 위협의 범위를 평가하고 영향을 받는 자산을 식별하며 공격자의 지속성과 이동을 평가합니다.
뒷받침하는 증거가 발견되지 않는 경우, 가설을 개선하거나 부정적인 결과로 문서화할 수 있으며, 이는 여전히 조직의 이해와 탐지 성숙도에 기여합니다.
5단계: 확인된 위협에 대한 상부 보고 및 대응
확인된 위협은 완전한 컨텍스트를 가진 사고 대응 팀으로 상달됩니다. 여기에는 타임라인, 영향을 받는 시스템, 공격자 기술 및 권장 억제 조치가 포함됩니다.
명확한 에스컬레이션 경로를 통해 위협 헌팅 결과가 신속하게 복구로 전환되어 체류 시간을 줄이고 잠재적 영향을 제한할 수 있습니다.
6단계: 탐지 및 원격 측정에 대한 인사이트 제공
위협 헌팅 프레임워크에서 가장 중요한 단계 중 하나는 피드백입니다. 헌트 중에 식별된 행동은 SIEM, XDR 또는 EDR 플랫폼 내에서 새로운 탐지 로직, 분석 또는 경고 규칙으로 변환됩니다.
또한 헌트는 가시성 격차를 강조하여 로깅, 원격 측정 수집 또는 센서 배포를 개선합니다.
7단계: 결과 문서화 및 프로세스 개선
가설, 데이터 소스, 조사 단계, 결과 및 배운 교훈을 포함하여 각 헌팅을 문서화해야 합니다. 후향적 분석을 통해 팀은 새로운 탐지 로직을 과거 데이터에 적용하여 누락된 활동이나 연장된 체류 시간을 발견할 수 있습니다.
시간이 지남에 따라 이 지속적인 개선 루프는 위협 탐지 프레임워크를 강화하고 탐지 범위를 개선하며 진화하는 공격자 기술과 선제적 위협 탐지를 더욱 긴밀하게 정렬합니다.
사이버 위협 헌팅을 시작하는 방법
시작할 때 먼저 여기에 가시성에 집중하십시오.
- 우선순위 자산(예: 재무, 임원, 중요 인프라) 식별
- 엔드포인트, ID 및 클라우드 전반에서 로깅이 활성화되었는지 확인
- 주 1회 가설로 시작
- ATT&CK를 사용하여 기술 기반 검색 안내
- 시간 경과에 따른 결과 기록 및 쿼리 개선
위협 헌팅에 대한 도움을 어디에서 받을 수 있습니까?
TrendAI Vision One™은 위협 헌팅을 위한 고급 기능을 제공합니다.
- 엔드포인트, 이메일, 클라우드 및 네트워크에서 계층 간 원격 측정
- MITRE 기술에 대한 자동 매핑
- 위협의 우선순위를 정하는 위험 기반 점수
- 컨텍스트를 위한 통합 위협 인텔리전스
- 선제적 조사를 위한 도구 검색 및 피벗
보안 팀이 은밀한 공격을 탐지하고, 체류 시간을 줄이며, 위협이 확대되기 전에 이를 발견할 수 있도록 지원합니다.
자주 묻는 질문(FAQ)
사이버 보안에서 위협 헌팅이란 무엇입니까?
위협 헌팅은 수동 조사 및 가설 테스트를 사용하여 자동화된 보안 툴을 회피하는 위협을 검색하는 선제적 프로세스입니다.
위협 헌터는 무엇을 합니까?
위협 헌터는 네트워크 내에서 사이버 위협을 선제적으로 탐지, 조사 및 완화하여 침해를 방지하고 조직 보안을 강화합니다.
위협 헌팅은 사고 대응과 어떻게 다릅니까?
위협 헌팅은 선제적이며 사고가 확인되기 전에 발생합니다. 사고 대응은 사후 대응적이며 탐지 후에 시작됩니다.
위협 탐지는 위협 인텔리전스와 어떻게 다릅니까?
위협 인텔리전스는 알려진 위협 데이터를 제공합니다. 위협 헌팅은 이 인텔리전스를 적용하여 라이브 환경에서 의심스러운 활동을 식별합니다.
위협 헌팅의 가설은 무엇입니까?
- 가설은 특정 네트워크 세그먼트에서 내부 이동을 탐지하는 등 조사를 안내하는 데 사용되는 교육적인 가정입니다.
공격 지표(IOA)와 침해 지표(IOC)는 무엇입니까?
IOA는 행동과 전술에 중점을 둡니다. IOC는 파일 해시 또는 IP 주소와 같은 과거 공격의 포렌식 증거입니다.
위협 헌팅에는 어떤 도구가 사용됩니까?
도구에는 SIEM, XDR 플랫폼, 위협 인텔리전스 피드 및 YARA 또는 Sigma와 같은 스크립팅 유틸리티가 포함됩니다.
효과적인 위협 헌팅을 지원하는 데이터 소스는 무엇입니까?
- 유용한 데이터에는 엔드포인트 원격 측정, 네트워크 로그, ID 기록 및 클라우드 감사 추적이 포함됩니다.
위협 헌팅의 실제 사례를 제공할 수 있습니까?
- 예를 들어, 손상된 Microsoft 365 계정 탐지, 지속성을 위한 PowerShell 남용 및 공급업체 관련 공급망 공격이 있습니다.
조직은 어떻게 위협 헌팅 프레임워크를 구축할 수 있습니까?
- 역할을 설정하고 반복 가능한 워크플로를 정의하며 MITRE ATT&CK 및 NIST와 같은 프레임워크와 일치시킵니다.
위협 헌팅에서 Trend Micro Vision One의 역할은 무엇입니까?
- 위협 헌터를 지원하기 위해 계층 간 원격 측정, 자동 탐지, MITRE 매핑 및 컨텍스트가 풍부한 조사를 제공합니다.