통합 인증 SASE 역할 사이버 위협 사냥

위협 사냥이란 무엇입니까?

위협 헌팅은 기존 보안 솔루션을 회피하는 위협을 탐지하기 위한 선제적 방어 접근 방식입니다.

왜 위협 사냥?

방화벽, IDS/IPS, SWG, ZTNA, CASB 함수는 엔터티를 보호하는 데 도움이 됩니다.erp알려진 위협으로부터 자산을 늘리십시오. 보안 공급업체는 알려진 위협에 대한 보호 기능을 개발하고 다양한 보호 피드로 보안 서비스를 정기적으로 업데이트하여 이러한 보호 기능을 배포합니다. 보호에는 사용자의 악성 사이트 방문 차단, 서명을 통한 익스플로잇 중지, C&C를 호스팅하는 것으로 알려졌거나 평판이 좋지 않은 도메인인 IP 주소와의 연결 중지가 포함됩니다. 거의 모든 보안 기능도 중지하여 자산을 보호합니다.wanACL(액세스 제어 목록)을 통한 흐름.

위협 행위자의 정교함은 국가 후원 및 금전적 이득으로 인해 해마다 크게 증가하고 있습니다. 엔트erp알 수 없는 위협에 의해 타격을 입은 상승은 손상을 억제하기 위해 모든 손상을 감지할 수 있는 방법이 있어야 합니다. 에 따르면 2022 M-트렌드 보고서, 평균 상주 시간(상주 시간은 공격자가 탐지되지 않고 피해자 환경에 존재하는 일 수)은 21년 2021일입니다. 일부 지역에서는 평균이 최대 40일입니다. 가장 우려되는 것은 47%의 시간 동안 피해자가 외부 알림을 통해 위협에 대해 알게 된다는 것입니다. 피해자는 공격자로부터 갈취, 기밀 정보 공개, 고객으로부터 몇 차례의 강탈을 통해 침해 사실을 알게 됩니다. 엔터테이먼트에 중요합니다erp피해를 줄이고 개선 조치를 더 빨리 취하기 위해 사전 예방적으로 내부적으로 위협의 존재를 감지합니다. 이러한 환경에 존재하는 위협을 탐지하는 과정을 'Threat Hunting'이라고 합니다.

위협 사냥꾼 방법이란 무엇입니까?

위협 사냥은 보안 분석가가 수행합니다. 위협 사냥 관행은 한동안 존재해 왔지만 이론적으로는 새로운 것이 아닙니다. 헌터는 이상 징후를 찾고, 가설을 세우고, 더 깊은 분석을 수행하여 타협의 징후를 식별하는 경향이 있습니다. 최근 몇 년 동안 정말 달라진 점은 서로 다른 엔터티의 사냥꾼 간의 협업이 증가했다는 것입니다.erpTTP(전술, 기술 및 절차) 공유, 오픈 소스 및 상용 위협 인텔리전스 피드에 대한 액세스 등이 증가합니다. 이 풍부한 정보는 사냥꾼이 보다 효율적으로 사냥하는 데 도움이 됩니다.

위협 인텔리전스는 가치가 있지만 방대한 양의 데이터는 사냥꾼이 조사하기에는 부담스러울 수 있습니다. 사냥꾼이 자산, 소프트웨어, 하드웨어 시스템 및 자산을 기반으로 가장 관련성이 높은 보고서를 얻으려면 필터링하는 것이 중요합니다. cloud ent가 제공하는 서비스erp상승 용도. 일단 필터링되면 위협 사냥꾼은 TTP를 사용하여 환경에서 패턴을 식별할 수 있습니다.

위협 사냥꾼은 다음과 같은 방법을 조합하여 정보를 수집합니다.

• 분석 기반: 네트워크 트래픽, 프로토콜 트래픽, 사용자 시작 트래픽, 애플리케이션 트래픽, 사용자 로그인 동작, 사용자 액세스 동작, 엔드포인트 및 애플리케이션 동작에서 관찰된 이상 징후는 사냥을 시작하는 좋은 지표가 될 수 있습니다.
• 인텔리전스 기반: IP/도메인/파일/과 같은 위협 인텔리전스 피드URL 오픈 소스 및 상업 기관의 평판은 사냥꾼이 환경에서 이러한 지표를 검색하고 관찰되는 경우 사냥을 시작하는 데 도움이 될 수 있습니다.
• 상황 인식 기반: 정규 엔트의 출력erp상승 위험 평가 및 왕관 보석 분석 자산에서 사냥꾼이 가설을 만들고 사냥을 시작하는 데 도움이 될 수 있습니다.

위협 사냥꾼은 위의 방법을 조합하여 시작할 사냥 범위를 좁힙니다. 헌팅 프로세스의 일부로 분석가는 가시성 시스템에 의존하여 더 깊은 분석을 수행하여 손상을 식별합니다. 위협이 발견되면 성공적인 헌터는 다른 헌터를 돕기 위해 TTP를 게시할 수 있습니다.

의 역할은 무엇입니까 SASE 위협 사냥에서?

IoC(Indicator of Compromise)는 말리를 식별하고 탐지하는 데 사용할 수 있는 단서입니다.cio네트워크 또는 엔드포인트에서 우리 활동. 잠재적인 보안 사고에 대한 가설을 세우고 조사에 집중하기 위해 위협 사냥꾼이 자주 사용합니다. IoC에는 IP 주소, 도메인 이름, URL알려진 말리와 관련된 s, 파일 및 이메일 주소cio우리 행위자 또는 알려진 맬웨어. 트래픽, 사용자 행동, 서비스 행동 및 기타 결합과 같은 다양한 이상 징후는 사냥꾼이 잠재적인 보안 사고에 대한 가설을 세울 수 있는 좋은 지표입니다.

심층 분석은 위협 추적의 다음 단계이며 공격 범위, 영향 및 출처와 같은 잠재적 사고에 대한 추가 정보를 수집하는 데 사용됩니다. 이러한 유형의 분석에는 종종 다양한 도구와 기술을 활용하여 네트워크 트래픽, 시스템 로그 및 엔드포인트 데이터와 같은 다양한 소스에서 데이터를 추출하고 분석하는 작업이 포함됩니다.

SASE 솔루션은 위협 사냥의 식별 및 조사 단계 모두에서 위협 사냥꾼을 도울 것으로 기대됩니다. 그리고 미래에는 보다 포괄적인 관측 가능성 부분이 있을 것으로 예상됩니다. SASE 행동 분석, 실시간 모니터링 및 경고와 같은 기능을 갖춘 솔루션입니다.

침해 지표 및 우려 지표를 통한 식별

다음은 다음과 같은 몇 가지 변칙 및 위협 IoC입니다. SASE 솔루션 위협 사냥꾼이 사냥을 시작하도록 도울 수 있습니다.

방법에 대한 몇 가지 예 SASE/ SDWAN 아래에 주어진 트래픽 이상을 찾는 데 도움이 될 수 있습니다.

• 이전에 관찰된 트래픽 패턴과 비교하여 비정상적인 트래픽 패턴입니다. 여기에는 다음에 대한 트래픽 볼륨 및 연결 수의 이상 현상이 포함될 수 있습니다.
  • 엔트erp사이트 간 트래픽 증가
  • 사이트에서 인터넷으로/에서 트래픽
  • 애플리케이션과의 트래픽
  • 다양한 프로토콜의 트래픽
  • 사용자와의 트래픽
  • 세그먼트로/에서 트래픽
  • 그리고 위의 조합 - 사이트 + 애플리케이션 + 사용자 + 프로토콜 + 세그먼트.

SASE 네트워크 보안을 갖춘 솔루션은 다양한 유형의 이상 징후와 익스플로잇을 찾는 데 도움이 될 수 있습니다.

• 엔트의 이상erp다음과 같은 이전 패턴 또는 기준 패턴에서 애플리케이션 액세스 증가
  • 이전에 알려지지 않은 지리적 위치에서 내부 애플리케이션에 액세스
  • 거의 액세스하지 않는 사용자의 내부 애플리케이션에 대한 액세스
  • 불규칙한 시간에 사용자가 내부 애플리케이션에 액세스
  • 이전에 알려지지 않은 지리적 위치의 권한 있는 사용자, 거의 관리하지 않는 사용자, 이상한 시간에 다양한 중요 응용 프로그램 리소스(예: 관리 리소스)에 대한 액세스
  • 사용자의 애플리케이션 및 리소스에 대한 액세스가 거부되었습니다.
• 인터넷의 이상현상과 SaaS 위에서 설명한 액세스 이상과 같은 이전 패턴 또는 기준 패턴에서 액세스합니다.
  • 다양한 액세스 URL 개인 사용자별 카테고리
  • 이전에 사용자가 방문하지 않은 인터넷 사이트에 대한 액세스
  • 사용자별 대역폭 사용량 및 HTTP 트랜잭션 이상 횟수
  • 사용자가 근무 외 시간에 사이트에 액세스합니다.
  • 인터넷 사이트/카테고리에 대한 액세스 거부
  • 다양한 기능에 대한 액세스 SaaS 사용자별로 서비스를 제공합니다.
• 다양한 종류의 익스플로잇: M-Trends 보고서에 따르면 공격자가 사용하는 "초기 감염 벡터"는 소프트웨어 및 구성의 취약점을 악용하고 있습니다. 많은 위협 행위자는 먼저 소프트웨어 취약성을 악용하여 다양한 유형의 맬웨어를 설치합니다. Metasploit, BEACON과 같은 인기 있는 익스플로잇 프레임워크는 알려진 여러 익스플로잇 스크립트를 번들로 묶습니다. 이러한 프레임워크는 위협 행위자 사이에서 인기 있는 것으로 보입니다. 트래픽에서 관찰되는 익스플로잇은 나쁜 일이 발생할 것이라는 좋은 지표가 될 수 있습니다.
• 프로토콜 이상: 비정상적인 프로토콜 데이터는 프로토콜 사양 관점에서 합법적인 경우에도 우려의 좋은 징후가 될 수 있습니다.  DNS HTTP 프로토콜 이상 예는 다음과 같습니다.
  • 의 경우 DNS
    • 쿼리된 도메인에 많은 하위 도메인이 표시되는 것은 정상이 아닙니다.
    • 매우 긴 도메인을 보는 것은 정상이 아닙니다.
    • 도메인 이름에 대문자와 소문자가 섞여 있는 것은 일반적이지 않습니다.
    • 영숫자가 아닌 문자를 보는 것은 정상이 아닙니다.
    • A, AAAA, PTR 이외의 쿼리를 보는 것은 정상이 아닙니다.
  • HTTP의 경우:
    • 매우 긴 URI와 많은 수의 쿼리 매개변수를 보는 것은 일반적이지 않습니다.
    • 일반적으로 사용되지 않는 URI 인코딩.
    • 많은 요청 헤더와 응답 헤더를 보는 것은 정상이 아닙니다.
    • URI 쿼리 매개변수, 요청 헤더 및 요청 본문에서 SQL 문, 셸 명령 및 스크립트를 보는 것은 일반적이지 않습니다.
    • 호스트 요청 헤더 없이 HTTP 트랜잭션을 보는 것은 정상이 아닙니다.
    • URI와 헤더에서 CRLF 문자를 보는 것은 정상이 아닙니다.
    • 이름이 같은 매개변수가 여러 개 표시되는 것은 일반적이지 않습니다.
    • 이 외에도 여러 상업용 차량을 위한 커버리지 제공
  • 평판이 좋지 않은 사이트에 대한 접속 : 불량 IP 주소, 도메인 및 악성 사이트에 대한 단일 접속 또는 다중 접속 URLs는 또한 사냥을 시작하기 위한 좋은 지표입니다.

조사

사냥의 일환으로 사냥꾼은 기대합니다. SASE 적어도 네트워크 관점에서 추가 조사를 위해 더 깊이 파고들 수 있도록 도와주는 시스템입니다. 포괄적인 엔드 투 엔드 가시성 및 조사를 위해 Hunters는 엔드포인트, 애플리케이션, 가상화 및 컨테이너화 플랫폼 관찰 가능성 시스템과 함께 작업해야 할 수도 있습니다.

에 대한 기대 SASE 조사를 위한 사냥꾼의 관찰 가능성은 대부분 더 깊은 검색 기능에 있습니다. 예를 들어 익스플로잇 트래픽을 감지하면 헌터는 익스플로잇된 시스템/소프트웨어가 이 시스템에서 일반적으로 생성되지 않는 다른 내부 시스템에 연결하는지 여부 또는 정상적으로 연결되지 않은 다른 시스템에서 파일을 다운로드했는지 여부를 조사하기를 원할 수 있습니다. 예상 및 이 시스템이 다른 시스템 등에 맬웨어를 업로드하고 있는지 여부.

요약

위협 사냥은 많은 기업에서 일상적인 관행이 되고 있습니다.erp상승한다. 일반적으로 IoC(Indicators of Compromise) 탐지 및 엔드포인트, 애플리케이션, 가상화 및 Secure Access Service Edge에 대한 관찰 가능성 플랫폼을 사용한 조사가 포함됩니다.SASE). 통일된 SASE 소프트웨어 정의 광역 통신망(SDWAN), 다양한 네트워크 및 위협 보안 기능, 포괄적인 위협 헌팅 수명 주기 관리가 가능하려면 포괄적인 관찰 가능성이 필요합니다.

• CTO 인사이트 블로그

  XNUMXD덴탈의 Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 보안에 대한 사고 리더십을 제공합니다. SASE 주제. 을 위한 Aryaka 제품 사양 참조 Aryaka 데이터시트.