- AI기초
- prompt injection
- aiengineer
- llm model
- largelanguagemodels
- ai hacking
- llmexplained
- llminterviewquestions
- 보안뉴스
- aiforbeginners
- llm attack
- 정보보안
- AI질문
- airesearch
- elasticsearch
- ai vulnerability
- Security
- MachineLearning
- ai입문
- 프롬프트엔지니어링
- xz-utils
- llm 활용
- PromptEngineering
- metasploit_series
- ChatGPT
- llm hacking
- llm활용
- llm questions
- aiinterviewprep
- ai prompt
- Today
- Total
ARTIFEX ;)
사이버 보안 인시던트 탐지 방법 알아보기 본문
보안 분석가는 위협을 발견하기 위해 탐지 도구를 사용하지만, 추가로 사용할 수 있는 탐지 방법도 있습니다.
이전에는 탐지 도구가 데이터 유출과 같은 공격을 식별하는 방법에 대해 알아보았습니다. 이번 글에서는 조직에서 위협을 발견하기 위해 사용할 수 있는 다양한 탐지 방법을 소개합니다.
탐지 방법
인시던트 대응 수명 주기의 탐지 및 분석 단계에서 보안팀은 인시던트 발생 가능성에 대한 알림을 받고 데이터를 수집 및 분석하여 인시던트를 조사하고 검증하는 작업을 수행합니다. 다시 말해, 탐지는 보안 이벤트를 신속하게 발견하는 것을 의미하며, 분석에는 경고를 조사하고 검증하는 작업이 포함됩니다.
지금까지 배운 대로 침입 탐지 시스템(IDS)은 침입 가능성을 탐지하고 보안 분석가에게 경고를 보내 의심스러운 활동을 조사하도록 할 수 있습니다. 보안 분석가는 보안 정보 및 이벤트 관리(SIEM) 도구를 사용하여 보안 데이터를 감지, 수집 및 분석할 수도 있습니다.
또한 탐지에 어려움이 있다는 것을 알게 되었습니다. 아무리 뛰어난 보안 팀이라도 다양한 이유로 인해 실제 위협을 탐지하지 못할 수 있습니다. 예를 들어, 탐지 도구는 보안 팀이 모니터링하도록 구성한 항목만 탐지할 수 있습니다. 제대로 구성하지 않으면 의심스러운 활동을 탐지하지 못해 시스템을 공격에 취약하게 만들 수 있습니다. 보안팀은 탐지 범위와 정확도를 높이기 위해 추가적인 탐지 방법을 사용하는 것이 중요합니다.
위협 헌팅
위협은 진화하고 공격자는 전술과 기술을 발전시킵니다. 자동화된 기술 기반 탐지만으로는 진화하는 위협 환경을 최신 상태로 유지하는 데 한계가 있습니다. 위협 헌팅과 같은 사람 중심 탐지는 기술의 힘에 사람의 요소를 결합하여 탐지 도구가 탐지하지 못한 숨겨진 위협을 발견합니다.
위협 헌팅은 네트워크에서 위협을 선제적으로 검색하는 것입니다. 보안 전문가는 위협 헌팅을 사용하여 탐지 도구로 식별되지 않은 악성 활동을 발견하고 탐지된 내용에 대한 추가 분석을 수행합니다. 위협 헌팅은 피해를 입히기 전에 위협을 탐지하는 데에도 사용됩니다. 예를 들어 파일리스 멀웨어는 탐지 도구로 식별하기 어렵습니다. 파일리스 멀웨어는 파일이나 애플리케이션을 사용하는 대신 메모리에 숨는 등 정교한 우회 기술을 사용하여 시그니처 분석과 같은 기존 탐지 방법을 우회하는 멀웨어의 한 형태입니다. 위협 헌팅을 사용하면 능동적인 사람의 분석과 기술을 결합하여 파일리스 멀웨어와 같은 위협을 식별하는 데 사용됩니다.
참고: 위협 헌팅 전문가는 위협 헌터라고 합니다. 위협 헌터는 새로운 위협과 공격에 대한 연구를 수행한 다음 조직이 특정 공격에 취약할 확률을 결정합니다. 위협 헌터는 위협 인텔리전스, 침해 지표, 공격 지표 및 머신 러닝을 조합하여 조직에서 위협을 검색합니다.
위협 인텔리전스
조직은 진화하는 위협 환경에 대한 최신 정보를 파악하고 환경과 악의적인 행위자 간의 관계를 이해함으로써 탐지 기능을 향상시킬 수 있습니다. 위협을 이해하는 한 가지 방법은 기존 또는 새로운 위협에 대한 컨텍스트를 제공하는 증거 기반 위협 정보인 위협 인텔리전스를 사용하는 것입니다.
위협 인텔리전스는 다음과 같은 비공개 또는 공개 소스에서 얻을 수 있습니다:
- 업계 보고서: 여기에는 공격자의 전술, 기술 및 절차(TTP)에 대한 세부 정보가 포함되는 경우가 많습니다.
- 정부 권고: 업계 보고서와 마찬가지로 정부 권고에는 공격자의 TTP에 대한 세부 정보가 포함됩니다.
- 위협 데이터 피드: 위협 데이터 피드는 지능형 지속 위협(APT)과 같은 정교한 공격자로부터 보호하는 데 사용할 수 있는 위협 관련 데이터 스트림을 제공합니다. APT는 위협 행위자가 시스템에 대한 무단 액세스를 장기간 유지하는 경우를 말합니다. 데이터는 일반적으로 IP 주소, 도메인, 파일 해시 등의 지표 목록입니다.
조직이 대량의 위협 인텔리전스를 효율적으로 관리하는 것은 어려울 수 있습니다. 조직은 다양한 소스에서 위협 인텔리전스를 수집, 중앙 집중화 및 분석하는 애플리케이션인 위협 인텔리전스 플랫폼 (TIP)을 활용할 수 있습니다. TIP는 조직이 관련 위협을 식별하고 우선순위를 지정하여 보안 태세를 개선할 수 있는 중앙 집중식 플랫폼을 제공합니다.
참고: 위협 인텔리전스 데이터 피드는 탐지에 컨텍스트를 추가하는 데 사용하는 것이 가장 좋습니다. 위협 인텔리전스 데이터 피드는 탐지를 완전히 주도해서는 안 되며 조직에 적용하기 전에 평가해야 합니다.
사이버 속임수
사이버 기만에는 탐지율을 높이고 방어 전략을 개선할 목적으로 악의적인 행위자를 의도적으로 속이는 기술이 포함됩니다.
허니팟은 기만 기술을 사용하는 적극적인 사이버 방어 메커니즘의 한 예입니다. 허니팟은 잠재적인 침입자를 유인할 목적으로 공격에 취약한 미끼로 만들어진 시스템 또는 리소스입니다. 예를 들어, ' 고객 신용 카드 정보 - 2022 '라는 가짜 파일을 사용하면 합법적인 것처럼 보이도록 속여 파일에 액세스하도록 유도하여 악의적인 공격자의 활동을 포착하는 데 사용할 수 있습니다. 악의적인 공격자가 이 파일에 접속을 시도하면 보안팀에 경고가 전송됩니다.
핵심 사항
환경에서 보안 이벤트를 식별하고 찾기 위해 다양한 탐지 방법을 구현할 수 있습니다. 조직은 끊임없이 진화하는 위협 환경에 적응하고 자산을 더 잘 보호하기 위해 다양한 탐지 방법, 도구, 기술을 사용하는 것이 필수적입니다.
자세한 정보를 위한 리소스
위협 헌팅 및 위협 인텔리전스에 대해 자세히 알아보려면 다음 리소스를 참조하세요:
- 위협 헌팅 프로젝트의 위협 헌팅 : https://www.threathunting.net
ThreatHunting Home
Threat hunting is a popular topic these days, and there are a lot of people who want to get started but don’t know how. What should they hunt for? How should they perform the hunts? What data will they need to collect? On the other hand, there are a lot
www.threathunting.net
- 위협 분석 그룹(TAG)의 국가 지원 해커에 대한 연구 : https://blog.google/threat-analysis-group/
Threat Analysis Group (TAG)
Read updates from Google's Threat Analysis Group (TAG), which works to counter government-backed hacking and attacks against Google and our users.
blog.google
'# Security > it 알아보기 시리즈' 카테고리의 다른 글
| CI/CD의 취약점 알아보기 (2) | 2025.07.16 |
|---|---|
| CI/CD에 대한 지속적인 모니터링 알아보기 (0) | 2025.07.16 |
| 정보보안 ID 및 액세스 관리 알아보기 (0) | 2025.07.16 |
| Tcpdump 조금 더 알아보기 (0) | 2025.07.16 |
| 부상하는 SSO 및 MFA 알아보기 (0) | 2025.07.16 |
