AI 기반 네트워크 위협헌팅
APT (Advanced Persistent Threats) 공격은 10여 년 동안 진행되어 왔지만 공격자의 공격 기법 및 기술이 향상됨에 따라 공격이 증가하고 있습니다. 이러한 공격은 단순히 방어 기능을 체크하거나 프로그램을 설치해서 막을 수 없습니다. 이러한 침입자를 막기 위해서는 공격자의 전술, 기법 및 절차를 결정할 수 있는 능력을 갖춘 위협 헌터가 필요합니다.
파일 해시, IP 주소 또는 알려진 악성 URL과 같은 관찰 대상은 특정 공격을 차단하고 공격자가 도구 및 인프라를 재사용 할 때 두 가지의 개별 공격을 연결하는 데 유용합니다. 그러나 공격자는 일회용 공격 도구를 사용하는 등 더욱 똑똑해지고 있습니다. 따라서 파일 해시와 같은 관측 가능한 공격의 유효 수명이 너무 짧은 경우가 많으므로 오늘날 보안 센서에서 수집되는 많은 정적 IOC는 과거형인 경우가 많으며 신종 공격 탐지에 취약합니다. 따라서 위협 헌팅 도구는 공격자 기법 및 이상 행위, 즉 위협 행위자의 전술, 기법 및 절차 (TTP)에 중점을 두어야합니다.
도전과제
- 시그니처를 우회하는 네트워크 공격을 어떻게 탐지할 것인가?
- 샌드박스를 우회하는 악성코드를 어떻게 탐지할 것인가?
- 탐지된 위협에 대한 문맥(Context) 파악 및 과거 히스토리 탐색은 어떻게 해야 하는가?
네트워크 포렌식 vs. 사이버 위협 헌팅
DFIR
DFIR (Dee-Fur로 발음)은 Digital Forensics & Incident Response (디지털 포렌식 및 침해사고 대응)은 사이버 악성 행위에 대한 대응을 의미함.
DIFR은 일반적으로 IOC (Indication of Indicator) 가 알려 지거나 네트워크 / 호스트 침입 탐지 시스템에서 이벤트 / 경고가 트리거 될 때 수행됨.
→ 수동적
범죄 발생 신고
우범지대 순찰 강화
CYBER THREAT HUNTING
Cyber Threat Hunting은 “기존 보안 솔루션을 회피하는 지능형 위협을 탐지하고 격리 하기 위해 네트워크를 통해 사전에 반복적으로 탐색하는 프로세스“ Cyber Threat Hunting (Hunting)은 IOC (Indication of Indicator) 와 관계없이 네트워크 / 호스트에 대한 위협을 선제적이고 지속적으로 탐색함.
→ 능동적
PacketCYBER 는 날로 증가하고 있는 지능형 위협에 대한 AI 기반 네트워크 위협 헌팅 및 대응 솔루션입니다. 신종 악성코드, 네트워크 이상 행위에 대한 ‘수집 – 탐지 – 분석 – 헌팅 – 대응’ 프로세스를 통해 고도화된 공격에 효과적으로 대응하기 위한 플랫폼입니다.
