위협 인텔리전스와 데이터 기반 위협 사냥 [ATT&CK 프레임워크와 오픈소스 도구를 활용한 위협 사냥]
- 원서명Practical Threat Intelligence and Data-Driven Threat Hunting: A hands-on guide to threat hunting with the ATT&CK(TM) Framework and open source tools (ISBN 9781838556372)
- 지은이발렌티나 코스타 가즈콘(Valentina Costa-Gazcón)
- 옮긴이박지수
- ISBN : 9791161758459
- 38,000원 (eBook 30,400원)
- 2024년 05월 31일 펴냄
- 페이퍼백 | 436쪽 | 188*235mm
- 시리즈 : 해킹과 보안
책 소개
2024년 세종도서 학술부문 선정도서
소스 코드 파일은 여기에서 내려 받으실 수 있습니다.
https://github.com/AcornPublishing/practical-threat-intelligence
요약
급변하는 사이버 보안 환경에서 조직이 직면하는 다양하고 복잡한 위협들에 대응하기 위한 실용적인 가이드를 제공하는 책이다. 체계적인 위협 인텔리전스 프로그램의 구축과 실행, 그리고 데이터 기반의 위협 사냥 기법을 통해 사이버 공격을 사전에 탐지하고 대응하는 전략을 세부적으로 설명한다.
독자들은 최신 사이버 위협 분석 방법, 효과적인 정보 수집, 그리고 분석 기술을 통해 보안 인프라를 강화하는 방법을 배울 수 있다. 사이버 보안 전문가들과 IT 분야의 실무자들에게 필수적인 이 책은 실제 사례 연구와 함께 사이버 보안 위협을 이해하고, 이에 대처하는 데 필요한 지식과 도구를 제공한다.
이 책에서 다루는 내용
◆ CTI의 이해, 핵심 개념, 위협 예방 및 조직의 보호 효과
◆ 위협 사냥 절차의 다양한 단계 탐색
◆ 수집한 데이터의 모델링 및 결과 기록 방법 이해
◆ 실험 환경에서 위협 행위자의 공격 모방
◆ 침입 탐지를 위해 수집한 정보의 활용 및 검색 결과 검증
◆ 문서화 및 전략을 사용해 고위 관리직 및 전체 비즈니스와 의사소통하는 방법
이 책의 대상 독자
위협 사냥 실습에 관심이 있는 모두를 위한 책으로, 시스템 관리자, 컴퓨터 공학자, 보안 전문가의 첫 번째 위협 사냥 실습을 돕는 가이드다.
이 책의 구성
1장, ‘사이버 위협 인텔리전스’에서는 다양한 위협 유형, 침해 지표 수집 방법, 수집한 정보 분석 방법을 다룬다.
2장, ‘위협 사냥’에서는 위협 사냥을 배우는 곳, 중요한 이유, 사냥 가설 설정 방법을 다룬다.
3장, ‘데이터 출처’에서는 위협 사냥에 대한 이해뿐만 아니라 사냥 프로그램의 기획 및 설계 시 사용할 수 있는 다양한 단계와 모델을 다룬다.
4장, ‘공격자 묘사’에서는 맥락(Context)에 대해 다룬다. 수집한 정보를 이해하려면 적절한 맥락을 제공해야 한다. 맥락과 분석이 없는 정보는 인텔리전스가 아니다. MITRE ATT&CK(TM) 프레임워크를 이용해 인텔리전스 보고서를 연결하는 방법을 다룬다.
5장, ‘데이터 작업’에서는 데이터 사전 생성 절차를 검토하고 위협 사냥에서 데이터 사전이 중요한 이유와 엔드포인트의 데이터를 하나로 모으는 것이 중요한 이유를 검토한다.
6장, ‘공격자 모방’에서는 위협 행위자 모방 계획을 만들고자 CTI를 사용하는 방법과 이를 데이터 주도 접근 방식과 혼합해 사냥을 수행하는 방법을 다룬다.
7장, ‘연구 환경 조성’에서는 다양한 오픈소스 도구를 이용해 연구 환경을 조성하는 방법을 다룬다. 대부분 윈도우 실험 환경을 만들고 데이터 기록을 위한 ELK 인스턴스를 설정한다.
8장, ‘데이터 질의 방법’에서는 운영체제와 사냥 절차에 익숙해지고자 Atomic Red Team을 이용한 최소 단위 사냥을 수행한다. 시스템에서 Quasar RAT를 탐지하는 사냥 수행 방법을 보여주고자 Quasar RAT으로 시스템을 감염시킨다.
9장, ‘공격자 사냥’에서는 Mordor 솔루션을 ELK/HELK 인스턴스와 통합하는 방법을 다룬다. Mordor 프로젝트의 아이디어는 위협 행위자의 행동을 모방한 사전에 기록한 이벤트를 제공하는 것이다. 인텔리전스 기반 사냥의 예로 APT29 ATT&CK 매핑을 사용하고자 Mordor APT29 데이터 세트를 연구 환경에 적용한다. 끝으로 CALDERA를 이용해 자체적으로 설계한 위협을 모방하는 것으로 끝난다.
10장, ‘프로세스 문서화 및 자동화의 중요성’에서는 문서화를 다룬다. 위협 사냥 절차의 마지막 부분에는 문서화, 자동화 및 최신화가 있다. 이 장에서는 위협 사냥 프로그램의 수준을 향상시킬 수 있는 문서화 및 자동화 팁을 다룬다. 자동화는 분석가들이 같은 사냥을 계속 반복해서 수행하는 것으로부터 자유롭게 하는 핵심이지만 모든 것을 자동화할 수 있는 것은 아니며 반드시 해야 하는 것은 아니다.
11장, ‘데이터 품질 평가’에서는 데이터의 수집 및 정제를 유용하게 하는 몇 가지 오픈소스 도구를 활용해 데이터 품질 평가의 중요성을 다룬다.
12장, ‘결과 이해하기’에서는 연구 환경을 벗어난 곳에서 사냥을 할 때 발생할 수 있는 다른 결과와 필요시 질의를 개선하는 방법을 다룬다.
13장, ‘성공을 위한 좋은 지표의 정의’에서는 지표를 다룬다. 좋은 지표는 개별 사냥을 평가하는 데 사용하는 것뿐만 아니라 전체 사냥 프로그램의 성공을 평가하는 데도 사용한다. 이 장에서는 사냥 프로그램을 평가하는 데 사용할 수 있는 지표 목록을 제공한다. 또한 결과 추적을 위한 MaGMa 프레임워크를 살펴본다.
14장, ‘사고 대응 팀의 참여 및 경영진 보고’에서는 결과를 얘기하는 것을 다룬다. 자신의 분야에서 전문가가 되는 것은 훌륭하지만 그 전문적인 일이 어떻게 기업의 투자 대비 수입에 긍정적인 영향을 끼치는지에 대해 잘 얘기할 줄 모른다면 그리 멀리 가지 못할 것이다. 이 장에서는 침입을 얘기하는 방법과 사고 대응 팀의 참여 방법, 상위 관리자에게 결과를 전달하는 방법을 다룬다.
목차
목차
- 1부 - 사이버 위협 인텔리전스
- 01장. 사이버 위협 인텔리전스
- 사이버 위협 인텔리전스
- 전략 등급
- 운영 등급
- 전술 등급
- 인텔리전스 주기
- 계획 및 대상 선정
- 준비 및 수집
- 가공 및 활용
- 분석 및 생산
- 배포 및 통합
- 평가 및 피드백
- 인텔리전스 요구 사항 정의
- 수집 과정
- 침해 지표
- 멀웨어의 이해
- 공공 자원을 이용한 수집: OSINT
- 허니팟
- 멀웨어 분석과 샌드박스
- 가공 및 활용
- Cyber Kill Chain®
- 편향과 분석
- 요약
- 사이버 위협 인텔리전스
- 02장. 위협 사냥
- 기술적인 요구 사항
- 위협 사냥에 대한 소개
- 위협 사냥 유형
- 위협 사냥꾼의 기술
- 고통의 피라미드
- 위협 사냥 성숙도 모델
- 성숙도 모델의 결정
- 위협 사냥 과정
- 위협 사냥 고리
- 위협 사냥 모델
- 데이터 주도 방법론
- TaHiTI: 위협 인텔리전스를 결합한 표적 사냥
- 가설 설정
- 요약
- 03장. 데이터 출처
- 기술적인 요구 사항
- 수집한 데이터 이해
- 운영체제 기본
- 네트워크 기본
- 윈도우 기본 도구
- 윈도우 이벤트 뷰어
- 윈도우 관리 도구(WMI)
- 윈도우용 이벤트 추적(ETW)
- 데이터 출처
- 엔드포인트 데이터
- 네트워크 데이터
- 보안 데이터
- 요약
- 2부 - 공격자 이해하기
- 04장. 공격자 묘사
- 기술적인 요구 사항
- ATT&CK 프레임워크
- 전술, 기술, 하위 기술, 절차
- ATT&CK 매트릭스
- ATT&CK 내비게이터
- ATT&CK로 나타내기
- 자체 테스트
- 정답
- 요약
- 05장. 데이터 작업
- 기술적인 요구 사항
- 데이터 사전 활용
- 오픈소스 보안 이벤트 메타데이터(OSSEM)
- MITRE CAR 활용
- CARET: CAR 이용 도구
- Sigma 사용
- 요약
- 06장. 공격자 모방
- 공격자 모방 계획 수립
- 공격자 모방이란?
- MITRE ATT&CK 모방 계획
- Atomic Red Team
- Mordor
- Caldera
- 기타 도구
- 자체 테스트
- 정답
- 요약
- 공격자 모방 계획 수립
- 3부 - 연구 환경에서의 작업
- 07장. 연구 환경 조성
- 기술적인 요구 사항
- 연구 환경 조성
- VMware ESXI 설치
- VLAN 생성
- 방화벽 설정
- 윈도우 서버 설치
- 윈도우 서버의 도메인 컨트롤러 설정
- 액티브 디렉터리 구조의 이해
- 서버의 도메인 컨트롤러에 상태 부여
- DHCP 서버 설정
- 조직 단위 생성
- 사용자 입력
- 그룹 생성
- 그룹 정책 객체
- 감사 정책 설정
- 새로운 클라이언트 추가
- ELK 설정
- Sysmon 설정
- 인증서 검색
- Winlogbeat 설정
- ELK 인스턴스에서 데이터 찾기
- 보너스: ELK 인스턴스에 Mordor 데이터 세트 추가
- HELK: 로베르토 로드리게스의 오픈소스 도구
- HELK 시작
- 요약
- 08장. 데이터 질의 방법
- 기술적인 요구 사항
- Atomic Red Team을 이용한 원자적 사냥
- Atomic Red Team 테스트 주기
- 최초 침투 테스트
- 실행 테스트
- 지속성 유지 테스트
- 권한 상승 테스트
- 방어 우회 테스트
- 탐색 테스트
- 명령 및 제어 테스트
- Invoke-AtomicRedTeam
- Quasar RAT
- Quasar RAT 실제 사용 사례
- Quasar RAT 실행 및 탐지
- 지속성 유지 테스트
- 자격증명 접근 테스트
- 시스템 내부 이동 테스트
- 요약
- 09장. 공격자 사냥
- 기술적인 요구 사항
- MITRE 평가
- HELK에 APT29 데이터 세트 불러오기
- APT29 사냥
- MITRE CALDERA 활용
- CALDERA 설치
- CALDERA로 모방 계획 실행
- Sigma 규칙
- 요약
- 10장. 프로세스 문서화 및 자동화의 중요성
- 문서화의 중요성
- 훌륭한 문서 작성의 핵심
- 사냥 문서화
- 위협 사냥꾼 플레이북
- 주피터 노트북
- 사냥 절차 최신화
- 자동화의 중요성
- 요약
- 문서화의 중요성
- 4부 - 성공하기 위한 의사소통
- 11장. 데이터 품질 평가
- 기술적인 요구 사항
- 고품질 데이터와 불량 데이터의 구별
- 데이터 측정 기준
- 데이터 품질 향상
- OSSEM Power-up
- DeTT&CT
- Sysmon-Modular
- 요약
- 12장. 결과 이해하기
- 사냥 결과의 이해
- 좋은 분석 정보 선택의 중요성
- 자체 테스트
- 정답
- 요약
- 13장. 성공을 위한 좋은 지표의 정의
- 기술적인 요구 사항
- 좋은 지표 정의의 중요성
- 사냥 프로그램의 성공 여부를 확인하는 방법
- 위협 사냥에 MaGMA 사용
- 요약
- 14장. 사고 대응 팀의 참여 및 경영진 보고
- 사고 대응 팀의 참여
- 위협 사냥 프로그램의 성공에 대한 의사소통의 영향
- 자체 테스트
- 정답
- 요약
- 부록 A 위협 사냥의 현재