위협 헌팅은 사전 예방적 방법론, 혁신적인 기술, 위협 인텔리전스를 결합하여 악성 활동을 찾아 차단하는 보안 기능입니다.

사이버 보안에 대해 더 사전 예방적인 접근 방식을 취할 준비가 된 기업(공격이 더욱 심해지기 전에 차단하려고 시도하는 기업)의 경우, 보안 프로그램에 위협 헌팅을 추가하는 것이 논리적인 다음 단계입니다.

조직에서 공격적인 태세를 취하려면 먼저 현재 알려진 불가피한 멀웨어 공격을 완화하기 위한 엔드포인트 보안 및 사고 대응 전략을 강화해야 합니다. 조직은 깊이 파고들어 아직 탐지되지 않은 위협을 찾아낼 준비가 되어 있으며, 이것이 바로 위협 헌팅의 목적입니다.

위협 헌팅은 “침해에 대한 가정”을 전제로 작동하는 공격적인 전략입니다. 이 방식은 공격자가 이미 조직의 네트워크 내부에 있으며 조직 전체를 은밀하게 모니터링하고 이동하고 있다고 가정합니다. 믿기지 않겠지만 공격자를 탐지할 자동화된 방어 수단이 없다면 실제로 공격자가 며칠, 몇 주, 심지어 몇 개월 동안 네트워크 내에 머무르면서 APT(지능형 지속 공격) 등의 다양한 공격을 준비하고 실행할 수 있습니다. 위협 헌팅은 은밀한 IOC(침해 지표)를 찾아 이러한 공격을 중단하므로 공격이 목표를 달성하기 전에 완화할 수 있습니다.

위협 헌팅의 목표는 네트워크 전반의 일상적인 활동과 트래픽을 모니터링하고 잠재적인 이상 현상을 조사하여 전면적인 침해로 이어질 수 있지만 아직 발견되지 않은 악성 활동을 찾아내는 것입니다. 이러한 수준의 조기 탐지를 달성하기 위해 위협 헌팅에는 다음과 같은 4가지 중요한 구성 요소가 결합됩니다.

방법론. 위협 헌팅에 성공하기 위해 기업은 지속적으로 진화하고 사전 예방적이며 상시 운영되는 접근 방식을 취해야 합니다. 사후 대응적이고 임시 방편이며 “시간이 있을 때” 취하는 방식은 문제를 오히려 키우며 최소한의 결과만 얻을 수 있습니다.

기술. 대부분의 기업은 이미 자동화된 탐지 기능을 갖춘 포괄적인 엔드포인트 보안 솔루션을 보유하고 있습니다. 위협 헌팅은 이러한 솔루션에 추가적으로 작동하며 시스템과 파일에 있어서는 안 되는 이상 현상, 비정상적인 패턴 및 기타 공격자의 흔적을 찾기 위한 고급 기술을 추가합니다. 빅데이터 분석을 활용하는 새로운 클라우드 네이티브 EPP(엔드포인트 보호 플랫폼)는 필터링되지 않은 대량의 엔드포인트 데이터를 캡처하고 분석할 수 있으며, 이와 동시에 행동 분석과 인공 지능이 처음에는 정상으로 보였던 악성 동작에 대한 광범위하고 신속한 가시성을 제공합니다.

고도로 숙련된 전담 직원. 위협 헌터, 즉 사이버 보안 위협 분석가는 독보적인 존재입니다. 이 전문가들은 앞서 언급한 보안 기술을 사용하는 방법을 알고 있을 뿐만 아니라 공격적인 태세에 대한 끊임없는 열망과 직관적인 문제 해결 포렌식 능력을 함께 갖추어 숨겨진 위협을 발견하고 완화합니다.

위협 인텔리전스. 전 세계 전문가들이 만든 증거 기반 글로벌 인텔리전스에 액세스하면 이미 존재하는 IOC에 대한 헌팅을 더욱 개선하고 앞당길 수 있습니다. 헌터는 멀웨어 및 위협 그룹 식별을 위한 공격 분류 등의 정보뿐 아니라 악성 IOC를 추적하는 데 도움이 되는 지능형 위협 지표를 활용합니다.

Crowd Research Partners의 2018 Threat Hunting Report 연구 결과는 이러한 위협 헌팅 기능의 중요성을 입증합니다. 가장 중요한 기능의 순위를 묻는 설문 조사 질문에 응답자들은 다음과 같이 답했습니다.

69%는 위협 인텔리전스라고 답했습니다.

57%는 행동 분석이라고 답했습니다.

56%는 자동 탐지라고 답했습니다.

54%는 머신 러닝 및 자동화된 분석이라고 답했습니다.

위협 헌터는 기업의 존재조차 모를 수 있는 취약점을 통해 환경에 잠입한 공격자를 찾습니다. 이러한 공격자는 정찰을 계획하고 수행하는 데 상당한 시간을 할애하며, 예고 없이 네트워크에 성공적으로 침투할 수 있음을 확인한 경우에만 행동합니다. 또한 아직 알려지지 않은 멀웨어를 심고 빌드하거나 멀웨어를 전혀 사용하지 않는 기술을 사용하여 공격을 시작할 지속적인 기반을 구축합니다.

그렇다면 가장 스마트한 공격자를 제압하려면 무엇이 필요할까요?

사이버 위협 헌터는 끈질기게 행동하며 사이버 공격자가 남긴 아주 사소한 흔적까지도 발견합니다.

위협 헌터는 고도로 조정된 기술을 통해 공격자가 시스템 또는 파일 내부로 이동할 때 발생하는 사소한 변화를 추적합니다.

최고의 위협 헌터는 자신의 직감을 믿고 악의적인 공격자의 은밀한 움직임을 찾아냅니다.