[FCF] Threat Landscape - Module 2 : The Threat Landscape (위협 환경)

A. 위협 환경

1. 위협 환경(Threat Landscape)이란? 

위협 환경은 특정 컨텍스트 또는 도메인의 위협 모음이며 위협의 가해자, 즉 악의적인 행위자(Bad Actors)에 대한 정보를 포함합니다. 사이버 보안의 맥락에서 위협 환경에는 컴퓨터 네트워크에 대한 알려진 위협과 가능한 모든 위협이 포함됩니다. 새로운 기술과 방법의 도입은 진화하는 새로운 위협이 지속적으로 발생하는 역동적인 환경을 보장합니다.
 

B. 악의적인 행위자

1. 악의적인 행위자(Bad Actors)란? 

위협 행위자라고도 알려진 악의적인 행위자는 귀하가 컴퓨터 시스템을 사용하거나 귀하가 사용할 권한이 있고 컴퓨팅 장치에 저장되어 있거나 컴퓨팅 장치 간에 전송 중인 정보에 액세스하는 것을 훔치거나, 방해하거나, 막으려는 사람입니다. 범죄 행위에는 수많은 동기가 있을 수 있으며 이러한 다양한 동기는 공격 방법에 영향을 미칠 뿐만 아니라 성격과 신념에 대한 통찰력을 제공합니다. 악의적인 행위자는 성격, 동기, 사용하는 일반적인 공격 방법에 따라 유형으로 그룹화될 수 있습니다. 악의적인 행위자는 동질적인 집단이 아니라는 점을 기억하는 것이 중요합니다.  또한, 악의적인 행위자는 어디에 있는 누구라도 될 수 있습니다.
 

2. 악의적인 행위자의 유형 

2-1. 탐험가 (Explorers)

- 위협 행위자 유형 중 가장 덜 사악 악명은 가장 큰 동기 부여 요인.
- 피싱을 자주 사용함.
- 피싱 공격의 구성 요소는 1. 신뢰 또는 무해한 이미지 2. 수신자를 긴급 상황에 처하도록 만들기.
- 피싱과 그 변종은 탐험가에게만 국한되지 않으며 다른 악의적인 행위자 유형이 자신의 목적을 위해 이를 사용.

2-2. 핵티비스트 (Hacktivists)

- 이데올로기에 의해 동기가 부여되거나 감정적인 힘에 의해 활력을 얻음.
- 적에 맞서 공동의 목적을 위해 집던적으로 행동하도록 유도.
- 일반적으로 봇넷을 구축하고 봇넷을 만들기 위해 C&C 서버를 설정.
   이는 봇넷 노드의 중앙 조정 지점 악성코드를 제작하여 DDoS 공격 실행.

2-3. 사이버 테러리스트 (Cyber Terrorist)

- 핵비스트와 비슷하게 이데올로기에 의해 동기가 부여되지만 사이버 테러리스는 더 많은 범위를 대상으로함.
- 핵비스트는 적을 처벌하는 데 만족하지만 사이버 테러리스트는 컴퓨터나 통신 네트워크를 파괴하거나 방해해 사회에 위협을 가함.
- 핵비스트는 분열되어 있지만 사이버 테러리스트는 응집되어 활동함.
- 스피어 피싱을 가장 선호함. 많은 권한을 가진 사람을 식별 후 이들을 대상으로 삼음.

2-4. 사이버 범죄자 (Cyber Crimal)

- 자기중심적인 동기.
- 단순히 돈을 원함 신원 또는 신용카드 도용, 랜섬웨어를 조합해 목표를 달성.

2-5. 사이버 전사 (Cyber Worrior)

- 이기심이 가장 적지만 국가의 자원을 마음대로 사용할 수 있기 때문에 가장 위험.
- 본국의 국익에 따라 움직이며 줄은지 나쁜지 중립적인지는 그 때마다 다름.
- 이들의 방법은 방대하고 때로는 비밀스러움.
- 그들의 임무에는 한편으로는 간첩, 강탈, 당혹감을 포함하고 다른 한편으로는 표적 사이버 무기를 사용하여 중요한 인프라를 방해, 손상 또는 파괴하는 것까지 포함.
- 일반적인 운영 체제와 애플리케이션에서 패치되지 않은 취약점을 활용하는 것을 좋아하는데 이를 제로데이 공격이라고 함.
- 일반적인 운영 체제와 응용 프로그램에 대해 집중적인 연구를 수행하여 적의 컴퓨터 시스템을 공격하는 데 사용할 수 있는 약점, 버그 및 기타 동작을 찾아냄.

때로는 한 그룹에 여러 가지 동기가 있거나 둘 이상의 나쁜 행위자 유형이 있을 수 있다. 예를 들어, 사이버 범죄자와 사이버 테러리스트 또는 사이버 전사가 공격에 협력하거나 동일한 그룹 내에 존재하는 것은 이상한 일이 아니다.  

 

3. 해커의 유형 

다양한 유형의 악의적인 행위자가 있는 것처럼 해커에도 다양한 범주가 있다. 주요 카테고리는 흰색 모자, 검은색 모자, 회색 모자, 파란색 모자이다.

3-1. 화이트

적절한 권한을 가지고 네트워크를 조사하여 취약점을 식별하는 윤리적인 해커.

3-2. 블랙

이익을 위해 또는 해를 입히기 위해 네트워크를 공격하는 해커.

3-3. 그레이

합법적이고 윤리적인 행위에 반하여 네트워크를 공격하는 해커이지만, 블랙햇 해커와 같은 악의적인 의도를 갖고 있지는 않는다. 이 범주는 탐험가 나쁜 행위자와 가장 밀접하게 일치.

3-4. 파란색

흰색 모자의 변형 시스템 출시전에 취약점을 탐지하고 해결하려는 목적. 시스템 침투 테스트를 위해 고용된 외부 컴퓨터 보안 컨설팅 회사를 의미

 

C. 사이버 보안 위협 개요

1. 사이버 보안 위협(Cyber Security Threat)이란?

네트워크나 컴퓨터 시스템에 해를 끼치는 취약점을 이용하는 행위로 악의적인 행위자는 사아버 보안 위협의 선동자이다. 그들은 목표를 달성하기 위해 다양한 공격 벡터를 이용 사이버 보안 위협은 공격벡터의 하위 집합입니다.

 

공격벡터의 3가지 구성요소

- 취약점
- 취약점을 악용하는 메커니즘 또는 개체
- 취약점에 대한 경로

 

2. 사이버보안 위협의 4가지 범주

2-1. 사회 공학(Social Engineering)

심리적 조작을 사용하여 사람들을 속여 기밀 정보 공개와 같이 자신의 최선의 이익에 반하는 행동을 취하도록 하는 행위입니다. 

2-2. 악성 소프트웨어(Malware)

컴퓨터 시스템을 방해하거나 손상시키거나 무단으로 액세스하도록 설계된 소프트웨어입니다.

2-3. 물리적 장소나 컴퓨터 시스템에 대한 무단 액세스

승인되지 않은 물리적 접근은 승인된 사람이 문을 통과 할 때 따라가는 악의적 행위자가 될 수 있습니다. 이를 테일게이팅이라고 합니다. 승인되지 않은 디지털 액세스는 누군가가 자격 증명을 입력할 때 어깨 너머로 지켜보는 악의적인 행위자가 될 수 있습니다.

2-4. 시스템 설계 오류

악의적인 행위자가 컴퓨터 시스템에 액세스하기 위해 악용하는 컴퓨터 시스템이나 응용 프로그램의 보안 결함. 피싱(스피어피싱, 웨일피싱)과 같은 일부 공격 벡터는 약점을 악용하여 컴퓨터 시스템에 발판을 마련하는 데 사용되는 반면, DDoS, 랜섬웨어, 트로이 목마와 같은 다른 공격 벡터는 악용 후 공격에 사용됩니다.

 

D. 위협 인텔리전스 (Threat Inteligent) 개요

1. 위협 인텔리전스 (Threat Inteligent)이란? 

해당 위협이나 위험에 대한 주체의 대응에 관한 결정을 알리는 데 사용할수 있는 지식입니다.
이는 자산에 대한 기존 또는 새로운 위협이나 위험에 대한 상황, 메커니즘, 지표, 영향 및 실행 가능한 조언을 포함합니다.

2. 위협 인텔리전스의 3가지 특성

1. 관련성이 있고 실행 가능하며 상황에 맞는 정보입니다.
2. 내가 속해있는 조직과 관련이 있어야합니다.
-> 내가 속해 있는 조직에서 Win OS만을 사용한다 했을때 Mac OS관련 정보는 관련이 없습니다.
3. 실행 가능해야 합니다.

3. 위협 인테리전스 정보 소스

3-1. 내부소스

위협 인텔리전스는 외부 소스와 내부 소스 모두 무수히 많다. 위협 인텔리전스의 내부 소스는 조직의 자체 IT 보안팀이 수집한 정보로 서버 로그, 네트워크 장치 로그, 과거 사고 보고서, 캡처된 네트워크 트래픽, 침투 테스트 결과 등을 말합니다. 

3-2. 외부소스

외부적으로 위협 인텔리전스는 다양한 소스에서 나올 수 있으며 정보는 무료인 경우가 많습니다. 위협 인텔리전스의 일부 외부 소스는 국토안보부, FBI, 미국 국립표준기술연구소(NIST)와 같은 정부 사이트 일반적으로 개별 맬웨어에 대한 구체적인 정보를 제공하지는 않지만 랜섬웨어 등의 공격으로부터 자신을 보호하는 방법에 대한 유용한 조언, 최신 사기 및 공격 방법에 대한 정보를 제공합니다. 

3-3. CvSS

CvSS(Common Vulnerability Scoring System)도 있습니다. CVSS는 컴퓨터 시스템 취약성을 평가하는 데 사용되는 무료 개방형 산업 표준입니다. CVSS 평가는 심각도를 평가하기 위해 숫자 점수를 생성합니다. 취약성을 0에서 10까지(10이 가장 심각한 수준) 등급으로 평가하는 점수는 다양한 측정항목 세트를 사용하여 계산됩니다. 지표에는 취약점이 얼마나 악용될 수 있는지, 취약점이 시스템에 미치는 영향, 캠페인이 진행됨에 따라 새로운 악용에 대한 완화 노력이 얼마나 효과적인지 등의 요소가 포함됩니다.

3-4. MITRE ATT&CK

사이버 위험 인텔리전스에 대한 또 다른 귀중한 공개 소스는 MITRE ATT&CK입니다. MITRE ATT&CK는 적의 전술과 기술에 대한 지식 기반을 자유롭게 공유합니다. 

 

4. 위협 인텔리전스 공유

Maltego 및 MISP 프로젝트와 같은 오픈 소스 인텔리전스를 포함한 위험 인텔리전스 서비스 및 도구도 있습니다. 사이버 인텔리전스 커뮤니티가 이해할 수 있는 언어로 사이버 위협을 공유하고 설명하는 데 도입이 되는 몇 가지 인정된 표준도 있습니다. 한 가지 표준은 STIX(구조적 위협 정보 표현)라고 합니다. 또 다른 방법은 TAXII (신뢰할 수 있는 지표 정보 교환)입니다.

4-1. STIX

STIX는 사이버 위협 정보를 표현하기 위해 구조화된 언어를 정의하고 개발하기 위한 커뮤니티 중심의 공동 노력으로 정의됩니다. 이는 악의적인 행위자, 발생한 사건, 침해 지표(IoC), 공격 수행에 사용된 전술 및 익스플로잇에 대한 정보를 제공합니다. STIX는 또한 보고되는 사고를 완화하기 위한 조치를 권장합니다.

4-2. TAXII

TAXII는 HTTPS를 통해 CTI(사이버 위협 인텔리전스)를 교환하기 위한 애플리케이션 프로토콜입니다. 이는 RESTful API와 TAXII 클라이언트 및 서버에 대한 요구 사항 집합을 정의합니다. 표준화된 서비스, 메시지 및 메시지 교환을 사용함으로써 TAXII 는 맞춤형 지점 간 교환 구현의 필요성을 없애고 중요한 CTI 공유를 촉진합니다. TAXII 클라이언트인 조직은 정보를 요청하고 새로운 위협 인텔리전스를 TAXII 서버에 게시한 다음 다른 가입자와 공유할 수 있습니다.

 

5. 위협 인텔리전스 변환 프로세스

1. 네트워크에 대한 주요 위협을 식별
->  중지해야 할 가장 중요한 위협
-> 사이버 위협의 양은 끝이 없기 때문에 이를 모두 막는 것은 불가능
2. 내부 및 외부 소스로부터 위협 정보를 수집
3. 정보를 처리
4. 정보를 분석하고 손상 지표(loC)를 찾기
5. 새로운 정보와 함께 귀하의 분석을 친구와 파트너에게 전파
6. 그과정에서 배운 교훈을 실천

 

E. 프레임워크

1. 프레임워크 개요

사이버 공격을 더 잘 이해하고 방어하기 위해 사이버 공격을 분류하고 분석하기 위해 개발된 공격의 다양한 단계를 식별, 다양한 전술, 영향 예방 및 대응 전략을 개발하기 위한 구조를 제공합니다. 

2. APT(Advanced Persistent Threat)

컴퓨터 네트워크를 체계적으로 공격하기 전에 장기간의 감시 및 계획이 필요할 수 있는 유형의 공격

 

F. 사이버 킬 체인(Cyber Kill Chain) 개요

1. 사이버 킬 체인(Cyber Kill Chain)

사이버 킬 체인(Cyber Kill Chain)은 초기 정찰부터 공격 무기화까지 사이버 공격의 단계를 설명하는 7단계 모델입니다. 

첫 번째 단계는 공격자가 대상과 해당 취약점에 대한 정보를 수집하는 정찰 단계입니다.
-> 검색 엔진, 소셜 미디어 및 기타 오픈 소스와 같은 도구를 사용하여 대상 조직과 해당 시스템에 대한 정보를 수집하는 것이 포함될 수 있습니다.

두 번째 단계는 공격자가 표적에 전달할 수 있는 페이로드나 익스플로잇을 생성하는 무기화 단계입니다.
-> 여기에는 바이러스나 트로이 목마와 같은 맬웨어나 기타 악성 코드를 생성하고 이를 감지하기 어려운 방식으로 패키징 하는 것이 포함될 수 있습니다.

세 번째 단계는 공격자가 페이로드를 대상으로 전달하는 전달 단계입니다.
-> 악성 첨부 파일이 포함된 이메일을 보내거나 웹 사이트의 취약점을 악용하여 대상 시스템에 페이로드를 주입하는 것이 포함될 수 있습니다.

네 번째 단계는 공격이 페이로드를 사용하여 대상의 시스템이나 데이터에 액세스 하는 공격 단계입니다.
-> 대상 소프트웨어나 운영 체제의 취약점을 악용하기 위해 페이로드를 실행하거나 페이로드를 사용하여 대상 네트워크에 액세스 하는 것이 포함될 수 있습니다.

다섯 번째 단계는 공격자가 대상 시스템 내에 거점을 구축하는 설치 단계입니다.
-> 여기에는 공격자가 초기 페이로드가 감지되어 제거되더라도 대상 시스템에 대한 액세스를 유지할 수 있도록 허용하는 루트킷이나 기타 악성 소프트웨어를 설치하는 것이 포함될 수 있습니다.

여섯 번째 단계는 공격자가 손상된 시스템과 통신 수단을 설정하는 명령 및 제어 단계입니다.
-> 여기에는 명령 및 제어 서버를 설정하거나 다른 방법을 사용하여 손상된 시스템과 원격으로 통신하는 것이 포함될 수 있습니다.

마지막 단계는 공격자가 공격 목표였던 데이터나 기타 자산을 추출하는 추출 단계입니다.
-> 민감한 데이터를 원격 위치로 복사하거나 손상된 시스템을 사용하여 다른 대상에 대한 추가 공격을 시작하는 것이 포함될 수 있습니다.

 

2. 사이버 킬 체인의 단점

효율성을 감소시키는 몇 가지 가정을 합니다. 사이버 킬 체인의 주요 단점 중 하나는 공격의 출처가 네트워크 외부에 있다고 가정한다는 것입니다.

킬 체인 방법론은 전통적인 방어 방식을 강화하는 것을 목표로 합니다. 부분적으로 사이버 킬 체인의 제한으로 인해 다른 사이버 공격 프레임워크가 등장했습니다.

 

G. MITRE ATT&CK 매트릭스 개요

1. MITRE 개요

MITRE는 사이버 공격을 이해하고 완화하기 위한 공통 언어와 접근 방식을 제공하는 끊임없이 발전하는 리소스입니다.

매트릭스는 공격자가 시스템을 손상시키고 정보를 훔치거나 조작하기 위해 사용하는 특정 전술과 방법을 설명하는 일련의 "기술"로 구성됩니다. 이러한 기술은 "초기 액세스", "실행" 및 "방어 회피"와 같이 수행되는 공격 또는 활동 유형에 따라 범주로 그룹화됩니다.

 

2. MITRE ATT&CK 매트릭스의 주요 이점

사이버 위협을 논의하고 분석하기 위한 공통 언어와 프레임워크를 제공한다는 것입니다. 이를 통해 조직은 공격을 보다 효과적으로 예방하고 대응하기 위한 노력을 전달하고 조정할 수 있습니다. 또한 매트릭스는 조직이 가장 중요한 위협과 취약점을 적절한 기술과 범주에 매핑하여 식별하고 우선순위를 지정하는 데 도움이 됩니다.

매트릭스는 공격자가 사용하는 전술, 기술 및 절차(TTP)에 대한 포괄적인 개요를 제공하므로 보안 전문가에게 귀중한 리소스이기도 합니다. 이를 통해 보안 팀은 공격자의 방법과 동기를 더 잘 이해하고 공격을 보다 효과적으로 예방하거나 완화하기 위한 대응책을 설계 및 구현할 수 있습니다.