[칼럼] 미션: 공격이 시작되기 전 차단하라 – 시스코 엄브렐러 인베스티게이트(Umbrella Investigate)
DNS와 시스코 엄브렐러 인베스티케이트(Umbrella Investigate)
DNS(Domain Name System)는 인터넷의 기반이 되는 구성 요소이며도메인 이름을IP주소에 매핑하는 역할을 합니다.링크를 클릭하거나URL을 입력할 경우, DNS요청이 디바이스를 인터넷에 연결할 수 있도록 디딤돌 역할을 하게 됩니다.인터넷 사용에 있어서 중요한 위치를 차지하는 이DNS인프라를 기반으로 시스코의Umbrella는 인터넷을 안전하게 사용할 수있도록 지원하는 역할을 하죠.
Umbrella가DNS요청을 수신하면 인텔리전스를 사용하여 해당 요청이 안전한지,악의적인지,또는 위험한지 구별하며 안전한 요청은 정상적으로 라우팅되고 악의적인 요청은 차단합니다.이렇게DNS기반의 시스코Umbrella서비스는인터넷 경계선상에서 사용자가 어디로 이동하더라도 인터넷의 위협으로부터 사용자를 보호하는1차 방어선의 역할을 담당합니다.시스코의Umbrella역할은 크게 두 가지로 구분되는데요,먼저 앞서 설명한DNS를 통해 안전한 인터넷 사용을 할 수 있도록 해 주는 부분과 다른 하나는수집된 방대한 데이터를 가지고 조사 및 대응을 할 수 있도록 도와주는 것입니다.
이번에 소개드릴 이야기는 바로 엄브렐러 인베스티게이트서비스(Umbrella Investigate, 이하 Investigate)입니다. 시스코의 Investigate는 보안팀이 공격자의 인프라를 가장 완벽하게 파악하고, 악성 도메인, IP 및 파일 해시를 발견해서 빠르게 위협을 예측할 수 있도록 도와줍니다. 즉, 인터넷 활동 패턴을 분석하고 학습하여 공격 인프라를 자동으로 탐지하고 사용자가악의적 사이트로 유인되기 전 요청을 차단하여 피싱 및 악성코드의 감염을 막는 것이죠. Investigate는 이렇게 방대한 데이터에 접근하여 공격 및 사고 조사 및 위협 조사 목적으로 유용하게 활용될 수 있습니다.
공격이 시작되기 전 차단하라
시스코가 제공하는 DNS 서비스의 Umbrella 글로벌 네트워크는 160개 이상의 국가에서 매일 전 세계 수백만 명의 사용자가 전송하는 수십억 개의 인터넷 요청을 처리합니다. 대량 데이터를 분석하여 패턴을 탐지하고 공격자 인프라를 식별합니다. 실시간으로 이 모든 인터넷 활동 데이터를 지속적으로 통계 및 머신러닝 모델을 통해 다각도로 위협 요소를 찾아내어 사전에 공격이 시작되기 전 위협을 감지할 수 있습니다.
어떻게 DNS만으로 이런 것이 가능하냐고요? 그것은 DNS 가 수행하는 도메인 쿼리에는 수많은 데이터 정보, 즉 IP, ASN, 도메인의 후이즈(whois) 정보를 통한 국가, 등록자 이메일, 주소, 등록기관 등이 있기 때문입니다. 또한 Umbrella는 초당 발생하는 실시간 이벤트에 대해서 지속적으로 다양한 분석 모델을 적용하여 자동으로 도메인을 분류하고 도메인 스코어 및 IP를 판단하게 됩니다.
시스코는 지속적으로 다양한 분석 모델을 개발하여 효과적이면서도 정확하게 탐지해 낼 수 있는 방법을 적용하고 있습니다. 예를 들어, 악성코드에서 자동으로 도메인을 생성해 내는 기법이 있는데 기존에 알려져 있는 C&C (Command & Control) 도메인과 DGA 알고리즘과 악성코드의 설정 정보를 통한 분석으로, 앞으로 사용될 도메인을 예측하고 요청하는 도메인을 지속적으로 관찰하게 됩니다. 실 예로, 랜섬웨어 유형 중의 하나인 Locky 가 사용하려는 정보를 사전 예측하여 악성 도메인이 등록되기 전 탐지하거나 도메인이 등록된 같은 날 탐지한 경우도 있습니다. 이것은 악성코드가 실제로 활동하여 전파에 사용되기 이전부터 차단이 가능한 사례였습니다.
여러분들이 요청하는 것은 단순히 도메인 그 정보 자체였을지 모르지만, 실제로 Umbrella에는 해당 도메인과 연관된 다양한 정보가 분석에 활용됩니다. Umbrella에 축적된 정보는 Investigate를 통해 분석 및 사고 대응/조사하는데 이용됩니다.
위협 인텔리전스, 어떤 도움을 줄 수 있을까요?
Investigate가 제공하는 상세한 위협 정보에는 인터넷 전반의 도메인, IP, 파일 해시, 네트워크에 대한 위협 인텔리전스가 포함되어 있습니다. 방대한 데이터를 통해 악성코드와 연관되거나 또는 위협에 활용되는 도메인 정보는 콘솔 또는 API를 통해 접근할 수 있고, 나아가 사고 조사 또는 기존 에 운영 중인 보안 인프라에 정보성을 강화하는 활용할 수 있습니다. 지금까지 소개 드린 Umbrella Investigate의 장점은 다음과 같습니다:
·글로벌 인터넷 전반의 가시성인터넷과 도메인, IP, 네트워크, 악성코드의 관계 및 연관된 정보를 쉽게 확인할 수 있습니다.
·신속한 사고 조사보안 사고 발생 시 관련 정보를 빠르게 확인 및 추적할 수 있습니다.
·인텔리전스 활용글로벌 상황 정보 및 예측 인텔리전스를 활용하여 사고 대응의 우선순위를 정하고 공격에 미리 대비합니다.
·운영 중인 시스템의 보안성 향상RESTful API를 통해 다양한 데이터 집합에 대한 조회 및 SIEM 솔루션과의 연동을 통해 보안성을 더욱 향상시킬 수 있습니다.
내부에서 사용하는 분석 시스템에서 발견된 도메인이나 IP, 파일의 해시 정보 등에 대해서 검색하여 위협 연관성은 없는지, 모니터링 과정에서 발견된 수상한 IP 의 과거 행적들은 무엇이 있었는지, SIEM에서 수집된 정보에 추가적인 데이터 보완이 필요하다면 Investigate는 이러한 요구에 적합한 솔루션이 될 것입니다.
클라우드 보안 플랫폼 Umbrella Investigate에서 제공하는 위협 인텔리전스 정보에 대해 소개드렸는데요, 다음 동영상을 통해서 보다 상세한 내용은 비디오 또는 웨비나를 통해 알아보실 수 있습니다. Umbrella 서비스 관련 상담은 이곳을 방문해주세요.
| 시스코 전문가 칼럼으로
최신 IT 트렌드를 알아보세요! |
이 글은 정관진 보안솔루션 스페셜리스트가 작성한 칼럼입니다. |
Tags:
