SecureX와 함께 보안 업무에 단순성, 가시성, 효율성을 높이는 방법
SecureX가 정식으로 출시되었고 관련해 많은 기대와 관심이 집중되고 있습니다.
이 블로그에서는 SecureX가 어떻게 복잡하고 어려운 보안업계의 고민을 해결하고 구체적인 사용 사례로 어떻게 단순성, 가시성, 효율성을 제공하는지 설명하겠습니다.
기업의 보안팀은 비즈니스에 영향을 미치는 사이버/멀웨어 위협을 파악해야합니다. 또 현재 적용된 보안 기술을 이용해 과거 위협사례를 분석하고 현재 확인된 위협을 알고 싶어합니다. 이를 위해 시스코 보안 솔루션을 사용중인 고객이라면 무료로 SecureX를 바로 활용 할 수 있습니다.
SecureX로 위협 추적하기
이제 사례로 보여드릴 보안 업무의 배경에 대해 말씀드리겠습니다.
얼마 전 특정 오스트레일리아 정부 기관이 정교한 사이버 범죄의 표적이 된 사건이 있었습니다. 오스트레일리아 사이버 보안 센터(ACSC)는 이 사건에 일명 ‘복사-붙여넣기 침해(Copy-Paste Compromises)’라는 이름을 붙였고 자세한 TTP(전술, 기술, 절차)에 대한 링크가 포함된 요약을 공개했습니다. 또한, ACSC는 진화하는 IOC(보안 침해 지표) 목록을 공개하고 관리하고 있으며 이는 여기에서 확인할 수 있습니다. ACSC는 침해를 완화하기 위해서는 인터넷에 연결된 모든 시스템을 신속히 패치하고 모든 원격 액세스 서비스에서 다중 인증(MFA)을 사용하는 것을 우선시 해야 한다고 권고합니다. 나머지 ASD Essential Eight 컨트롤도 구현해야 한다고 권고했습니다. Cisco Security는 대규모로 지능적 위협 보호와 완화를 제공할 수 있는 기술로 구성된 종합적 포트폴리오를 보유하고 있습니다.
위와 같이 새로운 위협이 발견된 상황에서, 보안팀은 먼저 위협이 환경에 어떤 영향을 미치는지 알고 싶을 것입니다. 또한 우리 회사에 이런 위협의 표적이 되었을 지, 악성 파일이 있거나 도메인/URL에 연결된 엔드포인트가 있는지, 지금 어떤 조치를 취해야 할지 확인해야 합니다.
오늘 예시로 든 ‘복사-붙여넣기 침해(Copy-Paste Compromises)’는 개념 증명(PoC) 익스플로잇 코드, 웹 쉘, 오픈 소스에서 거의 동일하게 복사한 기타 도구를 대량으로 사용하기 때문에 붙은 이름입니다.
이 예시는 다른 멀웨어/사이버 캠페인으로 바꿔 생각할 수도 있습니다. 위협 정보는 시스코 탈로스(TALOS)와 같은 위협 인텔리전스와, 커뮤니티의 블로그에서 TTP와 특히 IOC에 대한 설명을 추가로 확인하실 수 있습니다.
1단계 – 위협 추적 & 대응
첫번째 단계에서는 공개된 csv에서 모든 IOC를 복사하고 SecureX 리본에 있는 고급 검색창에 입력합니다. 여기에서 SecureX 위협 대응을 사용하여 테스트 파일에서 관찰 정보(예: 도메인, IP, URL, 파일 해시)를 파싱하고 각 관찰 정보에 성격을 할당합니다.
102개 관찰 정보가 각각 정상(3), 악성(59), 의심스러움(1), 알 수 없음(39)으로 태그되었습니다. 알 수 없음은 그중에서도 더욱 우려해야 할 항목입니다. 악성 관찰 정보와 의심스러운 관찰 정보는 위협 피드가 보안 컨트롤에 따라 작동하고 있다면 차단되었을 것이기 때문입니다. 그러나 환경에서 관찰된 값이 정상이 아니라면 조사해볼 만한 가치가 있습니다. 이 사이버 공격이 진화함에 따라 ACSC도 목록에 새로운 관찰 정보를 지속적으로 추가할 것입니다. 이를 통해 오늘날 사이버 공격이 얼마나 실시간으로 움직이는지, 정보를 미리 알고 있는 것이 얼마나 중요한지 알 수 있습니다. 이 1단계 작업은, 잠시 후 소개할 2단계의 워크플로우를 사용하여 모두 자동화할 수 있습니다.
그림 1: SecureX 대시보드 텍스트의 관찰 정보
이제 해당 위협 관찰 정보가 있는지 확인해보고 타겟을 찾아보겠습니다. ‘텍스트의 관찰 정보’ 팝업의 ‘위협 대응에서 조사’ 피봇 메뉴 옵션을 클릭하면 됩니다. 그러면 모든 관찰 정보를 SecureX 위협 대응으로 가져오고, 여러분의 환경에서 통합 보안 컨트롤(모듈)이 쿼리됩니다.
제 경우에는 Umbrella와 AMP를 포함한 5개 모듈에 응답이 있었습니다. 제 환경의 로컬 및 글로벌 수준에서 이전에 위협 관측 결과를 신속히 확인할 수 있습니다.
그림 2: SecureX 위협 대응을 사용한 위협 헌팅
위의 스크린샷에서 눈여겨보아야 할 점이 몇 가지 있습니다. 상단의 수평 막대를 기준으로 ACSC의 102개 관찰 정보가 9개 영역, 31개 파일 해시, 44개 IP 주소, 6개 URL 및 이메일 주소로 나뉩니다. 메뉴를 펼쳐서 각각의 성격을 확인할 수 있습니다.
위협 관측 섹션(상단 오른쪽)에는 전체적인 위협 관측에 대한 타임라인 스냅샷이 표시되고, 특히 지난 몇 주간에 걸쳐 발견된 제 환경 내의 로컬 관찰 정보 262개가 표시됩니다. 상단 오른쪽에서 주목할 정보는 타겟이 3개라는 점입니다. 즉, 조사 과정에서 우리 조직 자산 중 3개가 하나 또는 그 이상의 관찰 정보와 다소 관련이 있는 것으로 발견되었다는 것을 의미합니다. 또한, 관찰 정보 섹션(하단 오른쪽)에서 더욱 자세히 각 관찰 정보를 조사할 수 있습니다. 관계 그래프(하단 왼쪽)는 모든 102개 관찰 정보와 3개 타겟 간의 관계를 보여줍니다. 이 그래프는 ‘최초 감염자’를 식별하고 위협 벡터가 환경에 어떻게 침투해서 확산되었는지 확인할 수 있습니다.
관계 그래프를 펼쳐서 자세히 살펴보겠습니다. 다양한 필터(예: 성격, 관찰 정보 유형)를 적용하여 어떤 상황인지 살펴볼 수 있습니다. 관계 그래프나 SecureX/위협 대응 사용자 인터페이스에서 관찰 정보나 타겟을 클릭하면 위협 인텔리전스를 사용해서 자세히 조사하거나, 관련 시스코 보안 제품으로 들어가 더욱 심층적인 분석이 가능합니다.
분석을 완료하고 나면, 그 화면에서 바로 위협에 대한 대응을 시작할 수 있습니다. SecureX/위협 대응 사용자 인터페이스에서 몇 번만 클릭하면 각 시스코 보안 제품의 관찰 정보(Cisco AMP의 파일, Cisco Umbrella의 도메인 등)를 차단하고 감염된 호스트를 분리하여 확산을 예방할 수 있습니다. 또한, 기본 옵션 외에도 사전 구성된 워크플로우를 실행하여 다른 보안 제품(시스코 또는 타사 솔루션 포함)에서 API로 작업을 수행할 수도 있습니다.
그림 3: 클릭 한 번으로 사이버 보안 사고에 대응
SecureX 위협 대응을 사용하여 위협 헌팅과 대응 프로세스를 단순화했습니다. 각 보안 제품의 인터페이스로 이동할 필요 없이 단 하나의 보안 컨트롤에서 모든 ACSC 관찰 정보를 다양한 위협 피드, 과거 이벤트와 비교하여 살펴보았습니다. 이를 통해 보안팀이라면 모두 괴로워하고 있는 반복적인 수작업없이 위협 상황을 파악할 수 있습니다.
2단계 – 하나의 워크플로우로 모든 정보 오케스트레이션
앞서 API의 기능을 사용해서 많은 작업을 수행할 수 있었습니다. 하지만 이보다도 더 수작업을 최소화하고 자동 프로세스로 만들 수 있다면 어떨까요?
SecureX 오케스트레이터를 사용하면 자동 워크플로우로 더 효율적인 작업이 가능합니다.
아래의 워크플로우는 TALOS 블로그 RSS 피드 등을 포함한 모든 IOC 소스에 맞게 수정할 수 있지만, 지금은 ACSC에서 제공한 IOC csv 파일을 사용하겠습니다.
전체적인 워크플로우는 다음과 같습니다.
그림 4: 워크플로우
워크플로우 자체는 상당히 간단합니다. 대부분 작업에 SecureX 위협 대응 API를 사용합니다. 알림에는 Webex API와 SMTP를 사용했지만, 원하는 협업 도구로 교체할 수 있습니다.
이 워크플로우는 다음과 같은 단계로 진행됩니다.
- 지표 가져오기 – ACSC 호스팅 IOC csv 파일(또는 다른 소스)로 일반 http 요청을 보냅니다. 원시 지표를 다소 정리해서 텍스트로 저장합니다.
- IOC 파싱 – 1단계에서 저장한 원시 텍스트에 SecureX 위협 대응 검사 API를 사용합니다.
- 관찰 정보 보강 – SecureX 위협 대응 보강 API를 사용하여 (통합 위협 피드에서) 글로벌 위협 관측 결과를 찾을 수 있으며, 특히 (Umbrella, AMP 등의 통합 보안 모듈에서) 로컬 관측 결과/타겟을 찾을 수 있습니다.
- 알림 – (로컬 관측 결과에서) 타겟이 발견될 경우 알림을 보냅니다. 쿼리된 각 모델에 대해 Webex Team에 타겟을 게시하거나 이메일을 보냅니다.
- 사례 관리 – 타겟이 처음으로 발견되면 새 케이스북을 생성합니다. 그 이후에 타겟이 발견되면 케이스북을 업데이트합니다.
SecureX 오케스트레이터의 워크플로우 스크린샷은 다음과 같습니다. 한 화면에 담기 어려워서 3개의 스크린샷으로 나누었습니다!
그림 5: SecureX 오케스트레이터의 워크플로우
위 작업을 정기적으로 스케쥴링하여 몇 시간 또는 며칠 단위로 실행되도록 설정하면 워크플로우를 개선할 수 있습니다. ACSC가 정기적으로 지표를 업데이트할 때 유용한 방법입니다. 다른 옵션으로는 SecureX 위협 대응 API를 사용하여 대응 옵션을 구축하는 방법이 있습니다.
이는 단순히 아이디어를 제안한 것일 뿐, 활용 가능성은 무한합니다. SecureX 오케스트레이터는 알림 및 응답에 대한 API 작업을 시스코 및 타사 제품에 실행하도록 이 워크플로우를 수정할 수 있습니다. 내장된 API 타겟을 사용하거나 새로 생성하고 변수와 계정 키를 추가한 다음, 모듈을 끌어 놓기만 하면 워크플로우에 로직을 구축할 수 있습니다.
환경이 각자 다르므로 독자 여러분께서 필요에 맞게 워크플로우를 개선 및 수정하시기 바랍니다. 다시 한번 마지막으로 말씀드리자면, 이 워크플로우를 통해 ACSC 복사-붙여넣기 침해 IOC 목록에서뿐만 아니라 다른 웹 소스에서도 관찰 정보를 추출할 수 있습니다. 타겟에 있는 “ACSC 경보 타겟”을 수정하면 됩니다.
그림 6: 관찰 정보 소스 수정
위의 워크플로우는 github에서 호스팅됩니다. SecureX 오케스트레이션 인스턴스에 json 파일로 가져올 수 있습니다. 가져오기 프로세스를 실행하거나 워크플로우를 실행하기 전에 Webex 토큰, Webex Teams 룸 ID, 이메일 계정 상세 정보 등의 변수를 입력 및/또는 수정해야 합니다.
그림 7: 알림 변수 추가
마지막으로 워크플로우를 실행하면 모든 모듈의 입출력과 모든 ‘for’ 루프 반복이 실시간으로 실행되는 것을 확인할 수 있습니다. 따라서 익숙한 그래픽 인터페이스로 문제를 손쉽게 해결할 수 있습니다!
그림 8: SecureX 오케스트레이터에서 워크플로우 실행
플레이북을 실행하고 나면 쿼리된 각 모듈에 대해 발견된(발견되지 않은) 타겟을 알려주는 이메일 알림 또는 Webex Teams 메시지를 확인할 수 있습니다. 또한, SecureX 대시보드에서 SecureX 리본의 ‘케이스북’을 선택하면 사례를 확인할 수 있습니다.
그림 9: 로컬 관측 결과 및 타겟에 대한 Webex Teams 알림
그림 10: SecureX 대시보드의 케이스북
Cisco Webex Teams 고객은 로그인하여 여기에서 워크플로우에 사용할 개인 Webex 액세스 토큰을 받습니다. 워크플로우의 알림을 받는 데 사용할 Webex Teams 룸의 ID를 받으려면 룸에 roomid@webex.bot을 추가합니다. 룸 ID가 포함된 비공개 메시지가 회신됩니다.
SecureX 오케스트레이터에서 워크플로우를 가져오고 내보내는, 변수, 타겟을 수정하고, 직접 워크플로우를 구축하는 방법에 대한 자세한 내용은 여기에서 SecureX 오케스트레이터 문서를 참조하세요.
요약
앞서 보셨듯이, Cisco SecureX는 위협 조사와 대응 과정을 단순화할 뿐만 아니라, 플레이북을 사용하여 전체 프로세스를 자동화합니다. SecureX 위협 대응을 사용하면 보안 경보의 영향을 쉽고 신속하게 평가할 수 있다는 것을 확인하였습니다. 하나의 인터페이스에서 위협 헌팅과 대응이 가능해진 것입니다. 하지만 그뿐만이 아닙니다. SecureX 오케스트레이터를 사용하여 간단한 플레이북으로 모든 프로세스를 자동화하기도 했습니다. 따라서 중요한 인적 자원이 다른 운영 작업을 수행할 여유가 생깁니다. 또는, 남는 자유 시간으로 다른 반복적인 프로세스를 자동화하는 데 초점을 맞출 수도 있습니다!
SecureX를 시작하고 가입하는 과정은 몇 분 이내로 완료되며 매우 간단합니다. 이미 시스코 위협 대응을 사용하고 있다면 기존의 통합이 SecureX에 내장되어 있을 것입니다. 플랫폼을 처음 사용하는 사용자라면 이 플레이리스트에 따라 첫 통합을 완료하고 워크플로우 생성에 대해 자세히 알아보세요.
Tags:
