[팔로 알토 네트웍스] 보안 운영 기초 #3

[3주차] 보안 운영 인프라 및 자동화

학습목표

1.  보안 정보 및 이벤트 관리(SIEM), 분석 도구 및 보안 운영 센터(SOC) 엔지니어링을 포함한 SecOps 인프라에 대해 설명한다.
2. SecOps에 대한 보안 조정, 자동화 및 응답(SOAR)을 정의한다.

[3-1] 보안 운영 인프라

보안 운영 인프라

보안 운영 인프라에는 SIEM 플랫폼, 분석 도구 및 SOC 엔지니어링이 포함된다.

 

보안정보 및 이벤트 관리
상업용이든 자체 생산이든, SIEM 플랫폼은 기업이 소유한 모든 시스템에서 로그를 수집하는 중앙 저장소로 사용된다. SIEM은 기업 내 다양한 애플리케이션, 시스템 및 네트워크에서 감사 추적, 활동 로그, 보안 경보, 원격 측정, 메타데이터 및 기타 과거 또는 관측 데이터를 수집하고 처리한다. 대부분은 상관 기능도 제공한다.

SIEM이 제대로 작동하려면, 관심 시스템에서 SIEM 데이터 레이크로 변환된 흐름을 보장하는 커넥터와 인터페이스가 필요하다. SecOps 조직은 이벤트의 소유권을 설정하는 방법과 분석가가 경고를 받을 위치의 중심 지점을 정의해야 한다. 때로는 SIEM이고, 다른 경우에는 SOAR 플랫폼 또는 티켓팅 시스템이다.

선택된 SIEM 접근 방식은 데이터 분리, 개인 정보 보호 및 보존 시간에 대한 모든 거버넌스, 위험 및 규정 준수 요구 사항을 해결해야 한다. 이는 스토리지 공간 및 제어에 대한 요구 사항을 주도한다. SIEM과 피더 시스템 간의 데이터 중복성을 제한하면 비용을 제어하는 데 도움이 될 수 있을 뿐만 아니라 ,장기적인 규정 준수 요구 사항을 위한 오프라인 스토리지도 제공할 수 있다.

 

분석 도구

분석 도구에는 대량의 데이터 내에서 보안 침해의 증거를 탐지할 수 있는 고급 기술, 도구 및 알고리즘이 포함된다. 프로세스는 분석가가 경고가 악의적인지 여부를 판단하는 방법을 중심으로 정의되어야 하며, 선택한 도구는 이 프로세스를 지원하거나 자동화해야 한다. 또한, 도구는 해당 이벤트에 대한 컨텍스트를 수집할 수 있는 액세스 권한을 제공해야 하며, 가급적 자동화되어야 한다. 그리고 도구에 대한 소유권, 예산 및 지원 모델을 정의해야 한다.

분석 도구는 종종 머신 러닝, 딥 러닝 및 인공 지능을 기반으로 하며, 이들은 독립형, 내장형 또는 추가형 기능을 제공하여 보안 손상의 증거를 탐지한다. 보안 분석은 정지 상태에서 저장되거나 이동 중에 수집된 데이터에 대해 수행될 수 있으며, 심지어 대규모 네트워크의 회선 속도에서도 수행될 수 있다. 이 기능은 SecOps 팀에서 다양한 방식으로 대부분의 보안 제품 및 서비스와 함께 얻을 수 있으며, 여기에는 일종의 보안 분석 기능도 포함된다.

 

SOC 엔지니어링

SOC 엔지니어링 팀은 SIEM 및 분석 도구를 포함한 SecOps 팀의 도구 구현 및 지속적인 유지보수를 담당한다. 이때, 이 팀의 책임을 명확하게 정의하는 것이 중요하다. 도구의 라이센스, 유지보수 및 업데이트를 담당하는가? 아니면, 다른 팀에서 담당할 기본 아키텍처(CPU, RAM, 스토리지, 클라우드 구현)를 관리하는가? 팀과 SLA를 정의하여 팀 간의 마찰을 줄이고 명확한 커뮤니케이션 계획을 수립해야 한다.

 

보안 운영 자동화

보안 운영 자동화에는 보안 조정, 자동화 및 응답(SOAR)과 보안 자동화가 포함된다.

 

SOAR(보안 오케스트레이션, 자동화 그리고 대응)

가트너에 따르면, SOAR는 조직이 보안 운영 팀이 모니터링하는 입력을 수집할 수 있도록 지원하는 기술을 말한다. 예를 들어, SIEM 시스템 및 기타 보안 기술의 경고는 인력과 기계 전력의 조합을 활용하여 사고 분석 및 분류를 수행하는 데 도움이 되며, 표준화된 사고 대응 활동을 정의하고 우선 순위를 지정하고 추진할 수 있는 것이다. SOAR 도구를 사용하면 조직이 디지털 워크플로우 형식으로 사고 분석 및 대응 절차를 정의할 수 있다.

 

SOAR 시스템은 보안 기술 및 기타 데이터 흐름의 입력에 따라 작동하는 표준화되고 자동화된 플레이북 실행을 통해 신속한 사고 대응을 가능하게 한다. SOAR 도구는 자동화되고 프로세스 중심의 플레이북을 실행하기 전에 탐지 소스(SIEM, 네트워크 보안 도구 및 우편함)에서 수집된 경고를 수집하여 이러한 경고에 풍부하게 대응한다. 플레이북은 중앙 집중화된 데이터 가시성과 조치를 위해 기술, 보안 팀 및 외부 사용자 간에 조정된다. 이는 사고 응답 시간을 가속화하고 분석가 생산성을 높이는 데 도움이 된다. 그리고 프로세스를 표준화함으로써 일관성을 제공하여, SOC 기능에 대한 운영 신뢰도를 향상시킨다.

SOC에서의 SOAR 도구 배치 방식의 하이 레벨 관점

 

보안 자동화
일관성은 SecOps 팀의 효율성에 있어 핵심적인 요소다. 자동화는 보안 문제에 대한 기계 주도의 대응을 통해 일관성을 보장하도록 돕는다. 보안 자동화 기능은 이러한 자동화 도구를 소유하고 유지한다. 자동화 플레이북을 지속적으로 유지하려면, SecOps 팀과 긴밀하게 통합되어야 한다. 또한, SecOps 팀이 정의한 새로운 워크플로우와 프로세스에 대응하여, 새로운 자동화 기술과 플레이북을 구현하는 역할도 담당한다. 솔루션에 대한 요구 사항과 궁극적인 검증은 SecOps 팀이 담당해야 한다. 이 검증은 자동화의 시간 절약, 정확성 및 유용성을 고려해야 할 것이다.

자동화로 인해 자원에 대한 필요성이 높아지는 경우가 있다. 이때 자동화에 투자하기 전에 항상 투자 수익률(ROI)을 고려해야 한다. ROI 분석을 할 때는 지속적인 유지 보수 및 지원 비용을 고려하도록 특별히 주의해야 할 것이다.

[3-2] 디스커버리: SOC에서의 인공지능과 머신러닝

인라인 머신 러닝으로 알 수 없는 위협 방지

수백만 개의 새로운 사이버 위협이 매년 발생하고 있으며, 조직은 이를 막기 위해 끊임없이 경쟁하고 있다. 클라우드 규모의 리소스, 자동화 및 기타 기술을 활용하여 오늘날의 적들은 공격을 그 어느 때보다 빠르게 확산할 수 있는 기능과 식별 가능한 기능을 지속적으로 변경하여, 탐지를 회피하는 다형성 악성 프로그램 및 악성 콘텐츠를 배포할 수 있는 고유한 이점을 누리고 있다.

팔로알토 네트웍스 유닛42의 악성코드 확산에 대한 데이터

 

공격자들은 성공하고 있다. 2019년에는 1억 4천만 개 이상의 새로운 멀웨어 샘플이 확인되었으며, 매일 수천 개의 새로운 악성 웹 사이트와 도메인이 생성되었다. 새로운 공격은 기존의 샌드박스, 프록시 및 독립 서명 기술이 보호를 배포할 수 있는 것보다 훨씬 더 빠르게 시작되고 있으며, 이는 단순히 보조를 맞출 수 없다. 현대의 멀웨어는 초기 감염 후 보호 조치가 개발되고 조직 전반에 걸쳐 확장되기 훨씬 전에 몇 초 이내에 수천 개의 시스템을 더 감염시킬 수 있다.

 

새로운 위협을 방지하기 위한 업계 접근 방식
조직은 일반적으로 이러한 넷-뉴 공격을 방지하기 위해 네 가지 방법을 사용했다.

 

① 토르의 망치(Thor’s Hammer)
이 전략을 사용하면 조직의 정책은 조직에 파일이나 웹 액세스를 전혀 허용하지 않거나 심각하게 제한한다. 물론 이는 대부분의 경우 현실적이지 않으며, 비즈니스에 심각한 지장을 초래한다.

 

② 보류 및 해제(Hold-and-Release)

이 방법은 모든 파일이나 웹사이트에서 검사 및 분석을 요청하는 것을 양성으로 판정될 때까지 중단하는 것을 포함한다. 그러나 이 방법 역시 그다지 성공적이지 못했다. 파일을 보유하면 비즈니스 생산성을 저해하고 사용자 경험을 악화시키며, 심지어 접근 방식은 확장되지 않는다. 분석을 위해 더 많은 파일을 보낼수록 더 많은 파일을 보유하게 되고, 비즈니스 속도가 느려질 수밖에 없는 것이다. 

 

③ 콘텐츠 해제 및 재구성(Content Disarm and Reconstruct)
이 방법은 제한된 문서 기반 파일 형식을 사용하여 코드를 제거하거나 파일 형식을 변환하도록 처리한다. 잠재적으로 악의적인 콘텐츠를 비활성화하기 위한 시도라 할 수 있다. 이는 일반 사용자가 "안전 모드"에서 오피스 문서를 열거나, PDF로 변환할 때 직면할 수 있는 문제와 유사하게, 포맷을 파괴하거나 절대 열리지 않는 손상된 파일로 이어지는 경우가 많다. 처리 부하로 인해 이 접근 방식은 확장되지 않으며, 비즈니스 생산성과 후속 조치 지원에 부정적인 영향을 미친다. 마지막으로, 이 접근 방식은 파일 기반 위협은 해결하지만 웹 기반 위협은 해결하지 못하는 한계가 있다.

 

④ 알려진 잘못된 인라인 중지, 클라우드에서 다른 모든 검사(Stop Known Bad Inline, Inspect All Else in the Cloud)

팔로알토 네트웍스에서 채택한 이 접근 방식은 비즈니스를 계속 운영할 수 있도록 하지만, 모든 네트워크 트래픽에 대한 가시성을 제공하는 동시에 악의적인 것이 발견되면 자동으로 보호 기능을 업데이트한다. 그리고 감염 위험을 최소화하는 동시에 사용자 경험을 극대화한다. 또한, 알려지지 않은 트래픽을 분석하는 오프라인 접근 방식과 함께 확장된다. 추가로, 분석 기능이 클라우드에 있기 때문에 확장하고 지속적으로 진화하여 고객에게 미치는 운영 영향을 최소화하면서 탐지 기능을 추가할 수 있다. 이러한 접근 방식은 고객에게 매우 효과적임이 입증되었지만, 우리는 항상 가시성과 예방 사이의 시간을 0으로 줄이는 등 이전에 볼 수 없었던 위협으로부터 초기 감염을 가능한 한 빨리 방지하는 방법을 모색해 왔다. WildFire 멀웨어 방지 및 URL 필터링 구독에 포함된 새로운 기능을 통해 그것이 이제는 현실이 되었다.

 

인라인 머신 러닝으로 알 수 없는 위협 방지

팔로알토 네트웍스는 세계 최초로 ML 기반 차세대 방화벽(NGFW)을 제공하여, 알려지지 않은 파일 및 웹 기반 위협을 차단하는 인라인 머신 러닝(ML)을 제공한다. 특허 받은 서명 없는 접근 방식을 사용하여 WildFire 및 URL 필터링은 비즈니스 생산성을 손상시키지 않으면서, 무기화된 파일, 자격 증명 피싱 및 악의적인 스크립트를 사전에 방지한다. 팔로알토 네트웍스 하드웨어 및 가상 NGFW는 새로운 ML 기반 방지 기능을 적용할 수 있다.

 

① WildFire 인라인 ML은 줄 속도로 파일을 검사하고 악의적인 콘텐츠의 불균형한 점유율을 차지하는 PowerShell 파일뿐만 아니라, 휴대용 실행 파일의 멀웨어 변종을 차단한다.
② URL 필터링 인라인 ML은 알려지지 않은 URL을 라인 속도로 검사한다. 이 기능은 피싱 페이지와 악성 자바스크립트를 밀리초 단위로 식별할 수 있으므로 네트워크 내에서 아무도 볼 수 없다.

 

* 파일 및 웹 기반 위협의 최대 95%를 WildFire 또는 URL Filtering 클라우드의 분석 없이 인라인으로 방지할 수 있고, 나머지는 세계 최대 클라우드 네이티브 탐지 및 방지 엔진에서 몇 초 만에 보호 기능이 제공된다.

 

ML은 다형성 멀웨어 변종을 해결하고 웹 기반 위협을 신속하게 변형시키는 데 있어 특히 강력한 무기다. ML 기반 엔진은 방대한 양의 데이터를 빠르게 수집하고 처리할 수 있으며, 철저한 정적, 동적 또는 다른 분석 프로세스의 응답을 항상 기다리는 대신, 즉각적인 결정을 내리고 위협을 방지하기 위한 신속한 대응을 가능하게 한다. 또 다른 주요 이점은 ML 모델의 애플리케이션이 서명 기반 접근 방식이 수행할 수 없는 방식으로 실행 파일의 변경 사항을 포착할 수 있다는 것인데, 이는 위협 행위자가 탐지를 회피하기 위해 사용하는 멀웨어 회피 기술을 해결한다.

ML을 효과적으로 활용하기 위해 클라우드에서 제공하는 WildFire 및 URL 필터링 보안 구독의 방대한 양의 편향되지 않은 악성 샘플, 글로벌 원격 측정 및 분석을 활용한다. 거의 10년 동안의 고객 및 파트너의 분석 및 위협 인텔리전스를 통해 이러한 고유한 저장소는 ML 파워 NGFW에서 인라인으로 배포되고 라인 속도로 작동할 수 있을 만큼, 작고 효율적인 ML 모델 생성을 직접 알리고 추진한다.

딥 인텔리전스와 단일 소스는 클라우드에 남아 있지만, 실행 및 실시간 결정은 속도가 가장 중요한 NGFW의 제어 지점에서 제정할 수 있다. 지속적으로 업데이트되는 클라우드 저장소 및 확장된 처리를 통해 필요에 따라 새로운 ML 모델을 만들 수 있으므로, 업계 동향과 새로운 형태의 위협이 적용됨에 따라 ML이 새로운 알려지지 않은 것을 방지할 수 있다. 인라인으로 작동하는 ML 기반 실행 조치는 대부분의 새로운 파일 및 웹 기반 위협을 해결하며, 신속한 방지 기능을 갖춘 지속적이고 입증된 클라우드 기반 분석을 통해 다른 모든 위협에 대한 취약성 창을 지연 없이 줄일 수 있다.

 

작동 방식: 파일 기반 공격

WildFire 서브스크립션은 인라인 ML 기반 엔진을 가능하게 하며, 당사의 하드웨어 및 가상 NGFW 내에서 제공된다. 이 기능은 클라우드 분석 단계 없이 PowerShell에서 발생하는 휴대용 실행 파일 및 위험한 파일 없는 공격과 같은 악성 파일 기반 콘텐츠를 완전히 방지한다. 이 ML 모델은 최신 탐지 기능을 위해 매일 업데이트된다.

ML 기반 파일 기반 공격 방지

 

ML 기반 방지는 즉각적이지만 스캔된 파일은 분석을 위해 동시에 WildFire로 라우팅된다. 이는 잘못된 양성에 대한 피드백 루프를 구축할 뿐만 아니라, 신속한 방지를 유도한다. 인라인 방지로 가시성이 없는 위협(ex. PDF 또는 Office/Microsoft 365 파일 등 다양한 형식으로 제공되는 넷 뉴 위협, 특정 조직을 대상으로 하는 맞춤형 고도의 회피 위협)은 제로 딜레이 시그니처 업데이트를 통해 해결된다. 이러한 혁신적인 시그니처는 클라우드에서 지속적으로 실시간으로 제공되어, 클라우드 기반의 거의 실시간 프로세스에 의한 신속한 예방 조치를 가능하게 한다. 알려지지 않은 파일이 기존 시그니처와 일치하는지 아니면 NGFW에서 ML 모델에 의해 분류되는지 여부에 관계없이, WildFire는 항상 전체 분석을 수행하여 보안 분석가에게 컨텍스트를 제공하기 위해 귀중한 인텔리전스와 데이터를 추출하고, ML 모델에 대한 교육 업데이트를 제공하며, 다른 공격 벡터를 방지하기 위해 다른 구독과 인텔리전스를 공유한다.

 

작동 방식: 웹 기반 공격

URL 필터링 구독을 사용하면 NGFW에서 ML을 직접 실행하여 이전에 보지 못한 피싱 및 자바스크립트 공격이 조직에서 실행되기 전에 인라인으로 차단된다. 악의적인 URL은 밀리초 단위로 식별되고 즉시 차단된다. URL이 악의적이지 않은 것으로 간주되면, URL 필터링 클라우드에 전달되어 URL의 적절한 분류를 결정하고 몇 분 이내에 평결을 내린다.

URL 필터링 서비스에서 바로 나온 트레이닝 세트로 구동되는 ML 모델은 최신 탐지 기능을 위해 매일 업데이트된다. ML 기반 웹 기반 공격 방지는 사용자를 감염시키기 전에 트랙에서 새로운 악성 URL을 즉시 중지하고, 자세한 클라우드 분석은 웹 보안 정책에 내장될 수 있는 더 광범위한 분류 기능을 제공한다.

ML 기반의 웹 기반 공격 방지

 

팔로알토 네트웍스 구독의 이점

오늘날 사이버 공격은 고급 기술을 사용하여 네트워크 보안 장치 및 도구를 우회하는 등 그 양과 정교함이 증가했다. 이로 인해 조직은 보안 팀의 워크로드를 늘리거나 비즈니스 생산성을 저해하지 않고 네트워크를 보호해야 한다. 업계 최고의 ML-Powered NGFW 플랫폼과 원활하게 통합된 팔로알토의 클라우드 제공 보안 구독은 인텔리전스를 조정하고 모든 공격 벡터에 대한 보호를 제공하여, 클래스 최고의 기능을 제공하는 동시에 서로 다른 네트워크 보안 도구가 생성하는 커버리지 격차를 제거한다.

 

모든 보안 구독의 이점은 다음과 같다.

 

① 위협 방지
기존 IPS 솔루션을 넘어, 모든 트래픽에서 알려진 모든 위협을 한 번의 패스로 자동으로 방지한다.

② 와일드 파이어
업계 최고의 클라우드 기반 분석을 통해 알려지지 않은 멀웨어를 자동으로 탐지하고 방지하여 파일이 안전한지 확인한다.

③ URL 필터링
사용자가 인터넷에 액세스하기 전에 알려진 악성 웹 사이트와 새로운 악성 웹 사이트에 대한 액세스를 방지하여, 인터넷을 안전하게 사용할 수 있도록 한다.

④ DNS 보안
인프라를 변경할 필요 없이 DNS를 사용하여 명령 및 제어를 수행하고, 데이터 도난을 방지하는 공격을 중단한다.

⑤ IoT 보안
업계 최초의 턴키 IoT 보안 솔루션을 통해 조직 전반에 걸쳐 사물인터넷(IoT) 및 OT 기기를 보호할 수 있다.

⑥ 엔드포인트에 대한 GlobalProtect 네트워크 보안
ML-Powered NGFW 기능을 원격 사용자에게 확장하여 환경 어디에서나 일관된 보안을 제공한다.