Defensive Security Intro

Pre Security 패스가 THM의 가장 기초적이고 튜토리얼 격 되는 패스다 보니 확실히 이론적인 내용이 중심임

 

・주요 개념: 방어적 보안 개념(어떻게 찾아내고 막는가?) 및 과정
・핵심 키워드: 보안 운영 센터(SOC), 디지털 포렌식 및 사고 대응(DFIR), 위협 인텔리전스, 맬웨어 분석 등

 

1. Defensive Security Intro

- 공격적 보안(Offensive Security)이 레드팀의 입장이라면 방어적 보안은 블루팀의 입장

 

2. SOC(Security Operation Center)란?

- 네트워크와 시스템을 모니터링해 악의적인 보안 이벤트를 찾아내는 정보보안팀

주요 역할

- 취약점 탐지: 찾아내면 업데이트 및 패치를 통해 수정함

- 정책 위반: 회사가 보안 정책을 위반한 사례가 있는지 조사하고 시정하도록 지도함

- 비인가 활동: 사용자의 아이디를 탈취해 무단으로 네트워크에 접속하는 등의 이벤트가 일어나면 탐지하고 막는 역할

- 네트워크 침입: 내부의 부주의나 외부의 공격으로 서버 내 침투가 들어왔을 때 빠르게 탐지 및 대처하는 역할

 

3. 위협 인텔리전스(Threat Intelligence)

- 현재 및 잠재적 위협으로부터 대처하기 위해 정보를 수집, 이를 바탕으로 방어체계를 구축하도록 하는 것

- 네트워크 로그, 포럼의 공개 정보 등의 데이터를 수집해 분석에 적합한 형식으로 가공한 뒤 분석 단계에서 위협 세력의 동기를 파악, 완성된 정보를 바탕으로 위협 세력의 활동을 예측 및 예방

 

4. 디지털 포렌식 및 사고 대응(DFIR, Digital Forensics and Incident Response)

- 3가지로 나뉨

(1) 디지털 포렌식
- 가해자의 범행 증거 분석 및 확보, 지적 재산권 침해 여부, 산업 스파이 행동 여부 탐지 등이 목적

- 파일 시스템 영역에선 시스템 스토리지의 디지털 포렌식 이미지를 분석해 프로그램, 생성 파일, 삭제 파일 등의 정보를 수집함

- 시스템 메모리 영역에선 범인이 악성 프로그램을 메모리 단계에서 실행한 경우에 분석

- 시스템 로그 영역에선 클라이언트와 서버의 서로 다른 내용이 담긴 로그를 분석해 공격자의 범행 시각이나 기법을 분석

- 네트워크 로그 영역에선 네트워크를 거친 패킷 로그를 분석해 공격 발생 여부나 공격에 따른 피해 여부 및 규모를 분석

(2) 사고 대응

- 사고는 데이터 유출같이 심각한 사고부터 침입 시도나 정책 위반같은 가벼운 경우까지 모두 포함함

- 사고 대응 프로세스는 4단계(준비, 탐지 및 분석, 격리와 근절 및 복구, 사후 조치)로 나뉨

(3) 맬웨어 분석

- 맬웨어(Malware)란?: 시스템을 파괴하거나 변조시키는 악성 소프트웨어

- 트로이목마(Trojan)란?: 악성코드를 정상위장 프로그램에 숨겨 퍼뜨린 뒤 사용자의 정보를 빼돌리는 악성코드

- 랜섬웨어(Ransomware)란?: 사용자의 데이터를 암호화한 뒤 복호화를 대가로 금전을 요구하는 악성코드

- 위와 같은 악성코드들을 다양한 기법들로 분석해 수집한 뒤 예방 대책을 세우는 것이 목표

정적 분석/동적 분석

- 정적 분석은 프로그램을 실행하지 않고 검사

- 동적 분석은 프로그램을 실행한 뒤 그 활동을 모니터링하는 방식으로 검사

 

5. SIEM(Security information and event management)

- 보안 정보 및 이벤트 내용을 제공하는 관리 솔루션으로, 보안 관련 정보를 수집해 대시보드에 출력함

- 모든 경고가 악의적인 활동을 나타내는 것은 아님
(예: 일반 사용자가 비밀번호를 잊어버려 계속해서 로그인을 시도하는 경우 등)

- 그러므로 어떤 경고가 악의적/유해적인지 잘 확인해야 함