1장. Splunk 소개(1)

안녕하세요, 오브입니다. 이번 시간부턴 스플렁크에 대해 학습하겠습니다. 오늘은 스플렁크에 대해 간단히 소개하는 시간을 갖겠습니다.

 

1.1 Splunk와 정보보호

● Splunk: 로그를 수집하고 사용자가 원하는 결과를 추출하는 대용량 로그 수집/분석 시스템
● 컴퓨터, 네트워크 장비 등이 생산하는 로그 데이터에 최적화
● 텍스트 기반의 로그라면 어떤 장비로부터 로그를 수신하고 분석할 수 있다는 것이 Splunk의 가장 큰 장점
● 장애 현상 파악, 원인 분석 등에 활용보안 로그는 일반 IT 운영 서비스 로그와 성격이 다름
- 보안 목적에 따라 전혀 다른 보안 장비 운용
- 장비 유형에 따라 다른 형식과 다른 의미의 로그 생성
- 로그를 빠르고 방대하게 생성하지만 삭제하는 경우는 거의 없음

● ESM: 개별 보안 장비에서 모든 로그를 수집한 후 각 장비에 존재하는 공통 정보를 추출해서 공격자 행위 분석 시도. 하지만 급증하는 로그, 신규 장비의 추가 및 연동이 쉽지 않았으며 연동이 가능한 보안 장비가 방화벽, 침입탐지시스템, 백신 등의 제약 존재

 

1.2 공격 패러다임의 전환

● 과거 공격자의 경로를 예측하고, 알려진 공격 기법에 기반하는 방어체계를 운영
● 이제는 공격자가 사용자 계층인 개인용 컴퓨터를 공격하기 때문에 방어 기법의 변화를 고려해야 함
● PC 보안은 홈페이지 보안과 많은 차이가 있는데, PC 보안 담당자는 전문보안팀이 아니라 실질적인 PC 사용자임. 이는 PC 사용자 수준에 따라 보안 적용에 차이가 발생한다는 점

● 공격자의 공격 수행 방법
- 직접 침투 방법: 인터넷으로 공격 대상에 접근. 대부분 기업은 방화벽이나 침입탐지시스템(IDS)으로 인터넷에 노출된 자산을 철저하게 보호하고 있음. 공격자의 공격 수행이 어려움
- 간접 침투 방법: 공격자가 내부 자원을 점거한 후에 거점을 확보하고, 이후 내부의 다른 정보자산에 접근. 공격자의 주요 목표는 사용자의 PC이며, 공격에 노출된 가장 취약한 지점임

● 내부망 이동: 공격자는 내부에 침투 -> 내부 자원을 거점으로 원하는 정보 탐색 -> 실제 자원이 있는 곳으로 이동
● 직접 침투 방법은 공격 행위를 찾아볼 수 있지만 간접 침투 방법은 다름
- 공격자는 내부 자원을 점거할 때 악성 웹 링크를 전송하거나 이메일 첨부로 악성코드를 전달
- 기업 내부망에 이메일 보안이 충분하지 않다면 스피어 피싱 공격에 당할 수도 있음
- 스피어 피싱: 특정한 개인들이나 회사를 대상으로 한 피싱 공격
- 피싱: 금융기관 등으로부터 개인정보를 불법적으로 알아내 이를 이용하는 사기수법

● 공격자는 인터넷에서 기업 내부망으로 어떻게 접속?
- 공격자가 내부망으로 접속하는 것이 아니라, 점령당한 내부 자원이 인터넷에 존재하는 공격자에게 접속
- 기업이 운영하는 방화벽의 인터넷에서 기업 내부로 향하는 인바운드 통신은 보안 정책을 엄격히 적용하지만, 내부 직원이 인터넷으로 향하는 아웃바운드 통신은 상대적으로 약한 보안 정책을 운용
- 인바운드: 서버 내부로 들어오는 것. 클라이언트 -> 서버 ex) 업로드
- 아웃바운드: 서버 외부로 나가는 것. 서버 -> 클라이언트 ex) 다운로드
● 간접 침투 방법에서 공격자는 아웃바운드 통신 사용. 
● 아웃바운드 = 외부행 모니터링 장점
- 충분한 가시성 확보 가능
- 출발지와 사용자 특정 가능
- 분석 대상이 불특정 다수가 아니라 특정 소수임
● 외부행 모니터링을 쓰는 이유

 

1.2.1 사이버 킬체인

● 킬체인: 미국의 방위산업체인 록히드 마틴에서 개발한 개념으로 공격자의 공격을 단계별로 구분해서 공격자 행동을 이해하기 쉽게 만듦
● 사이버 킬체인의 일곱 단계(공격자 관점)
1. 정찰: 공격자가 공격 대상 정보를 수집하는 단계로 수동과 능동 방식으로 구분
- 수동: 구글 검색, Whois를 이용한 IP, 도메인 정보 등 수집
- 능동: 포트 스캔, 애플리케이션 정보 수집, 취약점 스캐너 사용
- 대개 수동 정찰에서 수집한 정보를 기반으로 능동 정찰 시행
- 공격자의 목표: 공격에 필요한 약점 찾기
- 대응방안: 능동 정찰은 포트스캔이나 취약점 스캔이 발생하는 것을 계속 모니터링 후 즉시 대응
2. 무기화: 정찰 단계에서 수집한 정보를 활용해서 공격에 필요한 무기 제작
- 사이버 보안에서 무기란 취약점을 이용하는 익스플로잇이나 악성코드를 의미
- 익스플로잇: 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램, 특정한 데이터 조각, 이러한 것을 사용한 공격 행위
- 악성코드: 컴퓨터, 서버, 클라이언트, 컴퓨터 네트워크에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭
- 공격자의 목표: 적합한 무기 개발
- 공격자 쪽에서만 일어나므로 탐지 자체가 거의 불가능
3. 전달: 개발한 무기를 악성코드 링크 접속 유도, 피싱 메일, 악성 첨부파일 등의 방법을 사용하여 공격목표에 전송
- 공격자의 목표: 공격 대상에게 무기를 성공적으로 전송
- 대응방안: 사용자의 보안 인식을 높여서 함부로 첨부파일을 실행하지 않게 하고, 수상한 웹 사이트 접속을 하지 않는 등 보안 교육 필수
4. 침해: 전달이 성공하고 공격목표를 성공적으로 감염
- 최근에는 악성코드를 이용한 침해가 거의 대부분
- 공격자가 작성한 무기가 성공적으로 침해하려면 신규 취약점을 패치하지 않았거나, 취약한 구 버전을 사용해야 함
- 공격자의 목표: 접근 권한 또는 경로 획득
5. 설치: 침해가 성공하면 악성코드는 공격 대상에 코드 설치
- 악성코드는 대부분 단일 실행파일로 작성되는데 이 경우 컴퓨터가 재부팅을 하면 다시 실행되지 않음
- 침해 후 시작프로그램 등록, 서비스 등록과 같이 설치를 통해 침해 상태 유지
- 공격자의 목표: 지속적으로 공격 자원 접속
6. 명령 및 제어: 감염 자원이 공격자와 통신하는 채널 구축
- 공격자는 직접 접속해서 공격 수행 후 아무런 제약 없이 내부 전산자원에 접근해서 공격 목적 실행
- 공격자의 목표: 감염 자원을 거점 삼아 공격 대상 확대
7. 목적 달성: 공격자가 공격 대상에서 원하는 정보 확도 후 외부로 유출
- 공격자는 구축한 명령제어 채널을 이용해서 주요 정보 복사 후 유추
● 사이버 킬체인은 다음 단계로 넘어가기 위해서는 이전 단계가 반드시 성공해야 함
● 공격자는 7단계 모두 성공해야 하지만, 방어자는 7단계 중 한 번이라도 성공하면 공격 차단 가능

 

1.2.2 MITRE ATT&CK

https://attack.mitre.org/

● MITRE: 취약점 정보를 수집·분석하고 체계적으로 관리하는 비영리 기관
● 정보보안 담당자에게 가장 익숙한 정보는 취약점 데이터베이스인 CVE(Common Vulnerabilities and Exposure)
● 최근 주목받는 정보는 ATT&CK(어택) 매트릭스임
● 매트릭스는 사전 공격, 기업, 모바일과 산업통제시스템으로 구분하고, 기업 매트릭스는 가장 많은 공격 기법과 정보 제공
● 매트릭스는 TTPs(Tactics, Techniques and Procedures) 개념을 이용하여 공격 기법 나열
● 기업 매트릭스에서 공격자가 사용하는 전술은 총 12단계이며, 공격 분석에서 얻은 공격자 흔적, 악성코드 분석 기록에서 추출한 정보로 공격 수행 절차 설명
- ID: 매트릭스에서 관리하는 기술의 고유 번호
- Tactic: Initial Access 전술에 속함
- Platform: 이 공격 기술이 적용되는 플랫폼
- Data Sources: 이 공격을 볼 수 있는 로그 종류. 여기에 나열한 로그를 수집하지 않으면 이 공격 기술을 탐지할 수 없음
● 나머지 정보는 보안 업무에 필수는 아님

 

1.3 위협사냥

● 위협사냥: 기존의 보안 체계를 대체하는 것이 아니라 보완하는 개념
● 기존 보안 업무가 탐지/발생한 위협에 대한 대응이라면, 위협사냥은 숨어있는 위협을 탐지해 공격 기법과 공격자를 식별하고 제거하는 행위
● 기존 보안은 사전에 정의된 탐지 규칙에 주로 의존하지만, 위협사냥은 공격자의 공격 행위에 맞춤 대응하는 것
● 위협 사냥에서 가장 중요한 항목은 분석이고, 위협을 분석하려면 현재 일어나는 모든 상황을 파악해야 함. 가시성 확보가 이에 해당
- 가시성 확보: 모든 보호대상에서 발생하는 로그 수집

 

1.3.1 로그 수집

● 과거 ESM(Enterprise Security Management)은 주로 침입차단시스템, 백신과 같이 보안장비의 로그를 수집했으나 이 보안장비는 사전 정의된 규칙으로 공격을 탐지하여 새로운 공격을 탐지하는데 한계가 있었음
● 위협사냥은 이벤트 기반 로그보다는 통신 내역의 전체 로그의 분석이 더 효과적이고 수집 대상은 최소한 애플리케이션 헤더까지 저장하는 것 권고. 예산과 조직이 충분하다면 네트워크 트래픽을 저장하는 것이 가장 좋음

 

1.3.2 수집 대상

● 네트워크 계층 로그: 네트워크 증적을 추적하는데 사용. 어디에 접속했는지, 어떤 사이트에 접속했는지, 어떤 공격 관련 내용이 전송됐는지에 대해 판별 가능 ex) 방화벽, 웹 프록시, 전자우편, DNS 로그
● 엔드포인트 계층 로그: 엔트포인트는 네트워크의 단말 계층을 의미하며 사용하는 PC, 노트북 또는 스마트폰이 해당하고 실제 공격은 여기에서 실행됨. 엔드포인트에서 어떤 프로세스가 동작 중인지, 프로세스의 소유자, 레지스트리 변경, 패치 레벨 등의 정보는 공격 현황을 파악하는데 좋은 증거임 ex) 백신, DHCP, 윈도우 이벤트, 호스트 IDS, 호스트 방화벽 로그
● 사용자 인증 로그: 네트워크에 로그인한 사용자를 추적할 때 필요. 이 로그를 수집하려면 네트워크에서 통합 인증 시스템이 먼저 구축되어 있어야 함. ex) 마이크로소프트 액티브 디렉터리, VPN, SSO
● 위협정보 로그: 외부의 신뢰하는 기관 또는 사이트로부터 수집되는 위협정보. 공격자, 알려진 C&C, 악성코드 유포 사이트, 감염정보 등 수집. 정보를 제공하는 정부기관, 공신력 있는 웹 사이트 등 사이트의 신뢰성이 핵심 ex) 오픈 소스 블랙리스트, 악성코드 해시 정보

 

1.3.3 수집 로그 저장

● Splunk는 어떤 장비에서든 로그를 수집할 수 있고, 수집 로그를 Splunk 고유의 검색 언어인 SPL을 이용해서 원하는 결과를 만들 수도 있음