본문 바로가기 주메뉴 바로가기

최신IT소식

패턴 기반 위협 탐지를 사용해 의심스러운 사용자 행동 식별하기

관리자 2018-03-20 조회수 216

Quest_thumb_20180316_2.jpg

 

 

패턴 기반 위협 탐지를 사용해
의심스러운 사용자 행동 식별하기


해커, 침입자, 맬웨어, 불만을 품은 직원, 무단 사용자. 모든 위협을 네트워크에서 완전히 차단할 수는 없습니다. 따라서 내부에서 이들의 활동을 효과적으로 탐지하기 위한 수단이 필요합니다. 데이터 침해를 발견하는 데 소요되는 시간이 평균 191일, 이 침해를 진압하는 데 소요되는 시간이 평균 66일이며, 침해당 평균 비용이 362만 달러에 이른다는 점을 감안하면(출처 : 포네몬 2017) 의심스러운 사용자 활동을 조기에 탐지함으로써 얻는 효과는 막대합니다.

의심스러운 활동 탐지에서 난관은 데이터의 부족이 아닙니다. 네이티브 윈도우 로깅과 타사 감사 솔루션에 이르기까지, 사용자의 매 동작(네트워크 로그온, 파일 열기 등)을 기록한 이벤트 정보는 넘쳐흐를 정도로 많습니다. 예를 들어, 8만 명의 사용자가 포함된 한 의료 업체는 최근 테스트에서 불과 한달 만에 액티브 디렉토리(Active Directory), 인증, 파일 활동과 관련해 1억 9,300만 개에 이르는 감사 이벤트를 캡처했습니다. 같은 기간 사용자 수 7,000명의 한 기술 업체는 3,000만 개의 이벤트를 캡처했습니다.

역사적으로 보면 이러한 모든 데이터는 주로
포렌식 용도로 사용되었습니다. 사고가 발견되면 이후 감사 데이터를 뒤져서 공격의 세부 사항과 범위를 파악했습니다. 그러나 지금은 기업 조직에서 이 데이터의 바다를 더 선제적 용도로 사용할 방안을 모색하는 경우가 많습니다. 수집하는 감사 데이터의 대부분은 성공적인 로그온, 승인된 데이터 액세스 이벤트와 같은 정상적이고 합법적인 활동을 나타냅니다. 의심스러운 활동의 비율은 극히 작습니다. 바로 이 부분이 과제입니다. 이 방대한 노이즈 속에서 우려할 만한 활동만 추출하려면 어떻게 해야 할까요?

규칙 기반 탐지
가장 일반적인 방법은 특정 활동을 인식하고 이 활동이 발생할 경우 선제적으로 경보를 발령하는 규칙을 만드는 것입니다. 규칙은 예를 들어, 도메인 어드민(Domain Admins)와 같은 기본 관리자 그룹에 사용자가 추가되는 경우 등 항상 정밀한 조사가 필요한 사안에 적합합니다. 그러나 이 접근 방법에는 두 가지 큰 문제가 있습니다.

1. 항상 의심스러운 것으로 간주되는 행동은 소수입니다. 그보다는 적절한 맥락에서만 의심스러운 것으로 간주될 수 있는 행동이 더 보편적입니다.

2. 특정 행동을 인식하는 규칙을 만들려면 사고를 유발하는 그 행동에 관한 과거의 경험 또는 지식이 필요합니다. 즉, 예상하지 못하는 행동은 규칙으로 캡처할 수 없습니다.

첫 번째 제한을 조금 더 구체적으로 살펴봅시다. 의심스러운 사용자 행동을 탐지하는 규칙 기반 접근 방법에서는 대부분 다음과 같은 행동에 대해 경보를 발령하는 규칙을 생성합니다.

- 최근 활성화된 사용자 계정 중 비활성화된 사용자 계정
- 연속으로 여러 번 실패한 로그온
- 짧은 시간 동안 다수의 파일이 수정됨

이러한 모든 규칙은 더 큰 맥락에서 벌어지는 일련의 의심스러운 행동 고리에 포함되는 하나의 행동을 캡처할 가능성이 있습니다. 그러나 규칙은 행동이 탐지될 때마다 경보를 발령합니다. 사용자 인증이 10회 연속 실패한 경우 95%는 무차별 대입 공격이 아니라 단순히 암호를 잊었거나 잘못 입력한 경우에 해당합니다. 짧은 시간 내에 다수의 파일이 수정된 경우 사용자가 급여 애플리케이션을 실행해서 월별 재무 기록을 업데이트한 결과일 가능성이 높습니다. 물론 맬웨어로 인한 결과일 수도 있습니다.

문제는 이러한 규칙이 막대한 수의 경보를 생성하고 그 중 상당수는 오탐지라는 것입니다. 조사하는 경보의 대다수가 단순히 노이즈에 불과하다는 것을 알게 되면 자연스럽게 조사하는 작업을 그만두게 됩니다. 또한 충분히 의심할 만한 지표도 온갖 노이즈에 가려 잘 보이지 않게 되는 경우가 많습니다.

파이어아이(FireEye)의 조사에 따르면
전 세계 조직의 37%는 한 달에 1만 건 이상의 경보를 받습니다. 이는 시간당 14건에 해당합니다. 미국 기업의 경우 평균적으로 그보다 5배 더 많은 경보를 받습니다. 규칙 기반 위협 탐지 솔루션은 너무 많은 경보를 생성하기 때문에 기업 입장에서는 경보의 대부분을 무시하는 것 말고는 다른 선택안이 없습니다.

선제적 방식을 유지하되 노이즈를 줄이는 방법은?
해답은 패턴 기반의 사용자 위협 탐지입니다. 감사 데이터에서 특정 작업만 찾는 대신 각 사용자 행동의 기준선을 모델링하고 이 기준선을 사용해서 변칙적인 행동을 발견하는 방법입니다. 사용자에 대해 상당한 정도의 변칙적 패턴이 탐지되고 각 패턴의 조합으로 충분히 높은 위험 점수가 산출되는 경우에만 검토 경보가 생성됩니다.

예를 들어, 사용자가 액티브 디렉토리 로그온에 10회 연속 실패하고, 이후 이전에는 한 번도 로그온한 적이 없는 시스템에서 성공적으로 로그온하고, 이후 이 사용자가 이례적으로 많은 수의 파일에 액세스하고 유휴 상태인 권한이 높은 사용자 계정을 활성화합니다. 이 일련의 동작은 실질적인 내부 위협 또는 네트워크 침해를 나타낼 가능성이 훨씬 더 높습니다.

사용자 행동 모델링과 비정상 탐지, 여러 단계에 걸친 위험 점수 산출은 단순히 경보의 질을 높일 뿐만 아니라 양 측면에서도 이점을 제공합니다. 앞서 언급한 의료 기업을 상기해 보십시오. 1개월 동안 1억 9,000만 건의 감사 이벤트가 분석됐는데, 패턴 기반 접근 방법을 통해 발령된 경보의 수는 123개에 불과했습니다. 하루 5개 미만입니다. 관리 측면에서 훨씬 더 현실적인 숫자입니다.

규칙에도 나름의 용도는 있지만 더 큰 사용자 위협 탐지 전략의 맥락에서 보면 아주 작은 한 조각일 뿐입니다.

퀘스트의 체인지 오디터 스렛 디텍션(Change Auditor Threat Detection)은 패턴 기반 사용자 및 엔티티 행동 분석(user and entity behavior analytics, UEBA)을 사용해서 개별 사용자 행동을 모델링하고 의심스러운 또는 훼손된 사용자를 나타낼 수 있는 변칙적 행동을 탐지합니다. 곧 자세한 내용이 공개될 예정이니 기대해주시기 바랍니다.

  • 등록된 댓글이 없습니다.