보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
CTI 유해 정보를 활용한 SIEM 탐지 방법
2021.01.07
9,178
01. 개요
이글루시큐리티는 지능형 공격의 빠른 식별, 분석, 대응을 위해 실시간 위협 정보를 자동으로 공유하는 CTI를 운영하고 있다. 사용자는 SPIDER TM과 CTI의 사이버 위협 정보를 연동하여, 탐지의 정확성을 높일 수 있다. 그럼 CTI 에서 제공하는 정보 중 Black List IP/ URL정보를 활용하여 탐지하는 방법을 알아보겠다.
02. CTI (Cyber Threat Intelligence)
CTI(Cyber Threat Intelligence)란 전 세계에서 일어나는 모든 위협 정보를 수집하고 분석한 지식을 활용하여 사이버 위협에 대응하는 것을 말한다.
고도화 되는 사이버위협에 대응하기 위해 위협 정보의 공유와 공동 대응의 필요성이 대두된 이후, 해외의 CTA(Cyber Threat Alliance)나 국내 한국인터넷진흥원의 C-TAS(Cyber Threats Analysis System)는 보다 효율적인 분석을 위한 움직임들의 결과라고 볼 수 있다.
이제 Cyber Threat Intelligence는 보안에서 가장 중요한 대응책 중에 하나이며, SOC를 운영하는 기관과 기업의 경우 국내 환경에 맞는 CTI의 선택은 필수이다. 이글루시큐리티는 2016년 ‘K-Center’에 이어 2018년 ‘IGLOO CTI’를 통해, 고객에게 위협 인텔리전스를 제공하고 있다.
[그림 1] 이글루시큐리티 위협정보 서비스
[그림 2] 위협 정보 수집
03. CTI(Cyber Threat Intelligence) 분류
이글루 CTI는 여러 국내외 정보를 수집하는데 이러한 수집 분류 중 ‘IGLOO’ 정보는 이글루시큐리티 자체 원격/파견관제팀에서 대응한 위협 정보이므로 신뢰도가 높다.
CTI를 SPIDER TM에 연동하여 받아 볼 수 있는 정보는 아래와 같다.
[표 1] CTI 수집 분류
04. SPiDER TM과 CTI 연동
1) CTI 연동 관련 접속 정보 및 옵션 설정 화면 (메뉴: 관리 > 운영관리 > CTI연동)
[표 1] ‘CTI 수집 분류’ 에서 제공하는 유해 정보들을 SPIDER TM에 받아보기 위해서는 SIEM 서버와 이글루시큐리티의 CTI 서버 간 API 통신이 가능해야 한다.
SIEM 서버가 내부 망에 존재할 경우, SIEM 서버와 CTI 서버가 통신하기 위한 공인 IP 확인이 필요하다.
공인IP에 대한 방화벽 정책을 적용하여 통신에 문제가 없도록 한다.
[그림 3] CIT 설정 정보
· 접속 URL : CTI 서버의 URL 주소를 입력
· 접속 Port : CTI 서버로의 접속 Port를 입력 (Default:443)
· apikey : 담당 엔지니어를 통해 연동 API KEY를 사전에 발급을 받고 해당 키를 입력한다.
· ‘접속 테스트’ 버튼을 눌러 CTI 서버와 SIEM 서버의 통신 상태를 체크한다.
[그림 4] CIT 동기화 옵션
· 자동업데이트 : 특정 시간대 혹은 주기 설정을 통해 자동으로 해당 시간대에 정보를 업데이트 하도록 하는 설정
· 항목 : 연동하고자 하는 항목들을 선택하는 부분
· ‘수동업데이트’ 메뉴를 클릭하면, 지정한 시간이 아닌 실행 시간에 유해정보들을 동기화 한다.
2) 유해 IP/URL 확인 (메뉴:예방활동 > 유해 IP/URL)
해당 메뉴는 유해 IP와 유해 URL을 선택하여, CTI 서버에서 동기화된 유해정보들을 확인 할 수 있다. 주요 항목들의 설명은 아래와 같다.
[그림 5] 예방활동 메뉴
· 레벨 : H-위험도가 높은 유해 정보, M-위험도가 중간인 유해 정보, L-위험도가 낮은 유해 정보
· 유효기간 : 일반적으로 유해 IP의 유효기간을 6개월로 설정하고 있다.
지속해서 발생하는 유해 정보의 경우 유효기간을 수동으로 연장하여 관리 할 수 있다.
· 설명 : 유해 정보의 출처, 유해IP로 등록된 날짜가 기입되어 있으며 고객사 환경에 맞게 수정 및 관리가 가능하다.
[그림 6] 유해 정보 목록
· 유해 IP/URL 복수의 정보를 조회하는 메뉴이며, 유효한 정보, 만료된 정보를 구분하여 검색할 수 있다.
· 유해정보들은 수동으로 추가, 수정, 삭제가 가능하며, csv 파일로 추출이 가능하다.
3) 보안 권고 사항 조회 (메뉴: 정보공유 > 보안 권고 / 상황 전파문)
· CTI에서 각종 보안취약점 및 보안업데이트 권고 사항들을 업데이트하고, 조회할 수 있다.
· 보안취약점에 관한 개요, 설명, 대상 참고 사이트 등에 대한 정보를 제공한다.
[그림 7] 보안 권고 / 상황 전파문
05. 유해 정보를 활용한 탐지 방법
1) 유해 IP/URL 활용 및 오브젝트 등록
유해 정보를 탐지하기 위한 탐지 규칙을 사전에 생성하고, 기존 탐지 룰에 추가 하여 활용 할 수 있다.
유해 정보 탐지 규칙을 기존 탐지 룰에 적용 시 기존 탐지 정책 대비 오탐을 줄일 수 있다.
아래는 유해IP/URL 탐지 규칙을 생성하는 과정이다.
· CTI_OSINT_TOR : 국외 정보를 담은 OSINT 출처이며, 발생 90일 이내 위협 정보 출발지 IP에 포함
[그림 8] CTI_OSINT_TOR
· CTI_KISA_CERT_SMS-MALWARE : 국내 정보를 담은 KISA 출처이며, 90일 이내 위협 정보가 출발지 IP에 포함
[그림 9] CTI_KISA_CERT_SMS-MALWARE
· CTI_DNS_유해도메인접근 : 180일 이내 국 내외 유해한 URL정보를 포함
[그림 10] CTI_DNS_유해도메인 접근
2) 단일 경보 관리 유해 IP 활용
[그림 11] 유해 IP 탐지 규칙 등록 과정
사전에 생성한 오브젝트를 ‘룰 조건 정의’ 탭에 추가한다.
운영중인 기존 정책에 추가 가능하다.
3) 단일 경보 발생 확인
[그림 12] 유해 IP 경보 발생 및 확인 과정
상관분석 탭에서 실시간으로 발생하는 경보를 확인가능하다.
특징으로 등록된 경보의 조건에 맞는 유해 IP 이벤트 탐지 시 IP정보가 붉은색으로 표시 된다.
4) 단일 경보 관리 유해 URL 활용
[그림 13] 유해 IP 탐지 규칙 등록 과정
SIEM에 유해사이트 차단 장비가 연동 되어 있을 경우, 유해 URL 접근 시 탐지가 가능하다.
5) 단일 경보 발생 확인
[그림 14] 유해 URL 경보 발생 및 확인 과정
상관분석 탭에서 실시간으로 발생하는 경보를 확인 할 수 있다.
유해사이트 차단 장비의 로그와 CTI 장비에서 업데이트한 유해 URL정보를 매칭하여 탐지한 모습이다.
06. 타 사이트를 활용한 유해 정보 추가 확인
SIEM에서 탐지한 이벤트를 기반으로, IP의 유해 여부를 확인 후 네트워크 보안장비에서 차단 정책을 수행해야 한다.
아래 참고사이트를 활용하여 검토를 수행할 수 있다.
1) IPVOID 사이트 활용
IPVOID 사이트 : https://www.ipvoid.com/ip-blacklist-check
위 사이트 접속 후 IP 입력란에 해당 IP 입력 후 check ip Address 클릭하게 되면 블랙리스트 IP 여부를 확인 할 수 있다.
[그림 15] IPVOID
2) VIRUSTOTAL 사이트 활용
VIRUSTOTAL 사이트 : https://www.virustotal.com
File / URL / IP 등을 입력하여 유해 여부를 판단할 수 있다.
위 사이트 접속 후 SEARCH 선택 후 IP를 검색하면 블랙리스트 IP 여부를 확인 할 수 있다.
[그림 16] VIRUSTOTAL
07. 결론
글로벌 위협 정보를 수집하고 공유하는 CTI를 활용하여 SIEM의 탐지 규칙을 생성하고, 사이버위협에 대응하는 내용을 다뤄보았다.
운영중인 탐지 규칙에 CTI의 유해 정보를 추가할 경우 오탐을 최소화 할 수 있다.
SIEM을 통해 탐지한 데이터를 이용하여 사이트에 자주 접근하는 유해IP들을 지속해서 관리, 차단하는 업무를 수행하며 침해사고에 대응 할 수 있다.