연구 블로그, 인텔리전스 피드, 뉴스 속보 등 새로운 위협 행위자 기법이 등장하면 모든 위협 헌터는 본능적으로 가설 모드로 전환합니다. 내 환경에서도 이런 일이 발생할 수 있나요? 소음 속에 초기 신호가 숨어 있나요?
최근의 톨부스 연구를 예로 들어 보겠습니다. Elastic Security Labs에서 공격 체인을 공개하는 순간, 분석가는 다음과 같이 설명된 특정 기술을 기반으로 가설을 세우기 시작할 수 있습니다:
- 전체 원격 분석으로 다시 검사했을 때 과거에 동결되거나 보관된 IIS 서버 로그에 이상 징후가 나타난 적이 있나요?
- IIS 서버에서 자격 증명 덤핑 또는 권한 에스컬레이션 시도의 징후가 있나요?
이는 가설 기반 헌팅의 핵심으로, 위협이 발생하고 있는 상황에서 시작하여 신속하게 목표에 맞는 질문을 던집니다. 새로운 공격에 대비할 수 있는 가장 효과적인 방법 중 하나이지만, 이를 위해서는 광범위한 가시성과 호기심을 충족할 수 있는 도구가 필요합니다.
하지만 많은 SOC 팀의 현실은 이에 미치지 못합니다. 데이터 사일로, 제한된 검색 기능, 수동 상관관계 분석에 따른 피로감에 직면해 있습니다.
Elastic Security는 가설 중심의 위협 헌팅을 속도와 규모로 지원하여 이러한 장벽을 제거하도록 설계되었습니다. 보안 원격 분석을 통합하고 클러스터 전반에서 분석을 활성화함으로써 위협 헌터는 모든 데이터에서 복잡한 질문을 하고, 신호를 상호 연관시키고, 수동 데이터 스티칭 없이 신속하게 가설을 검증할 수 있습니다.
이 기능은 함께 작동하는 일련의 기본 빌딩 블록을 통해 제공됩니다:
-
에이전트 워크플로는 경고를 분류하고, 지식 기반 AI 어시스턴트는 검증된 ES|QL 쿼리를 생성하여 문제 해결을 유도하고 다음 단계를 추천합니다.
-
지속적으로 업데이트되는 위협 연구와 공격자 인사이트를 탐지 및 조사에 직접 제공하기 위해 Elastic Security Labs를 운영합니다.
-
실제 공격 기법 및 사냥 시나리오에 맞춰 즉시 적용 가능한 탐지 규칙을 제공합니다.
-
엔티티 분석을 통해 사용자, 호스트, 서비스를 상호 연관시키고, 위험 점수를 할당하고, 이상 징후를 파악하여 모든 조사를 강화할 수 있습니다.
-
머신 러닝과 이상 징후 탐지를 통해 정상 동작에서 벗어난 행동을 발견하고 알려지지 않았거나 새로운 위협을 노출합니다.
-
ES|QL, 시각화, 클러스터 간 검색을 통해 빠르고 표현력이 풍부한 쿼리, 직관적인 분석, 사각지대 없이 분산된 환경 전반에서 원활한 헌팅을 지원합니다.
이러한 구성 요소를 함께 사용하면 보안 팀이 하나의 통합된 Elastic Security 플랫폼 내에서 모든 데이터에 대해 사후 대응적인 조사에서 자신감 있고 사전 예방적인 위협 추적 테스트 가설로 전환하는 데 필요한 속도, 확장성, 분석 깊이를 확보할 수 있습니다.
숲 속으로: 실제 롤빈스 사냥 탐색하기
이 섹션에서는 실제로 위협 헌팅이 어떻게 진행되는지, 빈 검색창에서 확인되고 포함된 위협으로 이동하는 실제 시나리오를 통해 LOLBins(Living Off the Land Binaries)에 초점을 맞춘 시나리오를 보여 줍니다.
RAG 기반 AI 어시스턴트로 가설 구축하기
쿼리를 작성하기 전에도 조사를 시작할 수 있습니다. Elastic의 검색 증강 생성(RAG) 기반 AI Assistant를 사용해 Elastic Security Labs 연구와 같은 신뢰할 수 있는 지식 소스를 가져와 가설의 토대를 구축할 수 있습니다. 신뢰할 수 있는 소스를 지식으로 추가하여 어시스턴트가 사용자가 의존하는 데이터를 반영하도록 할 수 있습니다.
아직 구체적인 목표가 없는 경우 어시스턴트에게 문의할 수 있습니다,
"현재 트렌드에 비추어 볼 때, 오늘은 어떤 가설로 헌팅을 시작해야 할까요? " 어시스턴트는 구성된 지식창고를 스캔하여 관련 컨텍스트를 제공하고 뒷받침하는 이유 및 증거와 함께 기본 가설을 직접 생성합니다. 이 시나리오에서는 지식창고에 Elastic Security Labs 콘텐츠가 추가되어 컨텍스트를 제공합니다.
AI 어시스턴트가 맞춤형 위협 헌팅 쿼리를 생성하는 동안 편안히 앉아 계세요.
LOLBin 가설을 수락하면 AI 어시스턴트가 사용자 환경에 맞는 정확한 ES|QL 위협 헌팅 쿼리를 생성합니다. 복잡한 구문을 처음부터 작성하는 대신 특정 의심스러운 행동을 표시하도록 설계된 표적 검색을 받게 됩니다.
쿼리를 실행할 준비가 되었는지 확인하기 위해 Elastic AI Assistant는 에이전트 워크플로우를 사용하여 사람이 제공한 사용 사례에서 맞춤형 ES|QL 쿼리를 생성합니다. Elastic 클러스터 데이터를 활용하여 정확하고 바로 실행 가능한 응답을 생성하고 최종 쿼리를 반환하기 전에 자동 유효성 검사를 수행합니다. 이 백그라운드 검증을 통해 수동으로 문제를 해결할 필요가 없으며, AI 어시스턴트에서 바로 조사 타임라인으로 가져올 수 있는 검증되고 바로 사용할 수 있는 쿼리를 제공합니다.
또는 Elastic의 위협 추적 쿼리의 GitHub 리포지토리를 어시스턴트의 지식 기반에 연결하여 기존 쿼리를 다음 단계의 기준선으로 사용할 수 있습니다.
ES|QL로 전체 환경의 위협 추적
글로벌 환경을 관리하면서 이 활동이 다른 클러스터에서도 발생하고 있는지 확인해야 하는 경우, AI 어시스턴트에게 클러스터 간 검색(CCS)을 위한 쿼리를 조정하도록 요청하여 가설을 확장할 수 있습니다. 이를 통해 조사 워크플로우를 중단하지 않고도 동결된 데이터와 장기 데이터를 포함해 사용자 환경의 여러 클러스터에서 검색할 수 있습니다.
AI 어시스턴트에서 타임라인 보기로 원활하게 전환하여 쿼리를 실행할 수 있습니다. 이 표적 검색은 호스트 이름이 elastic-defend-endpoint인 Windows 서버에서 gbadmin 사용자 계정*.*으로 실행되는 rundll32.exe 인스턴스라는 중요한 발견을 발견했습니다.
분석 및 비주얼리제이션으로 컨텍스트 추가
히트를 찾는 것은 1단계에 불과하며, 이제 관리자가 유지보수를 수행하는 것인지 실제 공격인지 확인해야 합니다. 아이디어를 검증하려면 호스트와 사용자 전반에 걸친 심층 분석이 필요합니다. 영향을 받는 호스트로 드릴다운하면 엔티티 세부 정보로 이동합니다.
여기에는 호스트 이름만 표시되는 것이 아닙니다. 호스트의 위험 점수, 해당 점수에 영향을 미치는 특정 알림, 자산의 중요도를 한 곳에서 통합하여 볼 수 있습니다. 탐지 신호, 행동 이상 징후, 자산 중요도를 한데 모은 Elastic의 엔터티 위험 점수는 분석가가 자산이 왜 위험한지, 위협이 얼마나 긴급한지, 어디에 먼저 집중해야 하는지 빠르게 파악할 수 있도록 도와줍니다. 이러한 통합된 컨텍스트는 조사 시간을 단축하고 추측을 최소화하며 대용량 환경에서도 확실한 우선순위를 지정할 수 있게 해줍니다.
머신 러닝으로 이상 징후 확인
위험 점수를 검토하면 근거가 되는 증거가 함께 표시됩니다. 위험 점수 상승에 기여하는 특정 경고를 확인할 수 있으며, 여기에는 중간 심각도 경고와 '비정상적인 Windows 경로 활동'과 같은 머신 러닝(ML) 경고가 혼합되어 있습니다.
ML은 정적 규칙이 종종 놓치는 미묘한 편차를 탐지하는 데 고유하게 적합하므로, 위험 점수에 기여하는 ML 경고를 확인하면 이 활동이 단순한 노이즈가 아니라 의미 있는 행동 이상을 가리키는지 확인하는 데 도움이 됩니다.
이벤트 세부 정보는 프로세스 계보를 즉시 시각화하여 중요한 증거를 패널에 바로 표시합니다. 이러한 인사이트를 통해 가설을 그럴듯한 가설에서 입증 가능한 가설로 전환할 수 있습니다.
조치를 취하세요: 인사이트에서 대응까지
의심스러운 활동을 발견하여 가설을 검증한 후에는 바로 다음 단계로 대응에 나서야 합니다. Elastic Security를 사용하면 대응자가 플랫폼을 전환하지 않고도 조사에서 바로 조치를 취할 수 있습니다.
손상된 호스트가 확인되면 콘솔에서 해당 호스트를 격리하여 측면 이동을 방지하거나 LOLBIN 헌트에서 발견된 악성 프로세스 트리를 종료하는 등의 조치를 취할 수 있습니다. 조사에서 대응으로 원활하게 전환할 수 있으므로 동일한 도구와 컨텍스트를 사용하여 신속하게 격리할 수 있습니다.
쿼리 운영 및 헌팅 자동화
향후 헌팅을 자동화하고 반복되는 패턴의 수동 검증을 없애기 위해 쿼리를 운영 탐지 규칙으로 직접 가져오거나 특정 행동, 이상 징후 또는 처음으로 나타나는 새로운 용어 값에 대한 규칙을 만들어 클릭 한 번으로 완전한 운영 탐지 규칙으로 변환할 수 있습니다.
엔터프라이즈 환경에서는 LOLBin 헌팅을 통해 대량의 알림을 빠르게 생성할 수 있습니다. 바로 이 부분에서 에이전트 공격 탐지 기능이 큰 차이를 만들어냅니다. 주요 목적은 신호를 자동으로 상호 연관시키고 즉각적인 주의가 필요한 활동을 강조 표시하여 효율적으로 분류할 수 있도록 돕는 것입니다.
또한 헌팅 관련 알림을 그룹화하고 태그를 지정한 후 해당 세트에 대해서만 공격 검색을 실행하여 의미 있는 패턴을 발견할 수 있습니다. 이러한 유연성으로 인해 Attack Discovery는 자동화된 경보 분류뿐만 아니라 가설 중심의 고급 위협 헌팅 워크플로우에도 유용합니다.
보너스: Elastic 에이전트 빌더로 자동화하기
보안 데이터 전반에서 LOLBin 활동을 헌팅하도록 특별히 설계된 맞춤형 에이전트를구축한다고 상상해 보세요. Elastic 에이전트 빌더를 사용하면, 수동 워크플로우에 사용되는 ES|QL 쿼리와 같은 도구를 갖추고 LLM으로 구동되는 이 에이전트를 생성할 수 있습니다.
일단 구성이 완료되면 자연어를 사용하여 보안 데이터와 상호 작용할 수 있으며, 상담원이 요청을 추론하여 가장 관련성이 높은 도구를 선택하고 조치를 취합니다. 예를 들어 "머신 러닝 이상 징후를 유발한 LOLBin 활동을 보여주고 영향을 받은 호스트와 해당 위험 점수를 요약해주세요."라고 요청할 수 있습니다.
Elastic Security로 새로운 공격에 대비하세요.
가설 기반 위협 헌팅은 최신 공격에서 앞서 나가기 위해 매우 중요하지만 올바른 도구가 없으면 복잡하고 시간이 많이 소요될 수 있습니다. Elastic Security는 AI 지원 조사, ES|QL 검색, 상황별 분석, 머신 러닝, 통합 대응을 결합하여 모든 단계를 더 간단하고 빠르게 만듭니다.
새로운 위협이 발생하는 순간부터 실행 가능한 대응 시점까지, Elastic은 분석가들이 숨겨진 신호를 발견하고, 가설을 검증하고, 결정적인 조치를 취할 수 있도록 지원하여 원시 데이터를 인텔리전스로, 인텔리전스를 실행으로 전환할 수 있게 해줍니다.
Elastic Security에 대해 더 자세히 알고 싶으신가요? 웨비나, 이벤트 등을 둘러보거나 지금 바로 무료 체험을 시작하세요.