웨비나속 Q&A

지금 내용이 해당 내용이라 들어봐주시면 좋겠습니다^^

데이터 소스에 대한 부분을 추가로 확보하면 어떨까 합니다. 더불어 CVE기반이 아닌 EPSS같은 위험도를 기반으로 하는 방향으로 검토가 필요합니다.

아무래도 권한 얘기를 하지 않을 수 없을 것 같습니다. Role Based 로 하여 접근 통제를 하는 클라우드 환경이 많기 때문에 Role에 대한 세분화와 고도화가 필요하며, 이 과정에서 보안 공백이 발생할 수 있습니다.

MITRE ATT&CK 기반 탐지 규칙을 병행하여 운영, 벤더별 보안 패치 RSS/메일링리스트 활용, ISAC/Threat Intel 등의 서비스를 구독하여 CVE 없이도 위협 정보를 받을 수 있는 채널 확보 하는 것 등이 대안이 될 수 있을 것 같습니다.

뒤에 내용좀 다루고 있습니다^^

도움이 될꺼라 생각합니다. 다만 상용(유료), 무료로 제공되는 정보의 범위나 내용에 따라 효과성의 폭은 달라지지 않을까 합니다.

기존 레거시 보안레이어를 구성하여 각개전투로 방어하며, 이를 단순히 SIEM에 모으는 것만으로는 가시성이 떨어질 수 밖에 없고 서로 다른 이기종 보안장비의 보안 로그간 연관성을 특정하기가 굉장히 어렵습니다. Google의 SecOps 플랫폼은 수집된 모든 보안 텔레메트리를 연관분석하여 서로 다른 이벤트 간의 연관성을 탐지하여 공격 간 연관성을 식별할 수 있으며 이 과정에서 Google의 보안 특성화 AI 엔진이 활용됩니다.

뒤에 이야기나오겠지만 상용 위협 인텔리전스를 통해 안정적으로 정보를 공급 받는게 필요하지 않을까 합니다.

최근 계속 뉴스에 나오는 정부효율화와 관련이 있지 않을까 합니다.

MITRE ATT&CK 기반 탐지 규칙을 병행하여 운영, 벤더별 보안 패치 RSS/메일링리스트 자동 수집 스크립트 운영, ISAC/Threat Intel 등의 서비스를 구독하여 CVE 없이도 위협 정보를 받을 수 있는 채널 확보 하는 것 등이 대안이 될 수 있을 것 같습니다.

실제 보안 현업에서 CVE에 대한 의존도가 상당히 클 수 있다고 생각됩니다. CVE 코드와 이에 매칭되는 백데이터를 기반으로 보안 체계를 구축하고 계시는 고객사도 많으실거구요. CVE 프로그램에 대한 불안정성은 이러한 기업들에게 다른 대안을 생각해봐야 할 필요성을 제기할 수 있습니다.

SecOps 솔루션 등을 활용하여 위협에 대해서 선제적인 탐지와 자동화된 대응을 수행할 수 있으며 Threat Intelligence의 다양한 PoC 코드 등을 활용하는 것도 좋은 방안이 될 수 있을 것 같습니다.

사이버 위협 사고가 발생하기 전에 사전적이고 선제적인 대응 체계를 수립하기 위해서는 탐지된 사전 징후에 대해서 분석하고 관련된 공격 그룹 등의 일반적인 TTPs 등을 분석하여 다음의 타겟과 위협 행위 등을 예측하는 것이 중요합니다. 이를 위해서는 Mitre att&ck의 TTPs 에 대한 정보들, Adversary TI 벤더의 방대한 위협 데이터 등을 활용할 수 있습니다.

우선적으로는 CVE의 공백을 내부적으로 대체할 수 있는지를 먼저 점검해야할 필요성이 있습니다. 취약점에 대한 수동 점검과 스캐닝 주기를 강화하거나 보안 벤더에 이를 대체할 방안을 요청해보시는 것이 현실적일 것 입니다. SecOps 솔루션 등을 활용하여 위협에 대해서 선제적인 탐지와 자동화된 대응을 수행할 수 있으며 Threat Intelligence의 다양한 PoC 코드 등을 활용하는 것도 좋은 방안이 될 수 있을 것 같습니다.