Elastic Stack을 사용한 분산 경보

blog-security-radar-720x420.png

현대의 컴퓨팅 환경과 분산된 인력은 기존의 정보 보안 접근 방식에 새로운 도전 과제를 안겨주었습니다. 기존의 많은 위협 탐지 및 대응 전략은 동종의 환경, 시스템 기준선 및 일관된 제어 구현에 의존합니다. 이러한 전략은 기존 환경을 가정으로 하여 구축되었지만, 이러한 가정은 클라우드 컴퓨팅, 원격 작업 및 현대 문화가 발전하면서 더 이상 여러분의 환경에 해당되지 않을 수도 있습니다.

Elastic은 기술에서 인력에 이르기까지 디자인별로 분산되어 있습니다. Elastic의 직원들은 자신이 원하는 곳에서, 원하는 때에, 원하는 방식으로 일할 수 있도록 지원을 받습니다. 여기에는 사용하는 기술, 필요한 구성 및 선호하는 소프트웨어가 포함됩니다. 이러한 현대적인 생산성 문화의 실현은 정보 보안에 대한 새로운 도전 과제를 안겨줍니다. 

IT 개입 없이 새 사용자 생성, 네트워크 프록시 구성, 새 소프트웨어 설치와 같은 위험이 높은 활동을 수행할 수 있는 환경을 어떻게 보호할 수 있을까요? 적절한 활동 기준선이 없는 환경에 어떤 방식으로 탐지할 수 있을까요? 다양한 위치에서 또는 심지어 다양한 국가에서 운영되는 현대 기업 전체에서 탐지 및 대응 관행을 어떻게 확장할까요? 기존 보안 운영 센터(SOC) 없이 어떻게 해야 할까요?

간단합니다. Elastic은 분산 경보 프레임워크를 통해 해당 활동을 확인하거나 거부할 수 있는 최상의 위치에 있는 사용자에게 경보를 보냅니다. 

분산 경보를 통해 위협 탐지 및 대응 팀은 위험한 활동을 자동으로 식별하고, 직원에게 자연어로 메시지를 보내고, 해당 활동에 대한 확인을 요청할 수 있습니다. Elastic의 직원이 해당 활동을 인식하지 못하는 경우, 교정 조치를 위해 즉시 사고 대응 팀에 경보를 에스컬레이션할 수 있습니다. 다음은 새 MFA 장치가 직원의 계정에 등록될 경우 직원에게 전송되는 분산 경보의 예입니다.

Elastic의 직원이 해당 활동을 인식하는 경우, YES: This Was Me 버튼을 클릭합니다. 활동 또는 조정 기회를 설명하는 데 유용할 만한 추가 정보를 제공하라는 메시지가 표시됩니다.

백엔드에서는 새 보안 케이스가 생성되고, 경보가 케이스와 연결되며, 세부 정보가 기록되고, 케이스가 "영향 없음"으로 닫히고, 일별 보고서에 대한 요약이 표시됩니다.
Elastic의 직원이 해당 활동을 인식할 수 없는 경우, NO: Escalate to InfoSec를 클릭합니다. 그러면 새로운 보안 케이스가 생성되고, 새로운 Slack 채널이 생성되며, 사고 대응 팀과 보고자를 채널로 초대하고, 팀에 추가 정보를 제공하게 됩니다.

이 활동을 가장 잘 확인할 수 있는 사람에게 이러한 활동을 직접 전송함으로써, 탐지의 정탐/오탐 비율을 유지하고, 어떤 활동이 위협 요인이지만 우리 환경에서 정기적으로 발생하는 경우 위험도가 높은 활동에 대한 "어려운" 탐지를 모두 해결하는 시간을 단축할 수 있습니다. 

좋은 분산 경보 후보는?

분산 경보를 위한 좋은 후보는 보안 태세에 높은 위험을 초래하지만 악의적인 활동의 맥락이나 징후가 없는 활동입니다. 예를 들어, 사용자에 대해 "새 MFA 장치 등록됨"을 트리거하는 단일 경보는 활동 의도에 대한 컨텍스트를 제공하지 않습니다. 사용자는 정기적으로 새로운 MFA 장치를 계정에 추가합니다. 그러나 이 장치가 위협 행위자의 장치인 경우, 이후의 모든 인증이 유효한 다중 요소 장치로 성공적으로 인증되므로 계정이 침해된 것으로 간주됩니다. 이 시나리오는 위협 탐지 및 대응 팀에게 어려운 상황을 제시합니다. 이러한 이벤트의 모든 세부 사항을 조사하지 않고 아무런 컨텍스트 없이 어떻게 이러한 활동을 검증할 수 있을까요? Elastic은 이러한 경보를 분산시킵니다.

추가적인 배경을 조금 더 소개해 드리자면, Elastic의 위협 탐지 전략은 다음과 같습니다. Elastic은 몇 가지 다른 아이디어를 통해 시스템 활동 전체가 적용 범위가 되도록 하고 있습니다.

Elastic은 이벤트를 다음 세 가지 범주로 분류합니다.

  • 로그: 시스템에서 발생하는 모든 이벤트입니다. 로그는 발생한 상황을 이해하기 위해 조사에 포함되는 경우가 많습니다. 로그 이벤트는 의심스러운 활동을 나타내지 않습니다. 단지 발생한 상황에 대한 기록일 뿐입니다.
  • 신호: Elastic은 Elastic Security 애플리케이션을 사용하여 신호를 생성합니다. 탐지 규칙은 의심스러운 활동을 나타낼 수 있는 활동을 식별하기 위해 작성되지만, 활동이 무해할 수도 있습니다. 이러한 이벤트의 컨텍스트는 단일 이벤트에서 확인하기 어렵기 때문에, 즉각적인 경보는 아닙니다. 위협 헌팅은 관련 활동을 식별하기 위한 신호를 중심으로 설계되었으며, 이는 탐지 규칙을 신호에서 경보로 조정하기 위해 악의적이거나 무해한 콘텐츠를 파악하는 데 활용될 수 있습니다.
  • 경보: 악의적인 활동(즉, 악의적인 활동의 가능성)을 나타내는 신호에 대한 신뢰도가 높은 경우, 신호를 경보로 승격하며 또는 활동에 영향이 큰 경우, 영향 가능성(즉, 악의적인 경우 영향)을 줄이기 위해 모든 이벤트를 검증합니다.

영향은 크지만 악의적인 의도가 있을 가능성은 낮은 경보의 경우, 경보를 분산할 수 있는 좋은 기회입니다. 이를 통해 기존 SOC를 사용하지 않고도 엔터프라이즈 규모의 관리 활동, 새로운 활동, 비정상적인 사용자 활동 및 기타 모든 활동을 검증할 수 있습니다.

경보 분산 방법

Elastic 제품의 ‘고객 제로’인 Elastic은 Elastic Stack을 SIEM과 SOAR 아키텍처의 중심에 두고 있습니다. 모든 데이터가 Elastic Stack으로 수집되는 방법에 대한 자세한 내용은 블로그 게시물 Elastic의 Elastic: InfoSec SIEM으로 수집되는 데이터를 참조하세요.

이 새로운 분산 경보 기능을 사용할 수 있도록 위해 아키텍처를 몇 가지 업데이트했습니다.

자동화 플랫폼을 도입하여 워크플로우를 Tines 노코드 자동화 플랫폼으로 중앙 집중화했습니다. Tines에서 기본 제공되는 워크플로우를 활용하여, Elastic Stack의 경보를 Tines 스토리의 미리 정의된 논리를 기반으로 분류하고 배포합니다.

탐지 규칙에서 분산을 위해 태그DISTRIBUTE_ALERT로 지정되면, Tines는 경보를 경보 분류 대기열에서 분산 경보 워크플로우로 리디렉션하게 됩니다.

DISTRIBUTE_ALERT 태그가 포함된 모든 경보는 분산 경보 워크플로우를 통해 실행됩니다. Tines 워크플로우는 자산 데이터베이스에서 사용자를 식별한 다음 Slack을 통해 사용자에게 경보를 전송하여 확인합니다.

사용자가 경보의 버튼을 클릭하면, 다음 워크플로우로 들어가 추가 정보를 요청하거나 경보를 사고 대응으로 에스컬레이션합니다.

이러한 경보는 모든 관련 정보가 포함된 Elastic 케이스의 새 케이스를 자동으로 엽니다. Elastic은 추가 자동화를 활용하여 분석가에게 GreyNoise 및 관련 Elastic Security 경보와 같은 강화 기능을 제공합니다. 분석가가 검토할 수 있도록, IP 주소에 대한 최근 30일 활동도 Elastic 타임라인에 제공됩니다.

사용자가 피드백을 제공하고 활동을 확인하면, 피드백이 케이스에 기록되고 케이스가 닫힙니다. 

시작하려면 어떻게 해야 할까요?

Elastic Cloud 14일 무료 체험판을 시작하고 Tines 스토리 Elastic Security 경보 분류 및 악성 IP 차단 예제를 활용하여 Elastic Security 경보를 자동화 워크플로우에 수집하기 시작할 수 있습니다. 그런 다음 선택한 메시징 클라이언트와 통합해야 합니다. Tines는 SlackMicrosoft Teams를 위해 라이브러리에서 예제 스토리를 제공합니다.