Blog

구글 클라우드의 Chronicle 플랫폼을 위한 Mandiant Breach Analytics!

Ron Freeman
Oct 18, 2022
4 min read
|   Last updated: Oct 25, 2022
Threat Intelligence
Cloud

최근 Google Cloud Netx 22 행사가 온라인에서 개최되었습니다. 125개가 넘는 세션으로 진행된 대형 컨퍼런스였는데요, 보안 관련 새로운 소식이 대거 발표되었습니다. 이중 하나가 Chronicle입니다. Chronicle은 간단히 말해 클라우드 서비스로 이용할 수 있는 위협 인텔리전스 기반 침해 탐지, 헌팅, 대응 플랫폼입니다. Chronicle은 유사한 다른 서비스와 확실한 차별점이 있습니다. 바로 Mandiant Breach Anlytics를 이용할 수 있다는 것입니다. 관련해 맨디언트는 10월 18일 구글 클라우드 Chronicle 플랫폼용 Mandiant Breach Analytics 공급을 발표하였습니다. 관련해 본 포스팅에서 이번 출시가 갖는 의미를 짚어 보겠습니다.

Chronicle에 Mandiant Breach Analytics가 중요한 이유

2021년 공격자가 탐지되기 전에 피해자 시스템에 머물렀던 체류 시간을 글로벌 평균으로 계산해 보니 21일이었습니다. 체류 시간을 줄이기 위해 수많은 보안 팀이 노력을 하였지만 이를 줄이는 것은 쉽지 않은 일입니다. 하지만 기회는 여전히 있습니다.

효과적인 보안 운영의 핵심 중 하나로 실행 가능한 최신 위협 인텔리전스를 꼽습니다. 위협 인텔리전스는 공격자의 체류 시간을 줄이는 데 도움이 됩니다. 다만 공격자일 펼치는 전술은 광범위하고, 공격 표면적은 계속 늘고 있습니다. 여기에 더해 사이버 보안 전문가를 수요에 비해 턱없이 부족합니다. 상황이 이렇다 보니 위협 인텔리전스를 적절하게 구현해 활용하는 것은 쉬운 일이 아닙니다. 이것이 바로 구글 클라우드의 Chronicle용 Mandiant Breach Analytics가 필요한 이유입니다. Mandiant Breach Analytics를 활용하면 Chronicle을 이용하는 조직은 고급 자동화 기능을 통해 공격자의 체류 시간을 줄일 수 있는 기회를 잡을 수 있습니다.

양사의 협력은 Chronicle 이용 조직에 위협이 될 수 있는 침해 지표(IOC)를 적시에 알리는 것의 중요성에 대한 공감에서 출발하였습니다. Chronicle 이용 조직에게 제공되는 IOC는 맨디언트 컨설턴트가 전 세계의 최신 침해 사고를 조사하여 식별한 것입니다. 맨디언트는 자동화 및 머신 러닝을 통해 더 적은 노력과 비용으로 IOC를 신속하게 식별해 우선순위를 정합니다.

맨디언트가 제공하는 침해 분석

맨디언트는 조직 규모, 몸담고 있는 업계 그리고 컴퓨팅 환경이 온프레미스 위주인지 아니면 하이브리드 환경인지 등 조건에 관계없이 잠재적인 위험과 침해를 빠르게 감지할 수 있도록 돕습니다. 이를 위해 맨디언트는 위협의 최전선에서 얻은 통찰력과 전문성을 바탕으로 사전 예방적인 파이프라인을 개발했습니다. 이를 활용하면 내부에서 직접 보안 엔지니어링을 하지 않아도 보안 팀이 더 효과적으로 보안 운영을 할 수 있습니다. 이게 가능한 것은 맨디언트가 알고 있는 것을 보안 팀도 바로 알 수 있기 때문입니다.

맨디언트의 차별점은 세계적인 위상과 함께 보안 분석가와 연구원으로 구성된 대규모 팀의 역량에서 나옵니다. Mandiant Breach Analytics는 맨디언트의 IntelGrid를 기반으로 합니다. 이게 뜻하는 바는? Mandiant Incident Response로부터 얻을 수 있는 최신 IOC, 업계 최고 수준을 자랑하는 맨디언트의 위협 인텔리전스 분석가의 통찰력, 그리고 맨디언트의 서비스를 받고 있는 고객의 환경에서 목격하는 최전선의 상황을 단일 창구를 통해 알 수 있다는 것입니다.

Mandiant Breach Analytics는 위협 행위자의 알려진 전술과 기술을 특정 프로필과 연계하여 살핍니다. 그뿐만 아니라 포레스터 웨이브(Forrest Wave)에서 리더로 평가받은 Mandiant Incident Response를 통해 알려지지 않은 위협도 식별해 배후를 찾습니다. 따라서 Mandiant Breach Analytics를 통해 Chronicle 이용 조직은 전 세계 주요 조직의 컴퓨팅 화경에서 수행된 실제 침해 조사 과정에서 쌓인 최신 정보에 접근할 수 있습니다.

혜택은 최신 정보에 그치지 않습니다. 위협 행위자와 공격 그룹의 기술은 진화를 거듭합니다. 따라서 특정 시점의 기준으로 안전하다고 평가를 받은 시스템이라 해도 앞으로도 안전하다고 장담할 수 없습니다. Mandiant Breach Analytics는 과거 데이터까지 지속해서 분석을 합니다. 이에 따라 보안 팀은 최신 IOC를 적용해도 과거 침해 사실까지 발견할 수 있습니다. Chronicle은 12개월 동안 고객의 환경에서 수집한 대규모 데이터를 저장합니다. 따라서 Mandiant Breach Analytics를 활용하면 비용 효율적인 방식으로 초기 침투 흔적을 찾는 헌팅 작업을 할 수 있습니다.

Mandiant Breach Analytics는 어떻게 동작하는가?

Mandiant Breach Analytics를 어떻게 활용할 수 있는지 알아보겠습니다. 다음 그림을 보시죠. 34개가 지표에 일치하고 있고 이중 3개가 활성화된 상태임을 알 수 있습니다. 만약 Mandiant Breach Analytics가 없다면 이중 진짜 위협이 무엇인지 분석하려면 지표 하나당 20분씩 잡아 11시간 이상은 걸렸을 것입니다.

보안 분석가는 Mandiant Breach Analytics가 제공하는 'IC-Score'를 참조해 우선순위 높은 이벤트에 집중할 수 있습니다. 그리고 'Prevalence' 지표를 통해 식별한 위협이 Chronicle 이용 조직이 속한 산업계에 어떤 영향을 끼치고 있는지도 확인할 수 있습니다. 이외에도 맨디언트가 조사를 통해 식별한 최신 취약점에 대한 가시성을 바탕으로 직면한 위험에 대한 이해의 폭도 넓힐 수 있습니다.

breach analytics intel hits
Figure 1: Breach Analytics Intel Hits

침해 세부 사항과 공격 소스에 대한 더 깊은 통찰력을 얻고 싶다면 클릭 한 번으로 Mandiant Advantage Threat Intelligence를 참조하면 됩니다. 다음 그림은 스파이 활동을 목적으로 특정 지역의 특정 산업을 노리는 'UNC215'를 상세히 확인할 수 있는 화면의 예입니다.

unc215 details
Figure 2: UNC215 details

시작하는 방법

구글 클라우드의 Chronicle용 Mandiant Breach Analytics는 보안 전문가가 위협 행위자의 활동을 찾고, 이해하고, 통합하고, 단순화하는 데 도움을 줍니다. 보안 전문가는 IOC를 식별하고, 이를 모니터링 결과와 일치시킨 다음 정교한 데이터 과학 및 컨텍스트 데이터를 적용해 우선순위를 결정할 수 있습니다. 보안 전문가는 여러 시스템에서 보안 이벤트를 수집하고, 이를 실행 가능한 정보로 만드는 데 필요한 시간, 노력, 비용을 모두 줄일 수 있습니다. 이는 Mandiant Breach Analytics가 심층 조사 수행에 도움이 될 수 있어 가능한 것입니다.

Mandiant Breach Analytics가 궁금하다면? 구글 클라우드의 Chronicle을 이용 중이라면 무료 데모를 신청해 상세히 알아볼 수 있습니다. Mandiant Breach Analytics는 별로 서버를 필요로 하지 않고 기존 작업 환경과 구성 변경 없이 간단히 이용할 수 있습니다.

대규모로 생성되는 얼럿(alert)을 조사하고 우선순위를 정하고 싶다면? Alert Investigation and Prioritization을 알아보세요. 데이터 과학을 기반으로 심층 조사를 수행하여, 오탐을 줄이고, 보안 분석가의 업무 부담도 줄일 수 있습니다.

다시 한번 정리를 해보겠습니다. 디지털 경제 시대입니다. 이제는 조직 규모에 관계없이 사이버 공격의 위험 앞에 놓여 있습니다. 구글 클라우드의 Chronicle용 Mandiant Breach Analytics를 활용하면 공격을 받을 때 그 징후를 빠르게 찾고, 공격자가 피해 시스템에 머무르는 체류 시간을 줄일 수 있어, 피해를 조기에 최소화할 수 있습니다.