[Security] Threat Hunting

Threat Hunting

Threat Hunting은 4차 산업의 주역인 빅데이터, AI를 보안에 적용하면서 탄생한 용어다.

숨어있는 위협을 탐지하여 공격기법과 공격자를 식별하고 제거하는 걸 말함. (말 그대로 위협을 헌팅한다.)

기존의 방식은 사전에 정의된 탐지 규칙과 알고리즘에 의존하였다면, Threat Hunting은 '행위'를 기반으로 판단한다.

 

IDS/IPS처럼 미리 정의된 규칙에 의해 탐지하는게 아니라, 행위를 기반으로 탐지한다는게 포인트 !!!

 

자 그러면 '행위' ?

이 행위라는게 참 어렵다. 말그대로 엔드포인트 유저의 행위를 보고 이 사용자가 위협이 될지말지 판단하겠다는건데,

이걸 판단하려면 많은 엔드포인트 유저의 데이터가 필요하고, 이 빅데이터를 기반으로 기계 학습을 시켜야한다.

당연히, 어떠한 행위가 악성 행위인지에 대한 정의도 내려야한다.

결론은, 행위라는건 기업이 돈을 벌기 위해 연구해야할 과제라는 것. 

 

 

Threat Hunting을 하기 위해 엔드포인트 유저의 데이터를 수집해야한다고 말했는데

이 때, 수집 대상 로그는 크게 3가지로 나뉜다.

1. 리포트 로그 : 시스템 현황에 대한 로그
2. 이벤트 로그 : 규칙이 탐지한 로그
3. 제어 로그 : 네트워크나 프로세스와 같은 리소스를 통제했던 기록이 담긴 로그

 

Threat Hunting에서 데이터를 저장하기 위해 사용되는 저장소는 관계형 DB보다 NO-SQL 기반의 DB가 적합하다.

NO-SQL 기반의 DB가 권고되는 이유는 2가지다.

1. 이기종 로그 수집의 용이성을 위해
2. 수집과정에서 발생하는 대기시간을 최소화하기 위해

 

 

참고 사이트) 

https://hayong-cs.tistory.com/48