Culture/etc 해킹지식

정보보안 스터디 - 37주차 3일 - RED, BLUE팀의 현실적인 고충

wonder12 2023. 6. 25. 02:20

> RED


OT도 예를 들어 수력발전시설 업데이트하다가 댐이 열리면 사람죽고, 공장 나라가 멈출 수 있으니 압박감이 크다.

송유관 랜섬웨어 사건이 있기 전까지, OT에 대한 고급 전문지식이나, 보안 개념이 많이 없었습니다.

Sans 자격증을 보면 알겠지만 OT가 금단의 지식같은 느낌이고 할 수 있는 사람도 적기 때문입니다.  

--

 

 

 

> BLUE

 

SIEM&EDR
siem을 위주로 다루는 엔지니어도 있습니다.
agent 심어주는 os별로 다르니 다 배워야합니다.


REGEN
정규 parsing
처음 이런 알람들이 오고 raw data> 쓸만한 정보로 parsing합니다.

이런 걸 하는게 SOC팀입니다.

anti virus
MITER caldera - 블루팀 테스트 해볼 때도 있습니다.
SOC팀이 제대로 감지하는지 


안랩도 EDR 팔고 end point측.
외국은 corwdstrike 또는 ms  또는 santinelone을 사용합니다.
siem은 너무 비싸니 예산상 edr만 사면 처음 공격을 막을 수 있으니 이걸 많이 씀


요즘 왠만하면
업계표준으로 miter attack framework를 사용합니다.

gartner이 평가한 자료를 참고합니다. 얼마나 잘나가는 회사인지

 


honeypot 

유혹한다음 document가 될수도 있겠고
일부러 만들어놓고 > 경보 뜨도록 합니다.


canary가 대표적인데

token만들어서 NAS 같은 중요한 서버 만들어놓고 심어놓습니다.

 

유저에 대해 lsass 로 dump해서 NT해시를 이용해서 
관리자 유저 계정 사용하려고 하는 공격을 한다고 쳤을 때

접근하자마자 경고 다뜸. - 이 관리자 유저는 일부러 만들어놓은 가짜유저입니다.
'회사기밀' 디렉토리에 들어가거나 txt가 있는 데 읽거나
액션을 취했을 때 바로 siem에 데이터를 수집당하며 경고가 울리게 합니다.


공격자 입장에서 어떻게 허니팟을 구별할까요?
방어자에서도 최대한 속일 수 있도록 만들어놓지만 실수를 할 수 있고 그런 심리를 이용할 수도 있습니다.
정말 보수적으로 스캔만 하더라도 알림 뜰 수 있습니다.
디렉에 파일이 아무것도 없을 때,
유저 비번을 바꿔라! 누가 봐도 허니팟일 때가 있습니다.

나홀로집에에서 함정을 설치해놓은 것 처럼

canary를 인턴이 nmap을 이용한다거나 자꾸때리면  잠기거나 알람떠서 계속 곤란한 상황올 수 있습니다.
거짓 양성도 자주나옵니다.
좋은, 똑똑한 사람들이 막는 네트워크 망은 공격자 입장에서는 뚫기 굉장히 어렵다고 할 수 있습니다.

tenable - automation 툴 취약한지 찾아주는
zeroday 취약점 업데이트 되면 업데이트합니다.
거기서 측정하는 점수와 실제 위험도와는 다릅니다.
자동화된 진단툴로도 한번 훑고 수동 모의해킹 진행하는 것이 보통입니다.


하나만 건드리더라도 알람이 울린다면 뚫렸을 때 최소한의 방어도 안한거 아니냐?
예산이 부족하고 시간이 부족하기 때문에
관리하는 솔루션 엄청 많아서 
로그가 테라씩 지나가면서 못보고 지나갈 수도 있기 때문에
그럴 수 있습니다.

공격자들이 언제 공격했고, ~분만에 퇴치했다. 마케팅으로 써먹을 수 있습니다.

SOAR - 어떻게 효율적으로 이런 툴들을 관리할 수 있을까
SIEM에 로그 집어넣어서 
경계보안, 문서보안, 다크웹, 보안인식교육 등 일에 포함됩니다.
내부 직원에게 피싱메일을 일부러 보내고 한달에 몇명 클릭했는지 분석합니다. 이 작업은 외주를 줍니다. 
블루팀 3교대? 야근수당 줘야되서 부담되니, 인도 등 지구반대편 사람 많이 고용합니다.
만약 무슨일이 있을 때만 가는 경우도 있습니다. 쉽지는 않을 수 있습니다. 워라밸에 안좋고 뚫리면 모든 책임을 다 져야되니 정신적으로 스트레스 일찍옵니다. 언제 해커가 할지도 모르는데 사실.
현실은 예산문제에 마주칩니다. offsec은 예산 좋습니다.

 


CISO는 

기술적이라기 보다는 정책, 관리쪽에서 CISSP따고 오는 편입니다.

은퇴하기 전. 개인정보 일이 터지면 책임을 집니다. 진짜 스트레스많이 받고 오래못간다고 합니다.
차라리 incident response로 가려고 하기도 합니다.

 

 

+
보안 관제는 처음의 몇년은 전반적으로 배울 수 있어서 좋은 것 같습니다.
연식있는 SOC analyst는 많이 받습니다.

 

offsec도 마찬가지로 힘들 수 있는 점은
트랜드 공부해야되고 TTP, 페이로드 코딩 해야되는 부분 때문에 워라밸안지켜집니다. 보안 산업 자체가 난이도가 높습니다.

저작자표시