IOCs vs. IOAs 2가지 지표를 효과적으로 활용하는 방법 - IOCs vs. IOAs — How to Effectively Leverage Indicators
March 16, 202 By Shawn Hedrick
사이버 보안팀은 사이버 공격, 위협적인 행위, 지속되는 지능형 위협 그리고 무서운 제로데이 취약점을 식별해 내는 일을 끊임없이 하고 있습니다.
사이버보안의 실무자와 운영팀들은 침해지표 (IOC) 와 공격지표 (IOA)를 적절히 사용하여, MDR 전략을 세우는데 공통적으로 어려움이 있습니다
경험이 부족한 보안의 팀원과 리더들은 포괄적인 방법으로 접근하려는 경향이 있어서, 질보다는 양을 중심으로 이후에 발생될 침임시도를 멈추려 하고 있습니다. 아쉽게도 이러한 전략은 운영상의 이점을 거의 주지 못하고 오히려 공격에 대한 준비를 현저하게 방해합니다.
침입의 의도, 다양한 지표 그리고 기업의 환경을 더 나은 방향으로 활용하는 능력이, 우수한 보안의 관행으로 이끌고, 분석가들을 방해하는 것이 아니라 오히려 도와주는 데 핵심 요소 입니다. 이 기사는 침해지표, 공격지표 그리고 2가지 지표를 함께 사용하는 방법에 대해서 몇가지 중요한 포인트를 다룰 것이고 이는 당신이 속한 조직에 도움이 될 것입니다.
"Cybersecurity teams are consistently tasked to identify cybersecurity attacks, adversarial behavior, advanced persistent threats and the dreaded zero-day vulnerability. Through this endeavor, there is a common struggle for cybersecurity practitioners and operational teams to appropriately leverage indicators of compromise (IOCs) and indicators of attack (IOAs) for an effective monitoring, detection and response strategy."
"Inexperienced security teams and leaders tend to establish a catch-all approach, where quantity outweighs quality to stop the next perceived intrusion attempt. Unfortunately, this strategy rarely provides an operational edge and greatly hinders operational readiness."
"Obtaining a better understanding of indicators, their intent, and how to better leverage them within your environment is essential to driving good security practices and providing enablement, not hindrance, to your analysts. This article will highlight some key aspects concerning indicators of compromise, indicators of attack, and how to best leverage them together in order to support your organization."
IOCs 침해지표의 현재 역할과 함정 - IOCs Current Role and Pitfalls
'수많은 침해지표를 어떻게 활용할수 있을까?' 라고 질문을 드려보겠습니다. 분석가의 역할은 잡음을 피해서 위협적인 행동을 발견하는 것 입니다. 하지만 IOC 침해지표는 특정시점의 아티팩트 입니다. 이 지표들은 네트워크 전반에서 다양항 방식으로 바뀌고 다시 나타나고 있습니다. 또한 처음에 지표로 나타난 아티팩트의 이벤트와 연관이 되지 않습니다.
IOCs 침해지표는 통상적으로는 피드를 통해서 제공이 되고 있는데, 이는 문맥정보나, 지표의 발생시기가 정형화 되지 않고 가끔은 소스데이터도 완전히 없는 상태로 알림을 주기도 합니다. 이러한 불명확한 지표가 오히려 혼란과 잠재적 위협에 대한 이해를 어렵게 만듭니다. 불분명한 지표는 또한 대량의 오탐을 포함하여, 다수의 문제를 일으키기도 합니다. 그로인해 분석가들은 피로감을 느끼게 되며, 다양한 보안도구에 많은 데이터가 누적되어 시스템의 리소스 문제도 야기시킵니다.
IOCs 침해지표는 분석가들이 업무를 수행하는 첫 단추가 되어 훌륭한 자원이 될 수 있습니다. 하지만 침해지표의 사용이 일반적으로는 공격지표와 연관된 룰과 탐지 실행을 통해 개선되어 질 수 있습니다. 단순한 지표이상으로 활용을 하면, 사용자도 맥락이 있고 개선을 통한 강력한 도구로 활용이 될 수 있습니다.
공격지표 또는 침해지표를 효과적으로 활용하는 방법을 이해하기 위해서는 먼저, 보안산업에 걸쳐서 일반적으로 활요되는 2 종류의 차이점에 대해서 이해하는 것이 좋습니다.
"How could having hundreds of thousands of IOCs hinder readiness, you may ask? An analyst’s role is to sift through the noise and identify adversarial behavior, however IOCs are point-in-time artifacts. They are constantly changing and reappearing in different ways across networks and rarely aligning to the event that caused these artifacts to become indicators in the first place."
"IOCs are typically provided through feeds, which lack standardization for contextual information, age of the indicator, and sometimes completely lacking source data. This makes for an unclear indication that often causes confusion and a lack of understanding of the potential threat. Unclear indications can lead to a multitude of issues, which include high volumes of false-positive alerts that drive analyst fatigue or system resource issues due to large quantities of data matching across a variety of security toolsets."
"IOCs can be an amazing resource for ongoing events to provide a starting point to analysts. However, their use can be greatly enhanced through the implementation of rule sets and detections that align to indicators of attack. By leveraging more than a singular point of indication you can reduce false-positive counts and enable strong analysis through enhancement and contextualization."
"To understand how to effectively leverage indicators of compromise or indicators of attack, it is best to understand the distinctions of these two main categories that are commonly referenced across the cybersecurity industry:"
-IOC (침해지표) 는 전형적으로 시스템과 IP 주소, 도메인, URL, 해쉬, 이메일 주소 또는 파일이름과 관련된 네트워크 아티팩트로 구성되어 있습니다. 이 지표들은 특정시간에는 적대적인 행위랑 연관이 되어 있어, 지속적으로 변화를 합니다. 이 지표의 중요한 것은 개별 조직에 영향을 까치는 미치는 침입과 동일하지 않다는 것이 중요합니다. 중요한 침해지표에만 집중을 하면, 다양한 활동에 걸처서 발견되는 지표가 잠재적인 위협행동에 집중하게 도움을 줄 수 있습니다.
-IOA (공격지표) 는 전형적으로 전략, 기술 그리고 절차로 구성되어 있으며, 이는 적이 그들의 타겟을 침해하는 것을 활용합니다. 그래서 궁극적으로 그들의 의도를 확인합니다. 악의적인 요소의 여러 단계가 그들의 인련의 목표에 달성하기 위해서 해야 하는 것을 상상해 보세요. 이러한 예시들은 코드 실행, 지속적인 메커니즘, 명령과 컨트롤 생성, 그리고 방어 침입기술들을 포함하고 있습니다. 공격의 지표가 사고 또는 침해가 완전히 일어나기 전에, 위협의 행동을 식별하고 방어하는 기회를 제공하는 것이 지표가 하는 역할입니다.
-Indicators of Compromise (IOC) typically consist of system and network artifacts related to IP addresses, domains, URLs, hashes, e-mail addresses or file names. These indicators are point-in-time references to adversarial activity and are constantly changing. It is important to note that targeted intrusions impacting separate organizations are rarely the exact same. Focusing on key indicators, or indications observed across multiple campaigns, can help drive focus on potential adversarial activity.
-Indicators of Attack (IOA) typically consists of the tactics, techniques and procedures an adversary will leverage to compromise their targets, which is ultimately defined by their believed intent. Imagine a series of steps a malicious actor MUST accomplish to reach their perceived goal. Examples of this can include code execution, persistence mechanisms, establishing command and control (C2) and defense evasion techniques. An indication of an attack provides an opportunity for defenders to identify the activity of a threat prior to a full compromise or breach."
IOA의 장점: 실시간 문맥 - IOA Benefits: Real-Time Context
IOC 침해지표 가 정적 아티팩트라면, IOA는 공격 지표는 잠재적인 악의적인 행동을 실시간으로 탐지하는 것 입니다. 실제의 예를 들면, 제로데이 익스플로익의 사용을 통해서, 내부 시스템으로의 접근을 얻어 데이터 유출을 하려는 본래의 목적을 수행할 수 있습니다.
제로데이는 필드에서 관찰된 적이 없기 때문에 IOC 침해지표로 사용되지는 않습니다. 하지만 IOA 사용을 통해서 보안 실무자들은 적의 의도를 파악할 수 있습니다. IOA를 활용한 분석가들은 실시간으로 잠재적인 악성 행동을 감지하기에 처음 접근하려는 시도, 민감한 시스템의 접근, 알지 못하는 외부 시스템과의 네트웍 연결 그리고 조직의 대용량 데이터를 대거 유출하는 행위를 발견해 냅니다.
이러한 일련의 분석을 관찰하면서, 분석가들은 킬체인을 통해 첫 공격시도와 접근 방법이 무엇인지와 무관하게 악성 행동을 빠르게 탐지 할 수 있습니다. 이렇게 적들이 하고 있는 것들을 살펴 봄으로서 보안가들은 적들의 목적에 도달하기 전에 방어할 수 있는 더 나은 방법을 얻을 수 있을 겁니다. 이것은 대응하는 자들의 소중한 시간을 아낄 수 있습니다.
"Where IOCs are static artifacts, IOAs are real-time detections to potentially malicious activity. An example of this in practice is through the usage of a zero-day exploit to gain access to internal systems with the goal of executing data exfiltration."
" A zero-day has no known indicators of compromise since it has likely never been observed in the wild. However, through the usage of IOAs, security practitioners can look for the intent of an adversary. Analysts leveraging IOAs can see, in real-time, potentially malicious activity indicating initial access to an environment, lateral movement to a sensitive system, network connections to an unknown external system, and the exfiltration of large volumes of data outside of an organization’s perimeter."
"By observing this series of events unfolding an analyst can quickly work through the kill chain to identify adversarial actions regardless of the initial point or method of access. Additionally, by looking for what an adversary will do, your defenders will have greater opportunities to detect and respond before an adversary reaches their goal. This can provide an invaluable commodity of time to responders."
IOC 와 IOA를 함께 사용 - IOC vs. IOA: Better Together
보안 이벤트 발생초기에 분석할 데이터가 거의 없는 상태에서는, 데이터 점수를 활용하는 침해 지표는 우선순위를 제공하기 때문에 방어자 입장에서 보면 분류의 큰 장점을 가지고 있습니다. 이러한 지표들이심각성 등급을 제공하는 룰셋과의 상관관계를 가지고 있을때 이 지표들이 초기 판단을 내리는 데 걸리는 시간을 줄일 수 있습니다. 이는 알려진 공격 지표에 SIEM 경고를 띄우면서, 더욱 세분화 될 수 있습니다.
만약 경보가 명령 및 제어 활동을 감지하기 위한 IOA와 일치하고 알려진 IOC 와도 일치하는 경우, 사이버 방어자에게 더 높은 심각도 경보가 발생해야 합니다. 이것은 더 나은 분석을 유도하기 위해 더 신뢰도 높은 경고와 더 나은 분석을 위한 문맥점수를 모두 제공합니다.
공격자가 수행할 가능성이 있는 작업을 살펴보고, 공격자가 실제 수행한 작업과 비교함으로써 사이버 방어자는 잠재적인 보안 이벤트를 사전에 모니터링하는 동시에 알려진 적대적 데이터 포인트로 이러한 경고를 강화할 수 있습니다. 이러한 노력은 또한 위협을 식별하고 환경 내 잠재적인 보안 격차를 줄이기 위해 알려지지 않은 활동 또는 이상치를 식별하기 위한 위협 사냥과 같은 추가 사전 예방적 훈련의 기회를 제공할 수 있습니다.
"Indicators of compromise are useful data points that can greatly benefit defenders in their initial triage of security events — especially when it is an emerging threat with little data to work with. When these indicators are paired with correlation rule sets to drive severity ratings as well as initial points of research, they can reduce the time it takes for an analyst to make that initial judgment call. This can be further refined by aligning SIEM alerting to known indicators of attack."
"If an alert matches an IOA meant to detect command and control activity AND matches known indicators of compromise, then it should result in a higher severity alert to your cyber defenders. This provides both a higher fidelity alert and additional points of context to drive better analysis."
"By looking at what an adversary will likely do, and comparing to what adversaries have done, cyber defenders can proactively monitor for potential security events while enriching these alerts with known adversarial data points. These efforts can also provide opportunities for additional proactive exercises like threat hunting in order to identify unknown activity, or outliers, in order to identify threats and close potential security gaps within the environment.
현실에서 사용하는 지표들 - Indicators in Practice
IOA와 IOC는 모두 탐지 및 대응 프로세스 전반에 걸쳐 매우 중요합니다. 분석가가 명령 및 제어(C2) 인프라와 관련된 IOA를 관찰하는 경우 분석을 시작하여 이 경고와 관련된 잠재적 손상 지표를 식별할 수 있습니다. 여기에는 IP 주소, 도메인, URL 또는 해시가 포함될 수 있습니다. 이러한 침해 지표를 오픈소스와 비교하여 당신이 직면한 잠재적 위협과 침입 활동과 일치할 수 있는 추가 지표를 더 잘 이해할 수 있도록 더욱 세분화해 줍니다.
이러한 부가적인 지표는 사용환경 전반에 걸쳐 추가 악의적인 활동이 없는지 확인하고 제거하는데 사용됩니다. 이러한 IOC를 조사하여 주요 지표 또는 여러 캠페인에 걸쳐 존재하는 지표와 일치하는지 확인하고, 추가로 실시간 탐지를 위한 시그니처도 생성할 수 있습니다. 위협이 식별되면, 새로운 IOA가 식별을 통해 탐지 및 대응 기능 성숙도도 발전할 수 있게 발전하는 것이 중요합니다.
"Both IOAs and IOCs are incredibly valuable throughout the process of detection and response. If an analyst were to observe an IOA associated to command and control (C2) infrastructure, they can begin analysis to identify any potential indicators of compromise associated with this alert. This could include IP addresses, domains, URLs or hashes. These indicators of compromise can be further refined by comparing them to open-source research to better understand the potential threat you are facing, as well as additional indicators that may match your intrusion activity."
"These additional indicators can then be used to conduct sweeps throughout your environment to ensure no additional malicious activity is present. By examining these IOCs you may also be able to determine if any align to key indicators, or indicators present across multiple campaigns, and create signatures to drive further real-time detection. Once the threat is identified, it is crucial to conduct lessons learned activities to determine whether any new IOAs were identified to continue the maturement of your detection and response capabilities."
Where to Start? - 어디서 시작할까요?
조직을 타겟으로 하는 대부분의 위협관련 IOA를 판별하는 가장 효과적인 방법은 지능형 위협 프로그램을 설치해서 사용하는 것 입니다. 설치된 인텔리전스 프로그램은 사이버 방어에 도움을 줄 수 있고 위협을 우선적으로 둘 수 있습니다.이러한 프로그램을 통해 개발된 인텔리전스는 사이버 방어자들에게 현재 그리고 앞으로의 위협에서 서 어떤 것에 대한 피드를 주어야 하는지를 더 분명히 합니다. 그리고 이 인텔리전스는 이러한 정보의 축적은 비지니스 의사결정을 더욱 강력하게 하게 도와줍니다.
The most effective way to identify IOAs related to threats that are most likely to target your organization is through the implementation and usage of a threat intelligence program. An established intelligence program can help cyber defenders identify and prioritize the threats most relevant to them and drive an intelligence-led defense strategy. Intelligence developed through such a program can better inform cyber defenders on what feeds to leverage, current and emerging threats, and the tactics, techniques and procedures that they employ to reach their adversarial goals. The culmination of this information can further drive strong business decision support.