• 오늘날 보안트렌드의 핵심은 차단중심에서 탐지중심으로 이동을 했다.
• 뚫릴 수 밖에 없다는 것을 인정
• 방어자가 불리한 이유 - 공격자는 100개 취약점 중에 1개만 뚫으면 되지만, 방어자는 100개 취약점을 다 조치해야한다. 보안팀은 10명인데 해커는 불특정 다수

→ 방어 = 차단 게임이라는 관점에서 얘기가 된다.

→ 이 게임을 차단 중심이 아니라 탐지 중심으로 옮겨야 한다. 공격자들이 갖고 있는 결정적 약점이 있다. 피해자 네트워크 구조를 모른다. 즉, 내부망으로 침투하고 나면 내부망을 스캔하는 시간이 필요하다. 이 시간이 싸울 수 있는 최적의 시간 즉, 탐지의 시간이다.

→ 공격자들은 100개의 흔적을 다 지워야 되지만, 방어자들은 1개의 흔적만 찾으면 되는 관점으로 유리해진다.

→ 차단은 하던대로 best effort.

→ 탐지 중심으로 보안전략을 세우는 것이 전세계게 보안 트렌드

→ 적극적으로 위협을 사냥하자. → Threat 헌팅 → 관제랑은 다르다. 수동적 → Threat 헌팅은 수색대와 같다.

기업이 나아가야 할 방향 (대응에 대한 인식 변화)

• 네트워크에서 엔드포인트까지 통합 연계 모니터링

• IT 인프라에서 발생하는 주요 이벤트 기록

• 인텔리전스 정보 등을 기반으로 수시 위협 헌팅 수행

• 발생 가능한 위협 시나리오를 수립하고 대응책 마련

• 사고 발생을 가정한 정기적인 대응훈련을 통해 조직역량 강화

• Threat 헌팅 개념은 크게 3가지가 있다. 베이스라인?

• 탐지 중심의 보안 전략을 세우다 보니, 시그너처 기반한 탐지 방식은 한계가 있다. 즉 IOC.

  • 시그너처가 없으면 탐지가 안되고 우회하기가 쉽다.

• 궁극적으로 등장한 개념이 TTP 기반의 탐지 개념이다. (시그너처/IOC 기반 탐지에서 TTP 기반 탐지로)