위협 스택 SOC 분석: 자동화 도구와 관련된 사고 조사

Threat Stack Security Operations Center(SOC)의 보안 분석가는 Cloud SecOps Program℠을 통해 고객을 지원하는 24시간 연중무휴 업무의 일환으로 고객을 대신하여 의심스러운 활동을 정기적으로 조사합니다. 지난 몇 달 동안, 당사 보안 분석가들은 웹 기반 SSH 기능을 포함하는 자동화 도구 사용이 꾸준히 증가하고 있다는 사실을 발견했습니다.

이러한 도구를 사용한다는 것은 많은 조직이 클라우드 환경을 성숙시키고 클라우드 오케스트레이션 및 일상 관리에 있어 더욱 정교해지고 있다는 구체적인 신호입니다. 웹 기반 SSH와 원격 서버에서 사용자 정의 스크립트를 실행할 수 있는 다른 기능을 사용하면 운영팀은 오버헤드를 크게 줄이고 서버 수명 주기와 대규모 서비스 구성을 간소화할 수 있습니다.

그러나 앞서 살펴본 것처럼 복잡한 작업을 자동화하면 실수나 간과된 위험이 발생할 수 있습니다. 첫째, IAM 정책이 최신 상태이고 각 서비스의 개별 기능에 맞게 구체적인지 확인하는 것이 훨씬 더 중요해집니다. IAM에 중점을 두는 것 외에도 웹 기반 SSH 기능을 갖춘 도구를 포함한 많은 자동화 도구는 클라우드 환경에서 의심스러운 활동을 조사할 때 보안 팀에 고유한 과제를 안겨줍니다.

Linux 시스템에서 웹 기반 SSH 도구는 기본 로그에 기존 SSH 세션으로 나타나지 않습니다. 이러한 차이로 인해 로그인한 사용자와 관련이 없는 로그에서 시스템 이벤트가 발생할 수 있습니다. 일반적으로 이는 일반적이고 신뢰할 수 있는 자동화 활동처럼 보입니다. 하지만 사용자가 임의의 명령을 실행할 수 있다면 그렇지 않습니다. 여기에 함축된 의미는 매우 명확합니다. 내부자이든 외부에서 손상된 자격 증명을 이용하는 사람이든 악의적인 행위자가 웹 기반 SSH 도구에 액세스할 수 있는 경우 난독화는 쉬워집니다.

Threat Stack Cloud Security Platform®과 같은 도구의 전체 스택 보안 관찰 기능과 동작 분석 기능은 이러한 의심스러운 활동을 식별할 수 있지만, 여기서 웹 기반 SSH 도구의 자동화된 특성이 보안 분석가에게 난제를 던집니다. 자동화 이벤트에서 미묘한 차이를 인식하고 이를 중심으로 사용자의 근본적인 의도를 밝혀내려면 다른 조사 기술이 필요합니다.

여기서 Threat Stack SOC 분석가가 등장합니다. 업계에서 가장 진보적인 클라우드 환경 중 일부와 직접 협력하여 이러한 유형의 사고를 조사하는 방법을 자세히 알고 있습니다. 사용자 귀속이 필요한 포렌식을 수행할 때 Threat Stack Cloud SecOps 프로그램 분석가가 자동화 도구의 다운스트림 작업을 조사하는 방식을 자세히 알아보려면 최신 위협 인텔리전스 보고서를 다운로드하거나 라이브 데모인 "자동화된 활동 또는 내부 위협: 차이점을 알 수 있나요?” - 3월 19일에 개최됩니다.