이책에서다루는내용
*CTI의이해,핵심개념,위협예방및조직의보호효과
*위협사냥절차의다양한단계탐색
*수집한데이터의모델링및결과기록방법이해
*실험환경에서위협행위자의공격모방
*침입탐지를위해수집한정보의활용및검색결과검증
*문서화및전략을사용해고위관리직및전체비즈니스와의사소통하는방법
이책의대상독자
위협사냥실습에관심이있는모두를위한책으로,시스템관리자,컴퓨터공학자,보안전문가의첫번째위협사냥실습을돕는가이드다.
이책의구성
1장,‘사이버위협인텔리전스’에서는다양한위협유형,침해지표수집방법,수집한정보분석방법을다룬다.
2장,‘위협사냥’에서는위협사냥을배우는곳,중요한이유,사냥가설설정방법을다룬다.
3장,‘데이터출처’에서는위협사냥에대한이해뿐만아니라사냥프로그램의기획및설계시사용할수있는다양한단계와모델을다룬다.
4장,‘공격자묘사’에서는맥락(Context)에대해다룬다.수집한정보를이해하려면적절한맥락을제공해야한다.맥락과분석이없는정보는인텔리전스가아니다.MITREATT&CKTM프레임워크를이용해인텔리전스보고서를연결하는방법을다룬다.
5장,‘데이터작업’에서는데이터사전생성절차를검토하고위협사냥에서데이터사전이중요한이유와엔드포인트의데이터를하나로모으는것이중요한이유를검토한다.
6장,‘공격자모방’에서는위협행위자모방계획을만들고자CTI를사용하는방법과이를데이터주도접근방식과혼합해사냥을수행하는방법을다룬다.
7장,‘연구환경조성’에서는다양한오픈소스도구를이용해연구환경을조성하는방법을다룬다.대부분윈도우실험환경을만들고데이터기록을위한ELK인스턴스를설정한다.
8장,‘데이터질의방법’에서는운영체제와사냥절차에익숙해지고자AtomicRedTeam을이용한최소단위사냥을수행한다.시스템에서QuasarRAT를탐지하는사냥수행방법을보여주고자QuasarRAT으로시스템을감염시킨다.
9장,‘공격자사냥’에서는Mordor솔루션을ELK/HELK인스턴스와통합하는방법을다룬다.Mordor프로젝트의아이디어는위협행위자의행동을모방한사전에기록한이벤트를제공하는것이다.인텔리전스기반사냥의예로APT29ATT&CK매핑을사용하고자MordorAPT29데이터세트를연구환경에적용한다.끝으로CALDERA를이용해자체적으로설계한위협을모방하는것으로끝난다.
10장,‘프로세스문서화및자동화의중요성’에서는문서화를다룬다.위협사냥절차의마지막부분에는문서화,자동화및최신화가있다.이장에서는위협사냥프로그램의수준을향상시킬수있는문서화및자동화팁을다룬다.자동화는분석가들이같은사냥을계속반복해서수행하는것으로부터자유롭게하는핵심이지만모든것을자동화할수있는것은아니며반드시해야하는것은아니다.
11장,‘데이터품질평가’에서는데이터의수집및정제를유용하게하는몇가지오픈소스도구를활용해데이터품질평가의중요성을다룬다.
12장,‘결과이해하기’에서는연구환경을벗어난곳에서사냥을할때발생할수있는다른결과와필요시질의를개선하는방법을다룬다.
13장,‘성공을위한좋은지표의정의’에서는지표를다룬다.좋은지표는개별사냥을평가하는데사용하는것뿐만아니라전체사냥프로그램의성공을평가하는데도사용한다.이장에서는사냥프로그램을평가하는데사용할수있는지표목록을제공한다.또한결과추적을위한MaGMa프레임워크를살펴본다.
14장,‘사고대응팀의참여및경영진보고’에서는결과를얘기하는것을다룬다.자신의분야에서전문가가되는것은훌륭하지만그전문적인일이어떻게기업의투자대비수입에긍정적인영향을끼치는지에대해잘얘기할줄모른다면그리멀리가지못할것이다.이장에서는침입을얘기하는방법과사고대응팀의참여방법,상위관리자에게결과를전달하는방법을다룬다.