위협 인텔리전스와 데이터 기반 위협 사냥 - 에이콘 해킹과 보안 시리즈

위협 인텔리전스와 데이터 기반 위협 사냥 - 에이콘 해킹과 보안 시리즈

$37.17
Add to WishlistCompare
Ask a Question
Vendor: 에이콘출판 - 발렌티나 코스타 가즈콘
Type: 네트워크 구축/보안/해킹
SKU: 9791161758459
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: 위협인텔리전스와데이터기반위협사냥에이콘해킹과보안시리즈 컴퓨터/인터넷_OS/Networking
Description
저자

발렌티나코스타가즈콘

저자:발렌티나코스타가즈콘
지능형지속공격(APT,AdvancedPersistentThreat)추적전문가로,MITREATT&CK프레임워크를이용해APT의도구,전술,기술,절차(TTPs)를분석하는사이버위협인텔리전스분석가다.또한말라가대학교(UMA,UniversidaddeMalaga)에서번역및통역학위와아르헨티나의국립기술대학교(UTN,UniversidadTecnologicaNacional)에서사이버보안학위를받았으며,독학으로개발자와위협사냥꾼이됐다.블루스페이스커뮤니티(BlueSpaceSec)의창립자중한명이며로베르토로드리게스(RobertoRodriguez)가설립한OTR_Community의핵심구성원이다.

역자:박지수
동국대학교컴퓨터공학과에서정보보호분야에입문했으며,KITRI의정보보호인력양성프로그램BestoftheBest과정을수료하며본격적으로정보보호분야를공부했다.이후고려대학교정보보호대학원에서보안위협모델링을연구했으며,졸업후금융기관에입사해정보보호기획업무,부채널분석업무를수행했다.현재는간편하고안전한인증서비스를제공하고자열심히노력하고있다.

목차

1부-사이버위협인텔리전스

01장.사이버위협인텔리전스
__사이버위협인텔리전스
____전략등급
____운영등급
____전술등급
__인텔리전스주기
____계획및대상선정
____준비및수집
____가공및활용
____분석및생산
____배포및통합
____평가및피드백
__인텔리전스요구사항정의
__수집과정
____침해지표
____멀웨어의이해
____공공자원을이용한수집:OSINT
____허니팟
____멀웨어분석과샌드박스
__가공및활용
____CyberKillChain®
__편향과분석
__요약

02장.위협사냥
__기술적인요구사항
__위협사냥에대한소개
____위협사냥유형
____위협사냥꾼의기술
____고통의피라미드
__위협사냥성숙도모델
____성숙도모델의결정
__위협사냥과정
____위협사냥고리
____위협사냥모델
____데이터주도방법론
____TaHiTI:위협인텔리전스를결합한표적사냥
__가설설정
__요약

03장.데이터출처
__기술적인요구사항
__수집한데이터이해
____운영체제기본
____네트워크기본
__윈도우기본도구
____윈도우이벤트뷰어
____윈도우관리도구(WMI)
____윈도우용이벤트추적(ETW)
__데이터출처
____엔드포인트데이터
____네트워크데이터
____보안데이터
__요약

2부-공격자이해하기

04장.공격자묘사
__기술적인요구사항
__ATT&CK프레임워크
____전술,기술,하위기술,절차
____ATT&CK매트릭스
____ATT&CK내비게이터
__ATT&CK로나타내기
__자체테스트
____정답
__요약

05장.데이터작업
__기술적인요구사항
__데이터사전활용
____오픈소스보안이벤트메타데이터(OSSEM)
__MITRECAR활용
____CARET:CAR이용도구
__Sigma사용
__요약

06장.공격자모방
__공격자모방계획수립
____공격자모방이란?
____MITREATT&CK모방계획
____AtomicRedTeam
____Mordor
____Caldera
____기타도구
__자체테스트
____정답
__요약

3부-연구환경에서의작업

07장.연구환경조성
__기술적인요구사항
__연구환경조성
__VMwareESXI설치
____VLAN생성
____방화벽설정
__윈도우서버설치
__윈도우서버의도메인컨트롤러설정
____액티브디렉터리구조의이해
____서버의도메인컨트롤러에상태부여
____DHCP서버설정
____조직단위생성
____사용자입력
____그룹생성
____그룹정책객체
____감사정책설정
____새로운클라이언트추가
__ELK설정
____Sysmon설정
____인증서검색
__Winlogbeat설정
____ELK인스턴스에서데이터찾기
__보너스:ELK인스턴스에Mordor데이터세트추가
__HELK:로베르토로드리게스의오픈소스도구
____HELK시작
__요약

08장.데이터질의방법
__기술적인요구사항
__AtomicRedTeam을이용한원자적사냥
__AtomicRedTeam테스트주기
____최초침투테스트
____실행테스트
____지속성유지테스트
____권한상승테스트
____방어우회테스트
____탐색테스트
____명령및제어테스트
____Invoke-AtomicRedTeam
__QuasarRAT
____QuasarRAT실제사용사례
____QuasarRAT실행및탐지
____지속성유지테스트
____자격증명접근테스트
____시스템내부이동테스트
__요약

09장.공격자사냥
__기술적인요구사항
__MITRE평가
____HELK에APT29데이터세트불러오기
____APT29사냥
__MITRECALDERA활용
____CALDERA설치
____CALDERA로모방계획실행
__Sigma규칙
__요약

10장.프로세스문서화및자동화의중요성
__문서화의중요성
____훌륭한문서작성의핵심
____사냥문서화
__위협사냥꾼플레이북
__주피터노트북
__사냥절차최신화
__자동화의중요성
__요약

4부-성공하기위한의사소통

11장.데이터품질평가
__기술적인요구사항
__고품질데이터와불량데이터의구별
____데이터측정기준
__데이터품질향상
____OSSEMPower-up
____DeTT&CT
____Sysmon-Modular
__요약

12장.결과이해하기
__사냥결과의이해
__좋은분석정보선택의중요성
__자체테스트
____정답
__요약

13장.성공을위한좋은지표의정의
__기술적인요구사항
__좋은지표정의의중요성
__사냥프로그램의성공여부를확인하는방법
____위협사냥에MaGMA사용
__요약

14장.사고대응팀의참여및경영진보고
__사고대응팀의참여
__위협사냥프로그램의성공에대한의사소통의영향
__자체테스트
____정답
__요약

부록A위협사냥의현재

출판사 서평

이책에서다루는내용

*CTI의이해,핵심개념,위협예방및조직의보호효과
*위협사냥절차의다양한단계탐색
*수집한데이터의모델링및결과기록방법이해
*실험환경에서위협행위자의공격모방
*침입탐지를위해수집한정보의활용및검색결과검증
*문서화및전략을사용해고위관리직및전체비즈니스와의사소통하는방법

이책의대상독자

위협사냥실습에관심이있는모두를위한책으로,시스템관리자,컴퓨터공학자,보안전문가의첫번째위협사냥실습을돕는가이드다.
이책의구성

1장,‘사이버위협인텔리전스’에서는다양한위협유형,침해지표수집방법,수집한정보분석방법을다룬다.
2장,‘위협사냥’에서는위협사냥을배우는곳,중요한이유,사냥가설설정방법을다룬다.
3장,‘데이터출처’에서는위협사냥에대한이해뿐만아니라사냥프로그램의기획및설계시사용할수있는다양한단계와모델을다룬다.
4장,‘공격자묘사’에서는맥락(Context)에대해다룬다.수집한정보를이해하려면적절한맥락을제공해야한다.맥락과분석이없는정보는인텔리전스가아니다.MITREATT&CKTM프레임워크를이용해인텔리전스보고서를연결하는방법을다룬다.
5장,‘데이터작업’에서는데이터사전생성절차를검토하고위협사냥에서데이터사전이중요한이유와엔드포인트의데이터를하나로모으는것이중요한이유를검토한다.
6장,‘공격자모방’에서는위협행위자모방계획을만들고자CTI를사용하는방법과이를데이터주도접근방식과혼합해사냥을수행하는방법을다룬다.
7장,‘연구환경조성’에서는다양한오픈소스도구를이용해연구환경을조성하는방법을다룬다.대부분윈도우실험환경을만들고데이터기록을위한ELK인스턴스를설정한다.
8장,‘데이터질의방법’에서는운영체제와사냥절차에익숙해지고자AtomicRedTeam을이용한최소단위사냥을수행한다.시스템에서QuasarRAT를탐지하는사냥수행방법을보여주고자QuasarRAT으로시스템을감염시킨다.
9장,‘공격자사냥’에서는Mordor솔루션을ELK/HELK인스턴스와통합하는방법을다룬다.Mordor프로젝트의아이디어는위협행위자의행동을모방한사전에기록한이벤트를제공하는것이다.인텔리전스기반사냥의예로APT29ATT&CK매핑을사용하고자MordorAPT29데이터세트를연구환경에적용한다.끝으로CALDERA를이용해자체적으로설계한위협을모방하는것으로끝난다.
10장,‘프로세스문서화및자동화의중요성’에서는문서화를다룬다.위협사냥절차의마지막부분에는문서화,자동화및최신화가있다.이장에서는위협사냥프로그램의수준을향상시킬수있는문서화및자동화팁을다룬다.자동화는분석가들이같은사냥을계속반복해서수행하는것으로부터자유롭게하는핵심이지만모든것을자동화할수있는것은아니며반드시해야하는것은아니다.
11장,‘데이터품질평가’에서는데이터의수집및정제를유용하게하는몇가지오픈소스도구를활용해데이터품질평가의중요성을다룬다.
12장,‘결과이해하기’에서는연구환경을벗어난곳에서사냥을할때발생할수있는다른결과와필요시질의를개선하는방법을다룬다.
13장,‘성공을위한좋은지표의정의’에서는지표를다룬다.좋은지표는개별사냥을평가하는데사용하는것뿐만아니라전체사냥프로그램의성공을평가하는데도사용한다.이장에서는사냥프로그램을평가하는데사용할수있는지표목록을제공한다.또한결과추적을위한MaGMa프레임워크를살펴본다.
14장,‘사고대응팀의참여및경영진보고’에서는결과를얘기하는것을다룬다.자신의분야에서전문가가되는것은훌륭하지만그전문적인일이어떻게기업의투자대비수입에긍정적인영향을끼치는지에대해잘얘기할줄모른다면그리멀리가지못할것이다.이장에서는침입을얘기하는방법과사고대응팀의참여방법,상위관리자에게결과를전달하는방법을다룬다.