보안 감지 프로그램
보안 감지 프로그램 @ Atlassian
Atlassian은 보안과 관련하여 항상 안심할 수 없다는 점을 아주 중요하게 생각합니다. Atlassian의 핵심 가치 중 하나는 “스스로 변화의 중심이 된다”는 것입니다. 사이버 위협 환경이 계속 진화하면서 보안에 대한 접근 방식을 지속적으로 개선하여 이 가치를 실현하려고 합니다.
Atlassian이 지속적으로 개선하는 방법의 한 가지 예는 보안 감지 프로그램을 통해 개선하는 것입니다.
보안 감지 프로그램이란 무엇입니까?
감지 프로그램은 기본적으로 Atlassian의 보안 인시던트 및 이벤트 관리 플랫폼에서 일정에 따라 사전 예방적으로 실행하는 검색입니다. 이 검색은 Atlassian 및 고객을 대상으로 하는 악의적인 활동을 감지하도록 설계되었습니다. 예를 들어 수신하는 이메일 헤더를 분석하거나, 악의적인 브라우저 확장 프로그램 동작을 감지하거나, DNS 트래픽의 의심스러운 패턴을 찾기 위해 만들어진 감지 프로그램이 있습니다.
2018년 말에 Atlassian은 공식적인 보안 감지 프로그램을 도입하여 프로그램을 보안 인텔리전스 팀의 기본적인 접근 방식으로 만들었습니다. 감지 프로그램은 악의적인 활동을 감지하는 시간을 줄이는 데 중점을 두며 정기적으로 새로운 감지 프로그램을 만들고, 기존 감지 프로그램을 조정 및 개선하며, 감지 대응을 자동화하고 있습니다.
감지 프로그램은 Atlassian의 기존 보안 인시던트 관리 프로세스를 개선합니다. Atlassian 보안은 이 프로세스에 확신을 가지고 있지만, Atlassian이 지속적으로 성장하고 전 세계적으로 더 많은 고객에게 서비스를 제공하면서 다음과 같이 해야 한다는 인식에 따라 이 프로그램이 만들어졌습니다.
갈수록 복잡해지는 위협 환경에서 인시던트를 더 빠르게 감지할 수 있는 역량을 개선해야 합니다.
인시던트 관리에 대한 접근 방식은 직면한 위협에 대응할 뿐만 아니라 향후 직면하게 될 위협 환경을 충분히 예측하고 대비해야 합니다.
감지 프로그램의 목표
Atlassian의 관점에서 감지 프로그램을 도입하는 주요 목표는 다음과 같습니다.
보안 팀이 만든 감지 기능에서 발생한 알림의 결과로 식별되는 보안 인시던트의 비율을 높이고, 이런 방식으로 식별되었을 수 있지만 다른 출처(예: 외부 보고서/알림)에서 온 인시던트를 줄입니다.
제품, 공격 유형 및 로그 소스를 포함하여 다양한 차원에서 감지 범위를 이해 및 개선하고, 최대한 100%에 가깝게 보장하는 것을 궁극적인 목표로 설정합니다.
보안 인시던트를 감지하는 팀의 접근 방식을 명확하게 측정하고 검증하여 팀이 올바른 방향으로 나아가고 있다는 데 확신을 가지고 시간이 지나면서 인시던트 감지 및 대응 기능을 향상합니다.
또한 Atlassian 보안 분석가는 감지 아이디어를 논의하고 개발하는 데 많은 시간을 투자하므로, 보안 인텔리전스 팀은 이 프로그램을 통해 Splunk 기술 및 감지 작성 기술을 더 전체적으로 개선할 수 있었습니다.
프로그램 작동 방식
프로그램의 일부분으로, 보안 인텔리전스 팀의 각 분석가는 매달 적어도 하나의 새로운 보안 감지 기능를 작성하는 데 중점을 둡니다.
분석가가 새 감지 기능을 작성하는 경우 다음도 제공합니다.
- 감지 기능이 작동하는 방식 및 감지 기능이 보안에 미치는 영향을 설명하는 상세한 설명서
- 알림 생성되면 감지에 대응하는 방법에 대한 런북. 런북은 감지 알림을 위해 만든 Jira 티켓에서 액세스할 수 있으므로 분석가는 이 알림에 대해 빠르게 조치를 취하는 데 필요한 모든 정보를 얻을 수 있습니다.
- 시간 경과에 따른 감지 가능의 정탐 및 오탐 비율에 대한 문서화된 분석
- 관련 Atlassian 제품, 서비스 및 로그 소스의 감지 분류, 그리고 해당 분류에서 다루는 공격 벡터 또는 기술(감지 범위를 전반적으로 파악할 수 있음)
또한 각 감지 기능은 Atlassian이 작성한 감지 기능의 품질을 일정 수준으로 보장하고 팀 전체에서 지식을 공유할 수 있도록 동료 평가 프로세스를 거쳐야 합니다.
감지 결과 악성일 수 있는 것으로 발견되면 보안 인텔리전스 팀에 알림을 보내고 이들이 대응합니다. 알림의 결과는 경미하거나 오탐으로 간주되는 것부터 조사 시작 또는 보안 인시던트 만들기에 이르기까지 다양합니다.
감지 기능의 표준화
Atlassian 보안 팀에서는 분석가가 작성한 감지 기능 중에서 높은 수준의 일관성과 품질을 달성하기 위한 방법이 필요하다는 것을 조기에 깨달았습니다. 표준화 프로세스가 없었을 때 팀은 감지 기능에서 이름 지정이 일관적이지 않고, 소스 제어 프로세스가 부족하고, 기록 데이터가 불완전하며, 다양한 제품 및 서비스 전반에 걸쳐 감지 범위를 이해할 수 없는 위험을 마주했습니다.
이 문제를 해결하기 위해 팀은 감지 분류에 대한 표준 스키마를 만들었습니다. 분석가가 새 감지를 작성하면 스키마의 요구 사항을 충족하는지 확인하기 위해 자동화된 프로세스를 거칩니다. 일반적으로 워크플로는 다음과 같습니다.
- 보안 인텔리전스 분석가는 작성한 새로운 감지 플레이에 대해 Jira 이슈를 만듭니다. Jira는 모든 감지에 대해 단일 정보 소스의 역할을 효과적으로 수행합니다.
- 팀에는 범위 내 제품, 서비스 및 인프라, 공격 유형 및 Splunk 검색 로직에 대한 텍스트 필드를 포함하여 분석가가 새로운 감지를 만들기 위해 작성하는 핵심 데이터 세트가 있는 사용자 지정 이슈 유형이 있습니다.
- 감지 기능을 만든 후에는 자동화 팀에서 이 목적에 맞춰 작성한 명령줄 인터페이스 도구를 실행하여 감지 기능을 표준화합니다. 이 도구를 사용하면 감지의 유효성을 확인하고 알림 파이프라인을 구성하는 다양한 시스템 및 컴포넌트에 이 감지 기능을 전파할 수 있습니다. 특히 다음 작업을 수행할 수 있습니다.
- Jira 이슈를 Jira 개체로 읽습니다.
- 이슈의 필드 유효성을 검사하고 키 레이블을 추가합니다.
- 감지 기능에 대한 표준 이름을 생성하고 이에 대한 풀리퀘스트(PR)를 만듭니다. PR에는 감지 기능이 예약된 검색을 실행하고 알림을 Jira에 전파하는 데 필요한 Splunk 스탠자, 키 및 매개 변수가 포함되어 있습니다.
- 분석가가 알림에 응답할 때 추가할 수 있는 Confluence 페이지를 만들어 채우고 이것을 해당하는 Jira 이슈에 연결합니다. 이렇게 하면 가시성을 더 확보하고 감지에 대한 내역 정보를 캡처할 수 있습니다. 또한 보고하는 데 필요한 가장 중요한 정보에 대해 '경영진 수준의 보기'를 제공합니다.
또한 표준화 프로세스를 통해 팀은 공격 유형 및 관련 Atlassian 제품, 서비스 또는 인프라에 따라 각 감지된 사항을 분류하여 보안 인텔리전스 팀의 전체 범위에 대한 단일 창 보기를 제공하고, 특히 좁혀야 할 격차가 있는 경우 해당 부분을 강조 표시할 수 있습니다.
보안 인텔리전스 팀은 현재 공격 유형에 따라 감지를 분류하기 위한 출발점으로 MITRE ATT&CK 프레임워크를 사용하고 있습니다. 이것은 Atlassian의 보안 레드 팀 작전, 이전 인시던트, 새로운 위협 및 공격 방법에 대한 팀의 이해를 보완하여 팀이 새로운 감지를 작성할 때 집중해야 하는 우선 순위 영역을 식별할 수 있습니다.
***위의 세부 정보 및 숫자는 설명을 위한 것입니다.
Atlassian은 이 접근 방식이 감지 프로그램에 대한 명확성과 방향을 제시하고 Atlassian이 작성한 감지에서 높은 수준의 일관성과 품질을 보장하는 데 있어 큰 진전이라고 생각합니다.
요약
Atlassian의 보안 감지 프로그램은 인시던트 감지 및 대응에 대한 Atlassian의 사전 예방적 접근 방식에서 중요한 부분입니다. 또한 표준화를 위한 Atlassian의 접근 방식은 여러 조직의 보안 팀에 혜택을 줄 수 있다고 생각합니다. 자세히 알아보려면 지원 팀에 문의하세요.
더 자세히 알아보시겠습니까?
보안 인시던트 처리에 대한 접근 방식과 보안에 대한 일반적인 접근 방식을 알아보기 위해 액세스할 수 있는 몇 가지 기타 리소스를 게시했습니다.