오늘날 사이버 방어자가 직면하는 가장 큰 과제 중 하나는 IP 주소, ASN, 도메인, URL, 해시 등 특정 침해 지표(IOC)에 대한 메타데이터를 제공하는 지표 피드에서 감지 적중을 분석하는 것입니다. 지표 피드는 위협 인텔리전스 업계 전반에 걸쳐 확산되었지만, 대부분의 피드에는 지표가 피드에 배치된 이유에 대한 컨텍스트 정보가 포함되어 있지 않습니다. 오늘날 대부분의 피드는 차단 가능한 지표에만 초점을 맞추고 CVE를 악용하는 위협 행위자 또는 내부자 위협 같이 보다 복잡한 사례를 쉽게 수용할 수 없다는 한계가 있습니다. 대신, 이러한 종류의 복잡한 위협 인텔리전스는 긴 형태의 보고용으로 남겨졌습니다. 그러나 긴 형식의 보고에는 작성하고 편집하는 데 필요한 시간과 같은 문제가 있으며, 이로 인해 적시에 위협 인텔리전스를 공개하는 데 상당한 지연이 발생할 수 있습니다.
Cloudflare에서 이러한 문제를 해결하기 위해 Cloudforce One 고객을 위한 위협 이벤트 플랫폼을 출시하게 되어 기쁩니다. Cloudflare에서는 매일 수십억 건의 사이버 위협을 차단합니다. 이 새로운 플랫폼에는 Cloudflare 네트워크에서 모니터링되고 완화되는 위협에 대한 컨텍스트 데이터가 포함되어 있으며, 보안 실무자와 의사 결정권자에게 글로벌 관점에서 실행 가능한 인사이트를 제공하도록 설계되었습니다.
저희는 평균적으로 초당 7,100만 건의 HTTP 요청과 초당 4,400만 건의 DNS 쿼리를 처리합니다. 이러한 대량의 트래픽 덕분에 귀중한 인사이트와 현재(실시간) 위협에 대한 포괄적인 관점을 얻을 수 있습니다. 새로운 위협 이벤트 플랫폼에서는 이러한 트래픽에서 얻은 인사이트를 활용하여 인터넷에서 발생하는 위협 활동에 대한 포괄적인 실시간 보기가 제공되므로 Cloudforce One 고객은 자산을 더 잘 보호하고 새로운 위협에 대응할 수 있습니다.
Cloudflare에서 트래픽 인사이트를 활용하여 위협 이벤트 플랫폼을 구축한 방법
Cloudflare의 네트워크에서 관찰되는 엄청난 양의 위협 활동은 모든 시스템 또는 SOC 분석가를 압도할 것입니다. 따라서 저희는 이러한 활동을 침해 지표(IOC)뿐만 아니라 컨텍스트까지 포함하는 이벤트 스트림으로 선별하여 Cloudflare의 고유 데이터를 기반으로 조치를 더 쉽게 취할 수 있도록 합니다. 우선, 저희는 네트워크 전반에서 관찰된 서비스 거부(DOS) 공격과 관련된 이벤트를 공개하고, Cloudforce One Intelligence 팀에서 추적한 고급 위협 작업, 즉 추적 대상인 위협 행위자가 사용하는 다양한 도구, 기술, 절차를 공개합니다. 저희는 해당 이벤트를 MITRE ATT&CK 프레임워크와 사이버 킬 체인 단계에 매핑했습니다. 향후에는 웹 애플리케이션 방화벽(WAF), Zero Trust Gateway, Zero Trust 이메일 보안 비즈니스 이메일 손상, 기타 많은 Cloudflare 독점 데이터 세트에 의해 차단된 트래픽과 관련된 이벤트를 추가할 예정입니다. 이러한 이벤트를 함께 사용하면 고객은 인터넷에서 발생하는 위협 활동에 대한 세부 정보를 볼 수 있습니다.
위협 이벤트의 각 이벤트는 STIX2 목격 개체와 유사하게 당사에서 관찰한 특정 위협 활동을 요약하며, 요약, 상세 보기, MITRE ATT&Ck 및 KillChain 단계에 대한 매핑을 통해 컨텍스트 정보를 제공합니다. 항목 예시는 저희 API 문서를 참조하세요.
Cloudflare의 목표는 고객이 조직을 겨냥한 위협에 대한 광범위하고 구체적인 질문을 모두 조사하고 해결할 수 있는 핵심 정보를 제공하여 위협 환경을 더 잘 이해할 수 있도록 지원하는 것입니다. 예:
누가 저희 업계 버티컬을 겨냥할까요?
누가 우리나라를 겨냥할까요?
버티컬을 노리는 공격을 차단하기 위해 사용할 수 있는 지표는?
공격자는 일정 기간 동안 킬 체인에서 무엇을 수행했을까요?
각 이벤트에는 식별된 위협 활동과 연결되는 고유 식별자가 있으므로 Cloudforce One 위협 인텔리전스 분석가가 후속 조사에서 추가 컨텍스트를 제공할 수 있습니다.
저희가 Cloudflare Workers를 사용하여 위협 이벤트 플랫폼을 구축한 방법
저희는 위협 이벤트 플랫폼을 구축하기 위해 Cloudflare 개발자 플랫폼을 사용하기로 결정했습니다. Cloudflare Workers의 범용성과 원활한 통합을 활용할 수 있었기 때문입니다. 본질적으로 이 플랫폼은 SQLite 기반 Durable Objects를 사용하여 Cloudflare 네트워크에서 관찰된 이벤트를 저장하는 Cloudflare Worker입니다. 저희는 Cloudflare의 서버리스 SQL 데이터베이스 솔루션인 D1 대신 Durable Objects를 사용하기로 결정했습니다. D1을 사용하면 SQL 테이블을 동적으로 생성하여 고유하게 사용자 지정 가능한 데이터 세트를 저장할 수 있기 때문입니다. 이러한 방식으로 데이터 세트를 저장하면 위협 이벤트를 네트워크 전체로 확장할 수 있으므로 예측할 수 없는 인터넷 공격 특성과 관련이 있을 수 있는 데이터 급증에 탄력적으로 대응할 수 있습니다. 또한 데이터 소스별로 이벤트를 제어하거나, 데이터 세트의 하위 집합을 신뢰할 수 있는 파트너와 공유하거나, 권한이 있는 사용자에게만 액세스를 제한할 수 있습니다. 마지막으로, 각 개별 위협 이벤트에 대한 메타데이터는 Durable Object KV에 저장되므로 고정되고 검색 가능한 필드 외에도 상황에 맞는 데이터를 저장할 수 있습니다. 이 데이터는 서비스 거부 이벤트에 대한 초당 요청 수 형태일 수도 있고, Cloudforce One 분석가가 추가 조사를 위해 해당 이벤트를 정확한 위협 활동과 연결하는 데 사용할 수 있는 소싱 정보 형태일 수도 있습니다.
위협 이벤트 사용 방법
Cloudforce One 고객은 보안 센터의 Cloudflare 대시보드 또는 Cloudforce One 위협 이벤트 API를 통해 위협 이벤트에 액세스할 수 있습니다. 이들은 각각 Cloudflare에서 확인한 인터넷 전반에서 발생하는 위협 활동의 흐름을 노출하며, 사용자 정의 필터로 사용자 정의할 수 있습니다.
사용자는 Cloudflare 대시보드에서 Attacker Timepass 보기에 액세스하여 전략적 질문에 답할 수 있으며, 더욱 세분화된 이벤트 표에 액세스하여 공격 세부 정보를 자세히 살펴볼 수 있습니다. 이러한 접근 방식을 통해 사용자는 가장 관련성이 높은 정보를 손쉽게 얻을 수 있습니다.
이벤트 표
이벤트 표는 보안 센터의 상세 보기로, 사용자가 다양한 기준에 따라 필터링된 특정 위협 활동을 자세히 살펴볼 수 있습니다. 여기에서 사용자는 Cloudflare의 트래픽 인사이트를 이용하여 특정 위협 이벤트와 공격자 캠페인을 알아볼 수 있습니다. 가장 중요한 것은 사용자가 서비스를 적절하게 방어할 수 있도록 이 표에 실행 가능한 손상 지표와 이벤트 요약이 제공된다는 점입니다. 이벤트 표에 있는 모든 데이터는 Cloudforce One 위협 이벤트 API를 통해서도 동일하게 액세스할 수 있습니다.
위협 이벤트의 기능을 보여주기 위해 실제 사례를 살펴보겠습니다.
최근 Black Basta 범죄 조직의 채팅 내용이 유출되어 피해자, 수법, 인프라 구매 등에 대한 세부 정보가 드러났습니다. 유출된 채팅이 어떤 식으로든 조작되었는지 여부는 확인할 수 없지만, 채팅에서 논의된 인프라는 간단하게 확인할 수 있었습니다. 따라서 이제 이 위협 인텔리전스를 고유한 Cloudflare 컨텍스트와 함께 위협 이벤트의 이벤트로 사용할 수 있습니다.
Black Basta에서 사용하는 도메인, 호스트, 파일 샘플을 검색하는 분석가는 위협 이벤트를 활용하여 위협 행위자의 작업에 대한 귀중한 인사이트를 얻을 수 있습니다. 예를 들어, 아래 이미지와 같이 위협 이벤트 UI에서 사용자는 드롭다운에서 'blackBasta'를 선택하여 '공격자' 열을 필터링할 수 있습니다. 그에 따라 추가 조사를 위해 확인된 IP 주소, 도메인, 파일 해시의 선별된 목록이 제공됩니다. Black Basta 위협 활동에 대한 Cloudflare의 고유한 가시성에 대한 자세한 내용은 Black Basta의 실수: 갱단의 유출된 채팅 악용을 참조하세요.
저희가 위협 이벤트를 게시하는 이유
Cloudflare의 고객은 운영을 방해하고 중요한 데이터를 손상시킬 수 있는 수많은 사이버 위협에 직면하고 있습니다. 공격자가 점점 더 지능화됨에 따라 시기 적절한 관련 위협 인텔리전스가 그 어느 때보다 중요해졌습니다. 이러한 이유로 Cloudflare에서는 이러한 위협에 대한 심층적인 인사이트를 제공하는 위협 이벤트를 도입합니다.
위협 이벤트 플랫폼은 진행 중인 위협 활동에 대해 보다 자세하고 상황에 맞는 관점을 제공하여 이러한 격차를 메우는 것을 목표로 합니다. 이 기능을 사용하면 분석가는 사용자 정의 필터를 통해 사고를 직접 조사하고 탐색하여 패턴을 파악하고 효과적으로 대응할 수 있습니다. Cloudflare에서는 실시간 위협 데이터에 대한 액세스를 제공하여 조직에서 보안 전략에 대해 정보에 입각한 결정을 내릴 수 있도록 지원합니다.
저희는 위협 이벤트 플랫폼의 가치를 검증하기 위해 Fortune 20 위협 인텔리전스 팀에게 테스트 실시를 의뢰했습니다. 해당 팀에서 110개의 출처를 대상으로 분석을 실시한 결과, 저희가 위협 인텔리전스 출처 1위로 선정되었습니다. 해당 템에서는 위협 인텔리전스 분야에서 저희가 "유니콘"에 해당한다고 생각했습니다. 초기 단계이지만, 초기 피드백을 통해 저희 인텔리전스가 독특할 뿐만 아니라 방어자에게 탁월한 가치를 제공한다는 것이 확인되었습니다.
다음 단계
이제 Cloudforce One 고객은 API와 대시보드를 사용하여 위협 인텔리전스를 기존 시스템에 원활하게 통합할 수 있으며, 머지 않아 위협 이벤트에 대한 더 많은 시각화 및 분석 기능을 사용하여 발견 사항을 더 잘 이해하고 보고할 수 있게 됩니다. 곧 출시될 이 UI에는 공격자 타임라인, 캠페인 개요, 공격 그래프의 향상된 시각화가 포함되어 조직에서 직면한 위협에 대한 더 심층적인 인사이트가 제공됩니다. 저희는 또한 기존 SIEM 플랫폼과 통합하고 시스템 간에 지표를 공유하는 기능을 추가할 예정입니다.
여기에서 저희 팀에서 게시한 위협 인텔리전스 연구에 대해 자세히 알아보시거나, 귀사 계정 팀에 문의하여 사이버 보안 태세를 강화하기 위해 새로운 위협 이벤트를 활용하는 방법에 대해 알아보세요.