KR102584160B1 - 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램 - Google Patents

마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램 Download PDF

Info

Publication number
KR102584160B1
KR102584160B1 KR1020230083205A KR20230083205A KR102584160B1 KR 102584160 B1 KR102584160 B1 KR 102584160B1 KR 1020230083205 A KR1020230083205 A KR 1020230083205A KR 20230083205 A KR20230083205 A KR 20230083205A KR 102584160 B1 KR102584160 B1 KR 102584160B1
Authority
KR
South Korea
Prior art keywords
attack
tactics
techniques
information
playbook
Prior art date
Application number
KR1020230083205A
Other languages
English (en)
Inventor
최석원
Original Assignee
주식회사 이글루코퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루코퍼레이션 filed Critical 주식회사 이글루코퍼레이션
Priority to KR1020230083205A priority Critical patent/KR102584160B1/ko
Application granted granted Critical
Publication of KR102584160B1 publication Critical patent/KR102584160B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 개시는, 마이터 어택 프레임워크와 통신을 수행하는 통신부; 및 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응과 관련된 동작을 제어하는 프로세서; 를 포함하고, 프로세서는 통신부를 통해 마이터 어택 프레임워크로부터 수신된 공격 정보, 공격 정보별로 매핑된 마이터 어택 기반의 Playbook을 메모리에 저장하고, 네트워크 보안에 대해 경보가 발생하고, 현재 공격 정보가 메모리에 저장된 공격 정보인지를 판단하며, 현재 공격 정보가 메모리에 저장된 공격 정보일 경우, 마이터 어택 기반의 Playbook을 실행시켜 네트워크 보안에 대해 제1 자동 대응을 수행하고, 현재 공격 정보가 메모리에 저장된 공격 정보가 아닐 경우, 기 설정된 SOAR 기반의 Playbook을 실행시켜 네트워크 보안에 대해 제2 자동 대응을 수행하는 것을 특징으로 할 수 있다.

Description

마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버, 방법 및 프로그램{NETWORK SECURITY PREEMPTIVE AUTOMATIC RESPONSE SERVER USING MITRE ATTACK FRAMEWORK, METHOD AND PROGRAM}
본 개시는 네트워크 보안 자동 대응 서버에 관한 것이다. 보다 상세하게는, 본 개시는 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버, 방법 및 프로그램에 관한 것이다.
보안 관제 업무는, 경보 로그 및 이벤트에 대해 정확한 분석과 빠른 대응이 필요한 영역이다.
과거 관제 요원 혹은 사이트의 보안을 담당하는 담당자는 수동으로 경보 로그를 분석하고 판단하여 대응을 하였다.
근래, 관제 업무가 발전됨에 따라 사람이 수동으로 하던 업무를 자동화하여 처리하는 자동 대응 기술이 발전하고 있다
그런데, 종래 자동 대응 기술은, 공격자의 공격 패턴을 예측하는데 한계가 있어, 선제적 자동 대응을 수행하는데 한계가 있었다.
따라서, 최근에는, 공격자의 공격 패턴을 예측하여 선제적 자동 대응을 효율적으로 수행할 수 있는 네트워크 보안 선제적 자동 대응 연구가 지속적으로 행해져 오고 있다.
미국공개특허공보 US 2022/0014547(2022.01.13.)
본 개시에 개시된 실시예는, 마이터 어택 프레임워크의 데이터를 통해 공격자의 공격 패턴을 예측하여 사전에 정의된 Playbook으로 선제적 자동 대응을 수행할 수 있는 것을 제공하는데 그 목적이 있다.
본 개시가 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 달성하기 위한 본 개시의 일 측면에 따른 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버는, 마이터 어택 프레임워크와 통신을 수행하는 통신부; 및 상기 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응과 관련된 동작을 제어하는 프로세서; 를 포함하고, 상기 프로세서는 상기 통신부를 통해 상기 마이터 어택 프레임워크로부터 수신된 공격 정보, 상기 공격 정보별로 매핑된 마이터 어택 기반의 Playbook을 메모리에 저장하고, 상기 네트워크 보안에 대해 경보가 발생하고, 현재 공격 정보가 상기 메모리에 저장된 공격 정보일 경우, 상기 마이터 어택 기반의 Playbook을 실행시켜 상기 네트워크 보안에 대해 제1 자동 대응을 수행하고, 상기 현재 공격 정보가 상기 메모리에 저장된 공격 정보가 아닐 경우, 기 설정된 SOAR 기반의 Playbook을 실행시켜 상기 네트워크 보안에 대해 제2 자동 대응을 수행하는 것을 특징으로 할 수 있다.
또한, 상기 공격 정보는 Tactics Id, Techniques Id인 것을 특징으로 할 수 있다.
또한, 상기 프로세서는 상기 Tactics Id, 상기 Techniques Id별로 각각 매핑된 Playbook을 생성하는 것을 특징으로 할 수 있다.
또한, 상기 프로세서는 상기 제1 자동 대응을 수행할 때, 공격 예측 모델을 통해 분석된 Tactics Id의 공격 패턴 정보별 Playbook, 분석된 Techniques Id의 공격 패턴 정보별 Playbook을 실행시켜 상기 제1 자동 대응을 더 수행하는 것을 특징으로 할 수 있다.
또한, 상기 Tactics Id의 공격 패턴 정보는, 다음 공격 패턴에 대한 전술 확률 예측값을 포함하는 것을 특징으로 할 수 있다.
또한, 상기 Techniques Id의 공격 패턴 정보는, 다음 공격 패턴에 대한 기술 확률 예측값을 포함하는 것을 특징으로 할 수 있다.
또한, 본 개시의 다른 측면에 따른 서버에 의해 수행되는 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 방법에 있어서, 상기 마이터 어택 프레임워크로부터 수신된 공격 정보, 상기 공격 정보별로 매핑된 Playbook을 메모리에 저장하는 단계; 상기 네트워크 보안에 대해 경보가 발생할 경우, 현재 공격 정보가 상기 메모리에 저장된 공격 정보인지를 판단하는 단계; 상기 현재 공격 정보가 상기 메모리에 저장된 공격 정보일 경우, 상기 공격 정보별로 매핑된 Playbook을 실행시켜 상기 네트워크 보안에 대해 제1 자동 대응을 수행하는 단계; 및 상기 현재 공격 정보가 상기 메모리에 저장된 공격 정보가 아닐 경우, 기 설정된 SOAR 기반의 Playbook을 실행시켜 상기 네트워크 보안에 대해 제2 자동 대응을 수행하는 단계; 를 포함할 수 있다.
또한, 상기 공격 정보는 Tactics Id, Techniques Id인 것을 특징으로 할 수 있다.
또한, 상기 Tactics Id, 상기 Techniques Id별로 각각 매핑된 Playbook을 생성하는 단계; 를 더 포함할 수 있다.
또한, 상기 제1 자동 대응을 수행하는 단계는, 공격 예측 모델을 통해 분석된 Tactics Id의 공격 패턴 정보별 Playbook, 분석된 Techniques Id의 공격 패턴 정보별 Playbook을 실행시켜 상기 제1 자동 대응을 더 수행하는 것을 특징으로 할 수 있다.
이 외에도, 본 개시를 구현하기 위한 실행하기 위한 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램이 더 제공될 수 있다.
이 외에도, 본 개시를 구현하기 위한 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.
본 개시의 전술한 과제 해결 수단에 의하면, 마이터 어택 프레임워크의 데이터를 통해 공격자의 공격 패턴을 예측하여 사전에 정의된 Playbook으로 선제적 자동 대응을 수행할 수 있는 효과를 제공한다.
본 개시의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 개시에 따른 네트워크 보안 선제적 자동 대응 서버가 마이터 어택 프레임워크 및 네트워크에 연결된 상태를 나타낸 도면이다.
도 2 내지 도 6은 본 개시에 따른 네트워크 보안 선제적 자동 대응 방법을 나타낸 도면들이다.
본 개시 전체에 걸쳐 동일 참조 부호는 동일 구성요소를 지칭한다. 본 개시가 실시예들의 모든 요소들을 설명하는 것은 아니며, 본 개시가 속하는 기술분야에서 일반적인 내용 또는 실시예들 간에 중복되는 내용은 생략한다. 명세서에서 사용되는'부, 모듈, 부재, 블록'이라는 용어는 소프트웨어 또는 하드웨어로 구현될 수 있으며, 실시예들에 따라 복수의 '부, 모듈, 부재, 블록'이 하나의 구성요소로 구현되거나, 하나의 '부, 모듈, 부재, 블록'이 복수의 구성요소들을 포함하는 것도 가능하다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 직접적으로 연결되어 있는 경우뿐 아니라, 간접적으로 연결되어 있는 경우를 포함하고, 간접적인 연결은 무선 통신망을 통해 연결되는 것을 포함한다.
또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
명세서 전체에서, 어떤 부재가 다른 부재 "상에" 위치하고 있다고 할 때, 이는 어떤 부재가 다른 부재에 접해 있는 경우뿐 아니라 두 부재 사이에 또 다른 부재가 존재하는 경우도 포함한다.
제 1, 제 2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 전술된 용어들에 의해 제한되는 것은 아니다.
단수의 표현은 문맥상 명백하게 예외가 있지 않는 한, 복수의 표현을 포함한다.
각 단계들에 있어 식별부호는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다.
이하 첨부된 도면들을 참고하여 본 개시의 작용 원리 및 실시예들에 대해 설명한다.
본 명세서에서 본 개시에 따른 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버는 연산처리를 수행하여 사용자에게 결과를 제공할 수 있는 다양한 장치들이 모두 포함된다. 예를 들어, 본 개시에 따른 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버는, 컴퓨터, 서버 장치 및 휴대용 단말기를 모두 포함하거나, 또는 어느 하나의 형태가 될 수 있다.
여기에서, 상기 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop), 태블릿 PC, 슬레이트 PC 등을 포함할 수 있다.
상기 서버 장치는 외부 장치와 통신을 수행하여 정보를 처리하는 서버로써, 애플리케이션 서버, 컴퓨팅 서버, 데이터베이스 서버, 파일 서버, 프록시 서버 및 웹 서버 등을 포함할 수 있다.
상기 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), WiBro(Wireless Broadband Internet) 단말, 스마트 폰(Smart Phone) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치와 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘택트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD) 등과 같은 웨어러블 장치를 포함할 수 있다.
본 개시에 따른 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버는, 마이터 어택 프레임워크로부터 수신된 공격 정보, 공격 정보별로 매핑된 마이터 어택 기반의 Playbook을 메모리에 저장하고, 네트워크 보안에 대해 경보가 발생하고, 현재 공격 정보가 메모리에 저장된 공격 정보일 경우, 마이터 어택 기반의 Playbook을 실행시켜 네트워크 보안에 대해 제1 자동 대응을 수행하고, 현재 공격 정보가 메모리에 저장된 공격 정보가 아닐 경우, 기 설정된 SOAR 기반의 Playbook을 실행시켜 네트워크 보안에 대해 제2 자동 대응을 수행할 수 있다.
이러한, 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버는, 마이터 어택 프레임워크의 데이터를 통해 공격자의 공격 패턴을 예측하여 사전에 정의된 Playbook으로 선제적 자동 대응을 수행할 수 있다.
이하에서는, 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버를 자세하게 살펴보기로 한다.
도 1은 본 개시에 따른 네트워크 보안 선제적 자동 대응 서버가 마이터 어택 프레임워크 및 네트워크에 연결된 상태를 나타낸 도면이다.
도 1을 참조하면, 네트워크 보안 선제적 자동 대응 서버(100)는 프로세서(110)와 메모리(120) 및 통신부(130)를 포함할 수 있다.
통신부(130)는 마이터 어택 프레임워크(10)와 통신을 수행할 수 있다. 이때, 통신부(130)는 유선 통신 모듈과 무선 통신 모듈 중 적어도 하나를 포함할 수 있다.
유선 통신 모듈은 지역 통신(Local Area Network; LAN) 모듈, 광역 통신(Wide Area Network; WAN) 모듈 또는 부가가치 통신(Value Added Network; VAN) 모듈 등 다양한 유선 통신 모듈뿐만 아니라, USB(Universal Serial Bus), HDMI(High Definition Multimedia Interface), DVI(Digital Visual Interface), RS-232(recommended standard232), 전력선 통신, 또는 POTS(plain old telephone service) 등 다양한 케이블 통신 모듈을 포함할 수 있다.
무선 통신 모듈은 와이파이(Wifi) 모듈, 와이브로(Wireless broadband) 모듈 외에도, GSM(global System for Mobile Communication), CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), UMTS(universal mobile telecommunications system), TDMA(Time Division Multiple Access), LTE(Long Term Evolution), 4G, 5G, 6G 등 다양한 무선 통신 방식을 지원하는 무선 통신 모듈을 포함할 수 있다.
메모리(120)는 본 장치 내의 구성요소들의 동작을 제어하기 위한 알고리즘 또는 알고리즘을 재현한 프로그램에 대한 데이터를 저장할 수 있다. 프로세서(110)는 메모리(120)와 통신을 수행하고, 메모리(120)에 저장된 데이터를 이용하여 전술한 동작을 수행할 수 있다. 여기에서, 프로세서(110)와 메모리(120)는 각각 별개의 칩으로 구현될 수 있다. 또한, 프로세서(110)와 메모리(120)는 단일 칩으로 구현될 수도 있다.
메모리(120)는 본 장치의 다양한 기능을 지원하는 데이터와, 본 장치 내의 구성요소들의 동작을 위한 프로그램을 저장할 수 있고, 입/출력되는 데이터들을 저장할 있고, 본 장치에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 본 장치의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 무선 통신을 통해 외부 서버로부터 다운로드 될 수 있다.
이러한, 메모리(120)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), SSD 타입(Solid State Disk type), SDD 타입(Silicon Disk Drive type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(random access memory; RAM), SRAM(static random access memory), 롬(read-only memory; ROM), EEPROM(electrically erasable programmable read-only memory), PROM(programmable read-only memory), 자기 메모리, 자기 디스크 및 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.
메모리(120)는 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응과 관련된 데이터를 저장할 수 있다. 프로세서(110)는 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응과 관련된 동작을 제어할 수 있다.
프로세서(110)는 통신부(130)를 통해 마이터 어택 프레임워크(10)로부터 수신된 공격 정보, 공격 정보별로 매핑된 마이터 어택 기반의 Playbook을 메모리(120)에 저장할 수 있다. 여기에서, 공격 정보는 Tactics Id, Techniques Id일 수 있다. 이때, 프로세서(110)는 Tactics Id, Techniques Id 별로 각각 매핑된 Playbook을 생성할 수 있다.
프로세서(110)는 네트워크(20) 보안에 대해 경보가 발생하고, 현재 공격 정보가 메모리(120)에 저장된 공격 정보일 경우, 마이터 어택 기반의 Playbook을 실행시켜 네트워크 보안(20)에 대해 제1 자동 대응을 수행할 수 있다. 여기에서, 프로세서(110)는, 제1 자동 대응을 수행할 때, 공격 예측 모델을 통해 분석된 Tactics Id의 공격 패턴 정보별 Playbook, 분석된 Techniques Id의 공격 패턴 정보별 Playbook을 실행시켜 네트워크 보안(20)에 대해 제1 자동 대응을 더 수행할 수 있다. 이때, Tactics Id의 공격 패턴 정보는, 다음 공격 패턴에 대한 전술 확률 예측값을 포함할 수 있다. 또한, Techniques Id의 공격 패턴 정보는, 다음 공격 패턴에 대한 기술 확률 예측값을 포함할 수 있다.
프로세서(110)는 현재 공격 정보가 메모리(120)에 저장된 공격 정보가 아닐 경우, 기 설정된 SOAR 기반의 Playbook을 실행시켜 네트워크 보안(20)에 대해 제2 자동 대응을 수행할 수 있다.
도 2 내지 도 6은 본 개시에 따른 네트워크 보안 선제적 자동 대응 방법을 나타낸 도면들이다.
도 2 내지 도 6을 참조하면, 네트워크 보안 선제적 자동 대응 방법은, 생성 단계(S210), 저장 단계(S220), 제1 판단 단계(S230), 제2 판단 단계(S240), 제1 실행 단계(S250), 제2 실행 단계(S260)를 포함할 수 있다.
생성 단계는, 통신부(130)를 통해 마이터 어택 프레임워크(10)로부터 수신된 공격 정보, 공격 정보별로 매핑된 마이터 어택 기반의 Playbook을 프로세서(110)를 통해 생성할 수 있다(S210). 예를 들어, 공격 정보는 Tactics Id, Techniques Id일 수 있다. 이때, 마이터 어택 프레임워크(MITRE ATT&CK FRAMEWORK, 10)는 취약점 데이터베이스인 CVE(Common Vulnerabilities and Exposures)를 관리하기 위해, 어택(ATT&CK, Adversarial Tactics, Techniques 및 Common Knowledge)이라는 사이버 공격 전술(Tactics) 및 기술(Techniques)에 대한 정보를 기반으로, 해킹 그룹의 공격을 탐지할 수 있다.
이러한, 마이터 어택 프레임워크(10)는 공격자가 엔드 포인트(End Point) 또는 시스템과 상호 작용하여 발생한 행동 패턴을 분석, 즉 공격자의 행위를 식별해줄 수 있는 프레임워크를 제공한다. 즉, 마이터 어택 프레임워크(10)는 공격자의 목표를 나타내는 전술(Tactics)을 정찰 지점에서 유출 또는 공격의 최종 목표까지 선형으로 제시되고, 목표 달성을 위한 실제 공격 기술(Techniques)을 항목별로 분류하여 제공한다.
예를 들어, 프로세서(110)는 Tactics Id, Techniques Id별로 각각 매핑된 마이터 어택 기반의 Playbook을 생성할 수 있다. 도 3에 도시된 바와 같이 프로세서(110)는 TA0043, TA0042, TA0001, TA0002, TA0003, TA0004, TA0005, TA0006별로 각각 매핑된 마이터 어택 기반의 Playbook을 생성할 수 있고, TA0043 관련 T1595, TA0043 관련 T1592 별로 각각 매핑된 마이터 어택 기반의 Playbook을 생성할 수 있다. 이에 한정하지 않고, 프로세서(110)는 다양한 Tactics Id별로 각각 매핑된 마이터 어택 기반의 Playbook을 생성할 수도 있고, 다양한 Tactics Id 관련 다양한 Techniques Id별로 각각 매핑된 마이터 어택 기반의 Playbook을 생성할 수도 있다.
저장 단계는, 프로세서(110)를 통해 공격 정보, 공격 정보별로 매핑된 마이터 어택 기반의 Playbook을 메모리(120)에 저장할 수 있다(S220). 예를 들어, 프로세서(110)는 Tactics Id, Techniques Id별로 각각 매핑된 마이터 어택 기반의 Playbook을 메모리(120)에 저장할 수 있다. 프로세서(110)는 TA0043, TA0042, TA0001, TA0002, TA0003, TA0004, TA0005, TA0006별로 각각 매핑된 마이터 어택 기반의 Playbook을 메모리(120)에 저장할 수 있고, TA0043 관련 T1595, TA0043 관련 T1592 별로 각각 매핑된 마이터 어택 기반의 Playbook을 메모리(120)에 저장할 수 있다. 이에 한정하지 않고, 프로세서(110)는 다양한 Tactics Id별로 각각 매핑된 마이터 어택 기반의 Playbook을 메모리(120)에 저장할 수도 있고, 다양한 Tactics Id 관련 다양한 Techniques Id별로 각각 매핑된 마이터 어택 기반의 Playbook을 메모리(120)에 저장할 수도 있다.
제1 판단 단계는, 프로세서(110)를 통해 네트워크(20) 보안에 대해 경보가 발생한 것인지를 판단할 수 있다(S230). 여기에서, 네트워크(20)에는 전자기기, IOT 기반의 기계 중 적어도 하나와 연결될 수 있다. 이때, 프로세서(110)는 네트워크(20)를 통해 연결된 전자기기, IOT 기반의 기계 중 적어도 하나의 네트워크(20) 보안에 대해 경보가 발생한 것인지를 판단할 수 있다.
제2 판단 단계는, 프로세서(110)를 통해 현재 공격 정보가 메모리(120)에 저장된 공격 정보인지를 판단할 수 있다(S240). 예를 들어, 프로세서(110)는 현재 Tactics Id 및 현재 Techniques Id를 수신받고, 현재 Tactics Id 및 현재 Techniques Id에 대응하여 메모리(120)에 저장된 Tactics Id 및 Techniques Id가 존재하는지를 판단할 수 있다.
제1 실행 단계는, 프로세서(110)를 통해 현재 공격 정보가 메모리(120)에 저장된 공격 정보일 경우, 마이터 어택 기반의 Playbook을 실행시켜 네트워크(20) 보안에 대해 제1 자동 대응을 수행할 수 있다(S250). 예를 들어, 프로세서(110)는 현재 Tactics Id 및 현재 Techniques Id가 메모리(120)에 저장된 Tactics Id 및 Techniques Id에 존재하는 것으로 판단할 경우(S240), 다양한 Tactics Id별로 각각 매핑된 마이터 어택 기반의 Playbook을 실행시켜 네트워크(20) 보안에 대해 제1 자동 대응을 수행할 수 있다. 다른 예를 들어, 프로세서(110)는 현재 Tactics Id 및 현재 Techniques Id가 메모리(120)에 저장된 Tactics Id 및 Techniques Id에 존재하는 것으로 판단할 경우, 다양한 Tactics Id 관련 다양한 Techniques Id별로 각각 매핑된 마이터 어택 기반의 Playbook을 실행시켜 네트워크(20) 보안에 대해 제1 자동 대응을 수행할 수 있다.
도 4에 도시된 바와 같이, 제1 실행 단계(S250)는, 도출 단계(S251), 제3 판단 단계(S252), 제1 대응 단계(S253)를 포함할 수 있다.
도출 단계는, 프로세서(110)를 통해 현재 Tactics Id 및 현재 Techniques Id가 메모리(120)에 저장된 Tactics Id 및 Techniques Id에 존재하는 것으로 판단할 경우(S240), 공격 예측 모델을 기반으로 다음 공격 패턴의 Tactics Id, 다음 공격 패턴의 Techniques Id, Tactics Id의 다음 공격 패턴에 대한 전술 확률 예측값, Techniques Id의 다음 공격 패턴에 대한 기술 확률 예측값을 도출할 수 있다(S251).
여기에서, 프로세서(110)는 Tactics Id, Techniques Id를 라벨링하고, 라벨링된 Tactics Id 데이터, Techniques Id 데이터를 기반으로, 인공지능 기반의 공격 예측 모델을 통해 학습을 수행하며, 공격 예측 모델을 기반으로 학습하여 분석한 다음 공격 패턴의 Tactics Id, 다음 공격 패턴의 Techniques Id, Tactics Id의 다음 공격 패턴에 대한 전술 확률 예측값, Techniques Id의 다음 공격 패턴에 대한 기술 확률 예측값을 출력할 수 있다. 여기에서, 공격 예측 모델은 제1 시점 동안 공격 패턴을 갖는 Tactics Id에 대한 전술 확률 예측값, 제1 시점 동안 공격 패턴을 갖는 Techniques Id에 대한 기술 확률 예측값, 제1 시점 이후의 제2 시점 동안 제1 시점과 동일한 또는 다른 공격 패턴을 갖는 Tactics Id에 대한 전술 확률 예측값, 제1 시점 이후의 제2 시점 동안 제1 시점과 동일한 또는 다른 공격 패턴을 갖는 Techniques Id에 대한 기술 확률 예측값을 출력할 수 있다.
이때, 공격 예측 모델은 입력 데이터에 포함된 다양한 Tactics Id 데이터, 다양한 Techniques Id 데이터를 상관 관계를 통해 학습하도록 구축될 수 있다. 예를 들어, 공격 예측 모델은 다양한 Tactics Id 데이터, 다양한 Techniques Id 데이터를 CNN 또는 BERT 등의 학습 알고리즘을 이용하여 학습데이터 셋으로 구축 및 강화 학습시킬 수 있다. 이때, 메모리(120)는 공격 예측 모델을 기반으로 학습하여 분석한 다음 공격 패턴의 Tactics Id, 다음 공격 패턴의 Techniques Id, Tactics Id의 다음 공격 패턴에 대한 전술 확률 예측값, Techniques Id의 다음 공격 패턴에 대한 기술 확률 예측값을 저장할 수 있다.
제3 판단 단계는, 공격 예측 모델을 기반으로 학습하여 분석한 프로세서(110)를 통해, 다음 공격 패턴의 Tactics Id, 다음 공격 패턴의 Techniques Id일 확률이 기 설정된 기준 확률(N) 이상인지를 판단할 수 있다(S252). 예를 들어, 기준 확률(N)은 90%일 수 있다. 이때, 프로세서(110)는 제1 시점 동안 공격 패턴을 갖는 Tactics Id가 제2 시점 동안 동일한 공격 패턴을 갖는 Tactics Id일 확률이 기 설정된 기준 확률 이상인지를 판단할 수 있다. 또한, 프로세서(110)는 제1 시점 동안 공격 패턴을 갖는 Techniques Id가 제2 시점 동안 동일한 공격 패턴을 갖는 Techniques Id일 확률이 기 설정된 기준 확률 이상인지를 판단할 수 있다.
제1 대응 단계는, 공격 예측 모델을 기반으로 학습하여 분석한 프로세서(110)를 통해, 다음 공격 패턴의 Tactics Id, 다음 공격 패턴의 Techniques Id일 확률이 기 설정된 기준 확률(N) 이상일 경우, Tactics Id의 공격 패턴 정보별 Playbook을 실행시켜 제1 자동 대응을 수행할 수 있고, Techniques Id의 공격 패턴 정보별 Playbook을 실행시켜 제1 자동 대응을 수행할 수 있다(S253). 즉, 프로세서(110)는 Tactics Id의 공격 패턴 정보에 각각 매핑된 마이터 어택 기반의 Playbook을 각각 실행시켜 제1 자동 대응을 각각 수행할 수 있고, Techniques Id의 공격 패턴 정보에 각각 매핑된 마이터 어택 기반의 Playbook을 각각 실행시켜 제1 자동 대응을 수행할 수 있다.
제1 대응 단계는, 공격 예측 모델을 기반으로 학습하여 분석한 프로세서(110)를 통해, 제1 시점 동안 공격 패턴을 갖는 Tactics Id가 제2 시점 동안 동일한 공격 패턴을 갖는 Tactics Id일 확률이 기 설정된 기준 확률 이상이거나, 제1 시점 동안 공격 패턴을 갖는 Techniques Id가 제2 시점 동안 동일한 공격 패턴을 갖는 Techniques Id일 확률이 기 설정된 기준 확률 이상일 경우, Tactics Id의 공격 패턴 정보에 각각 매핑된 마이터 어택 기반의 Playbook을 각각 실행시켜 제1 자동 대응을 각각 수행할 수 있고, Techniques Id의 공격 패턴 정보에 각각 매핑된 마이터 어택 기반의 Playbook을 각각 실행시켜 제1 자동 대응을 수행할 수 있다.
여기에서, Tactics Id의 공격 패턴 정보는, Tactics Id의 다음 공격 패턴에 대한 전술 확률 예측값을 포함할 수 있고, Techniques Id의 공격 패턴 정보는, Techniques Id의 다음 공격 패턴에 대한 기술 확률 예측값을 포함할 수 있다.
이때, 프로세서(110)는 해당 Tactics Id의 공격 패턴 정보와 해당 Techniques Id의 공격 패턴 정보를 기반으로 제1 자동 대응을 수행 완료할 경우, 마이터 어택 프레임워크(10)의 활용도에 대한 가중치를 높이도록, 해당 Tactics Id의 공격 패턴 정보와 해당 Techniques Id의 공격 패턴 정보를 공격 예측 모델에 입력하여 학습시킬 수 있다. 또한, 프로세서(110)는 네트워크(20) 보안에 대해 서로 공유하도록, 학습된 해당 Tactics Id의 공격 패턴 정보와 학습된 해당 Techniques Id의 공격 패턴 정보를 통신부(130)를 통해 마이터 어택 프레임워크(10)로 전송할 수도 있다.
또한, 프로세서(110)는 해당 Tactics Id의 공격 패턴 정보와 해당 Techniques Id의 공격 패턴 정보를 기반으로 제1 자동 대응을 수행 완료하지 못할 경우, SOAR의 활용도에 대한 가중치를 높이도록, 해당 Tactics Id의 공격 패턴 정보와 해당 Techniques Id의 공격 패턴 정보를 메모리(120)에 저장하고, 저장된 해당 Tactics Id의 공격 패턴 정보와 해당 Techniques Id의 공격 패턴 정보에 각각 매핑된 SOAR 기반의 Playbook을 각각 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 각각 수행할 수도 있다.
한편, 제1 대응 단계는, 공격 예측 모델을 기반으로 학습하여 분석한 프로세서(110)를 통해, 제1 시점 동안 공격 패턴을 갖는 Tactics Id가 제2 시점 동안 공격 패턴이 없거나, 제1 시점 동안 공격 패턴을 갖는 Techniques Id가 제2 시점 동안 공격 패턴이 없을 경우, 서버(100)를 오프하거나 재부팅할 수 있다.
또한, 제1 대응 단계는, 공격 예측 모델을 기반으로 학습하여 분석한 프로세서(110)를 통해, 제1 시점 동안 공격 패턴을 갖는 Tactics Id가 제2 시점 동안 동일한 공격 패턴을 갖는 Tactics Id일 확률이 기 설정된 기준 확률 미만이거나, 제1 시점 동안 공격 패턴을 갖는 Techniques Id가 제2 시점 동안 동일한 공격 패턴을 갖는 Techniques Id일 확률이 기 설정된 기준 확률 미만일 경우, 각각 기 설정된 SOAR 기반의 Playbook을 각각 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 수행할 수 있다(S260).
한편, 제1 대응 단계는, 공격 예측 모델을 기반으로 학습하여 분석한 프로세서(110)를 통해, 공격 패턴을 갖는 Tactics Id, Techniques Id의 발생 빈도가 기 설정된 횟수를 초과할 경우, 마이터 어택 기반의 Playbook을 더 경량화하여 빠르게 처리하도록, 횟수를 초과한 상태의 공격 패턴을 갖는 Tactics Id, Techniques Id에 각각 매핑된 마이터 어택 기반의 Playbook을 각각 실행시켜 네트워크(20) 보안에 대해 제1 자동 대응을 빠르게 수행할 수도 있다.
제2 실행 단계는, 프로세서(110)를 통해 현재 공격 정보가 메모리(120)에 저장된 공격 정보가 아닐 경우, 기 설정된 SOAR 기반의 Playbook을 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 수행할 수 있다(S260). 이때, 프로세서(110)는 현재 Tactics Id 및 현재 Techniques Id에 대응하여 메모리(120)에 저장된 Tactics Id 및 Techniques Id가 존재하지 않는 것으로 판단할 경우(S240), 기 설정된 SOAR 기반의 Playbook을 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 수행할 수 있다. 여기에서, SOAR(Security Orchestration, Automation, and Response)는, 보안 위협의 대응 프로세스를 자동화해 보안 업무의 효율성을 높이는 솔루션이다. 즉, SOAR 툴은 공격 유형별 대응을 위한 수많은 요소들(솔루션, 업무 절차, 위협 정보 등)을 하나의 과정으로 묶은‘플레이북(Playbook)’에 기반해 네트워크(20) 보안에 대해 자동 대응을 수행할 수 있다. 이러한, SOAR 툴은 보안 위협 우선 순위에 따라 대응 단계를 자동으로 분류하고, 표준화된 업무 절차에 따라 대응함으로써, 위협 탐지에서 대응에 이르는 과정을 실질적으로 단축시킬 수 있다.
도 5에 도시된 바와 같이, 제2 실행 단계는, 설정 단계(S261), 결정 단계(S262), 제2 대응 단계(S263)를 포함할 수 있다.
일 예로, 설정 단계는, 프로세서(110)를 통해 현재 공격 정보가 메모리(120)에 저장된 공격 정보가 아닐 경우, 위협 정보들로 판단하여 위협 정보들을 순위별로 설정할 수 있다(S261). 여기에서, 프로세서(110)는 위협 정보들에 대해 각각의 가중치를 부여하여 각각의 위협 정보들을 순위별로 설정할 수 있다.
예를 들어, 프로세서(110)는 위협 정보가 기 설정된 위협적인 IP 리스트, 위협적인 Domain 리스트, 위협적인 Url 리스트, 위협적인 Email 리스트, 위협적인 파일 리스트, 위협적인 피싱 정보 리스트, 위협적인 악성코드 리스트 중 적어도 하나에 포함된 경우, 위협적인 IP 리스트의 순위, 위협적인 Domain 리스트의 순위, 위협적인 Url 리스트의 순위, 위협적인 Email 리스트의 순위, 위협적인 파일 리스트의 순위, 위협적인 피싱 정보 리스트의 순위, 위협적인 악성코드 리스트의 순위 중 적어도 하나를 기반으로, 위협 정보에 대해 순위별로 가중치를 부여하여 각각의 위협 정보들을 순위별로 설정할 수도 있다.
또한, 프로세서(110)는 관리자의 단말기(30)로부터 다양한 수집처의 위협 정보들을 추가로 수신받을 수 있다. 예를 들어, 다양한 수집처는 CTI, KISA C-TAS, Shodan, Censys, URLhaus, Urlscan, VirusTotal, Malwares, Phishunt 등일 수 있고, 위협 정보들은 위협적인 IP, 위협적인 최신 IP, 위협적인 Domain, 위협적인 최신 Domain, 위협적인 Url, 위협적인 최신 Url, 위협적인 Email, 위협적인 최신 Email, 위협적인 파일, 위협적인 최신 파일, 위협적인 출발지 정보, 위협적인 최신 출발지 정보, 위협적인 피싱 정보, 위협적인 최신 피싱 정보, 위협적인 악성코드, 위협적인 최신 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수등일 수 있다. 여기에서, 취약점 정보의 유형은, CCE(Common Configuration Enumeration), CVE(Common Vulnerabilities and Exposures), CWE(Common Weakness Enumeration) 등일 수 있다. 이때, CCE는 사용자에게 허용된 권한 이상의 동작을 허용하거나, 범위 이상의 정보 열람·변조·유출 등을 가능하게 하는 시스템 설정 상의 취약점 정보일 수 있고, CVE는 컴퓨터 하드웨어 또는 소프트웨어 결함이나 체계, 설계상의 취약점 정보일 수 있으며, CWE는 다양한 언어(C, C++, C#, Java, Go, Python) 및 아키텍처, 디자인 설계, 코딩 등의 개발 단계에서 발생가능한 취약점 정보일 수 있다.
다른 일예로, 설정 단계는, 통신부(130)를 통해 관리자의 단말기(30)로부터 위협 지수 조정 정보를 수신받고, 프로세서(110)를 통해 위협 지수 조정 정보를 기반으로, 각각의 위협 정보들을 순위별로 다시 설정할 수도 있다(S261). 이때, 관리자는 관리자의 단말기(30)를 이용하여 위협 지수 조정 정보를 설정할 수 있다. 여기에서, 위협 지수 조정 정보는, 위협적인 IP와 위협 지수, 위협적인 Domain과 위협 지수, 위협적인 Url과 위협 지수, 위협적인 Email과 위협 지수, 위협적인 파일과 위협 지수, 위협적인 출발지와 위협 지수, 위협적인 악성코드와 위협 지수, 위협적인 취약점 정보와 위협 지수, 위협요소의 접근 횟수와 위협 지수 등이 조정된 정보일 수 있다. 이때, 프로세서(110)는 위협적인 IP와 위협 지수, 위협적인 Domain과 위협 지수, 위협적인 Url과 위협 지수, 위협적인 Email과 위협 지수, 위협적인 파일과 위협 지수, 위협적인 출발지와 위협 지수, 위협적인 악성코드와 위협 지수, 위협적인 취약점 정보와 위협 지수, 위협요소의 접근 횟수와 위협 지수 등이 조정된 위협 지수 조정 정보를 기반으로, 각각의 위협 정보들을 순위별로 다시 설정할 수 있다.
결정 단계는, 프로세서(110)를 통해 순위별로 설정된 각각의 위협 정보 또는 순위별로 다시 설정된 각각의 위협 정보를 기반으로, 위협 정보의 우선 처리 순위를 결정할 수 있다(S262). 여기에서, 프로세서(110)는 순위별로 설정된 각각의 위협 정보 또는 순위별로 다시 설정된 각각의 위협 정보를 기반으로, 위협적인 IP, 위협적인 최신 IP, 위협적인 Domain, 위협적인 최신 Domain, 위협적인 Url, 위협적인 최신 Url, 위협적인 Email, 위협적인 최신 Email, 위협적인 파일, 위협적인 최신 파일, 위협적인 출발지 정보, 위협적인 최신 출발지 정보, 위협적인 피싱 정보, 위협적인 최신 피싱 정보, 위협적인 악성코드, 위협적인 최신 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수에 대한 우선 처리 순위를 결정할 수 있다.
제2 대응 단계는, 프로세서(110)를 통해 우선 처리 순위가 결정된 위협 정보별로 기 설정된 SOAR 기반의 Playbook을 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 수행할 수 있다(S263). 예를 들어, 프로세서(110)는 우선 처리 순위가 결정된 위협적인 IP, 위협적인 최신 IP, 위협적인 Domain, 위협적인 최신 Domain, 위협적인 Url, 위협적인 최신 Url, 위협적인 Email, 위협적인 최신 Email, 위협적인 파일, 위협적인 최신 파일, 위협적인 출발지 정보, 위협적인 최신 출발지 정보, 위협적인 피싱 정보, 위협적인 최신 피싱 정보, 위협적인 악성코드, 위협적인 최신 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수별로 각각 기 설정된 SOAR 기반의 Playbook을 각각 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 각각 수행할 수 있다.
도 6에 도시된 바와 같이, 제2 실행 단계는, 인식 단계(S264), 제4 판단 단계(S265), 제5 판단 단계(S267), 제2 대응 단계(S266, S268, S269)를 포함할 수 있다.
인식 단계는, 프로세서(110)를 통해 현재 공격 정보가 메모리(120)에 저장된 공격 정보가 아닐 경우, 위협 정보로 인식할 수 있다(S264).
제4 판단 단계는, 프로세서(110)를 통해 해당 위협 정보가 둘 이상이 아닌지를 판단할 수 있다(S265). 제2 대응 단계는, 프로세서(110)를 통해 해당 위협 정보가 둘 이상이 아닐 경우, 해당 위협 정보를 바로 차단하는 Playbook을 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 수행할 수도 있다(S266). 이때, 프로세서(110)는 방화벽 차단, NAC 격리, 서비스 차단(IPS), 계정 잠금을 통해 해당 위협 정보를 바로 차단할 수 있다.
예를 들어, 프로세서(110)는 해당 위협 정보가 둘 이상이 아닐 경우, 네트워크 트래픽, 네트워크 부하, 네트워크에 연결된 서버 다운 발생, 네트워크에 연결된 웹 페이지 로딩 오류 발생, 네트워크에 연결된 웹 페이지 로딩 속도 중 어느 하나에 영향을 주는 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수에 해당하는 위협 정보를 바로 차단하도록, 네트워크 보안을 수행할 수 있다. 여기에서, 네트워크(20)에는 전자기기, IOT 기반의 기계 중 적어도 하나와 연결될 수 있다. 이때, 프로세서(110)는 네트워크(20)를 통해 연결된 전자기기, IOT 기반의 기계 중 적어도 하나에 대해 네트워크 보안 위협 대응을 수행할 수 있다.
제5 판단 단계는, 프로세서(110)를 통해 해당 위협 정보가 둘 이상일 경우, 둘 이상의 해당 위협 정보가 기 설정된 우선 차단 리스트 내 우선 차단 순위에 포함된 것인지를 판단할 수 있다(S267). 제2 대응 단계는, 프로세서(110)를 통해 해당 위협 정보가 우선 차단 리스트 내 우선 차단 순위에 포함되지 않을 경우, 둘 이상의 해당 위협 정보를 동시에 차단하는 Playbook을 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 수행할 수도 있다(S268). 이때, 프로세서(110)는, 방화벽 차단, NAC 격리, 서비스 차단(IPS), 계정 잠금을 통해 둘 이상의 해당 위협 정보를 동시에 차단할 수 있다.
예를 들어, 프로세서(110)는 둘 이상의 해당 위협 정보가 우선 차단 리스트 내 우선 차단 순위에 포함되지 않을 경우, 네트워크 트래픽, 네트워크 부하, 네트워크에 연결된 서버 다운 발생, 네트워크에 연결된 웹 페이지 로딩 오류 발생, 네트워크에 연결된 웹 페이지 로딩 속도 중 적어도 둘 이상에 영향을 주는 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수에 해당하는 둘 이상의 해당 위협 정보를 동시에 차단하도록, 네트워크 보안을 수행할 수 있다. 여기에서, 네트워크(20)에는 전자기기, IOT 기반의 기계 중 적어도 하나와 연결될 수 있다. 이때, 프로세서(110)는 네트워크(20)를 통해 연결된 전자기기, IOT 기반의 기계 중 적어도 하나에 대해 네트워크 보안 위협 대응을 수행할 수 있다.
제2 대응 단계는, 프로세서(110)를 통해 해당 위협 정보가 우선 차단 리스트 내 우선 차단 순위에 포함된 경우, 둘 이상의 해당 위협 정보를 순차적으로 차단하는 Playbook을 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 수행할 수도 있다(S269). 이때, 프로세서(110)는, 방화벽 차단, NAC 격리, 서비스 차단(IPS), 계정 잠금을 통해 둘 이상의 해당 위협 정보를 순차적으로 차단할 수 있다.
예를 들어, 프로세서(110)는 둘 이상의 해당 위협 정보가 우선 차단 리스트 내 우선 차단 순위에 포함된 경우, 네트워크에 연결된 서버 다운 발생에 영향을 주는 둘 이상의 해당 위협 정보를 첫번째로 차단하는 Playbook을 실행시키고, 첫번째 차단 이후 또는 첫번째 차단이 아닌 경우 네트워크에 연결된 웹 페이지 로딩 오류 발생에 영향을 주는 둘 이상의 해당 위협 정보를 두번째로 차단하는 Playbook을 실행시키고, 두번째 차단 이후 또는 두번째 차단도 아닌 경우 네트워크에 연결된 웹 페이지 로딩 속도에 영향을 주는 둘 이상의 해당 위협 정보를 세번째로 차단하는 Playbook을 실행시키고, 세번째 차단 이후 또는 세번째 차단도 아닌 경우 네트워크 트래픽에 영향을 주는 둘 이상의 해당 위협 정보를 네번째로 차단하는 Playbook을 실행시키고, 네번째 차단 이후 또는 네번째 차단도 아닌 경우 네트워크 부하에 영향을 주는 둘 이상의 해당 위협 정보를 다섯번째로 차단하는 Playbook을 실행시켜 네트워크(20) 보안에 대해 제2 자동 대응을 수행할 수 있다. 이때, 둘 이상의 해당 위협 정보는, 위협적인 IP, 위협적인 Domain, 위협적인 Url, 위협적인 Email, 위협적인 파일명, 위협적인 src, 위협적인 MD5, 위협적인 악성코드, 위협적인 취약점 정보, 위협요소의 접근 횟수 중 적어도 둘을 포함할 수 있다.
이와 같이, 본 개시는, 마이터 어택 프레임워크의 데이터를 통해 공격자의 공격 패턴을 예측하여 사전에 정의된 Playbook으로 선제적 자동 대응을 수행할 수 있다.
본 개시는, 마이터 어택 프레임워크의 데이터를 활용하여 공격자의 패턴을 공격 예측 모델을 통해 학습시킬 수 있다. 이러한, 공격 예측 모델은, 다음 공격에 대한 예측값(tatics_id, Techniques_id)을 제공하고, 이에 해당하는 SOAR의 Playbook을 활용하여 심각한 피해가 발생하기 전 자동으로 사전 대응을 할 수 있다.
도 1, 도 3에 도시된 구성요소들의 성능에 대응하여 적어도 하나의 구성요소가 추가되거나 삭제될 수 있다. 또한, 구성 요소들의 상호 위치는 시스템의 성능 또는 구조에 대응하여 변경될 수 있다는 것은 당해 기술 분야에서 통상의 지식을 가진 자에게 용이하게 이해될 것이다.
도 2, 도 4 내지 도 6은 복수의 단계를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 2, 도 4 내지 도 6은에 기재된 순서를 변경하여 실행하거나 복수의 단계 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 2, 도 4 내지 도 6은 시계열적인 순서로 한정되는 것은 아니다.
한편, 개시된 실시예들은 컴퓨터에 의해 실행 가능한 명령어를 저장하는 기록매체의 형태로 구현될 수 있다. 명령어는 프로그램 코드의 형태로 저장될 수 있으며, 프로세서에 의해 실행되었을 때, 프로그램 모듈을 생성하여 개시된 실시예들의 동작을 수행할 수 있다. 기록매체는 컴퓨터로 읽을 수 있는 기록매체로 구현될 수 있다.
컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터에 의하여 해독될 수 있는 명령어가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다.
이상에서와 같이 첨부된 도면을 참조하여 개시된 실시예들을 설명하였다. 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자는 본 개시의 기술적 사상이나 필수적인 특징을 변경하지 않고도, 개시된 실시예들과 다른 형태로 본 개시가 실시될 수 있음을 이해할 것이다. 개시된 실시예들은 예시적인 것이며, 한정적으로 해석되어서는 안 된다.
100: 서버 110: 프로세서
120: 메모리 130: 통신부

Claims (10)

  1. 네트워크의 보안을 선제적으로 자동 대응하기 위한 서버에 있어서,
    메모리;
    마이터 어택 프레임워크와 통신을 수행하는 통신부; 및
    상기 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응과 관련된 동작을 제어하는 프로세서; 를 포함하고,
    상기 프로세서는,
    상기 통신부를 통해 상기 마이터 어택 프레임워크로부터 Tactics Id 및 Techniques Id를 포함하는 공격 정보를 수신받고, 상기 Tactics Id 및 상기 Techniques Id별로 각각 매핑된 Playbook을 생성하며, 상기 생성된 Playbook을 상기 메모리에 저장하고,
    상기 네트워크 보안에 대해 경보가 발생하고, 현재 공격 정보가 상기 메모리에 저장된 Tactics Id 및 Techniques Id를 포함하는 공격 정보이며, 제1 시점 동안 공격 패턴을 갖는 각각의 Tactics Id 및 Techniques Id가 제2 시점 동안 동일한 공격 패턴을 갖는 각각의 Tactics Id 및 Techniques Id일 확률이 기 설정된 각각의 기준 확률 이상일 경우,
    상기 Tactics Id의 다음 공격 패턴에 대한 전술 확률 예측값과 상기 Techniques Id의 다음 공격 패턴에 대한 기술 확률 예측값을 공격 예측 모델을 통해 출력하고, 상기 전술 확률 예측값과 매핑된 Tactics Id의 공격 패턴 정보별 Playbook과 상기 기술 확률 예측값과 매핑된 Techniques Id의 공격 패턴 정보별 Playbook을 각각 실행시켜 상기 네트워크 보안에 대해 제1 자동 대응을 수행하고,
    상기 현재 공격 정보가 상기 메모리에 저장된 Tactics Id 및 Techniques Id를 포함하는 공격 정보가 아닐 경우, 기 설정된 SOAR 기반의 Playbook을 실행시켜 상기 네트워크 보안에 대해 제2 자동 대응을 수행하되,
    상기 제1 시점 동안 공격 패턴을 갖는 각각의 Tactics Id 및 Techniques Id가 상기 제2 시점 동안 공격 패턴이 없을 경우에는, 상기 서버를 오프하거나 또는 재부팅하는 것을 특징으로 하는, 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 서버.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 서버에 의해 수행되는 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적 자동 대응 방법에 있어서,
    상기 마이터 어택 프레임워크로부터 Tactics Id 및 Techniques Id를 포함하는 공격 정보를 수신받는 단계;
    상기 Tactics Id 및 상기 Techniques Id별로 각각 매핑된 Playbook을 생성하는 단계;
    상기 생성된 Playbook을 메모리에 저장하는 단계;
    상기 네트워크 보안에 대해 경보가 발생하고, 현재 공격 정보가 상기 메모리에 저장된 Tactics Id 및 Techniques Id를 포함하는 공격 정보이며, 제1 시점 동안 공격 패턴을 갖는 각각의 Tactics Id 및 Techniques Id가 제2 시점 동안 동일한 공격 패턴을 갖는 각각의 Tactics Id 및 Techniques Id일 확률이 기 설정된 각각의 기준 확률 이상일 경우,
    상기 Tactics Id의 다음 공격 패턴에 대한 전술 확률 예측값과 상기 Techniques Id의 다음 공격 패턴에 대한 기술 확률 예측값을 공격 예측 모델을 통해 출력하고, 상기 전술 확률 예측값과 매핑된 Tactics Id의 공격 패턴 정보별 Playbook과 상기 기술 확률 예측값과 매핑된 Techniques Id의 공격 패턴 정보별 Playbook을 각각 실행시켜 상기 네트워크 보안에 대해 제1 자동 대응을 수행하는 단계;
    상기 현재 공격 정보가 상기 메모리에 저장된 Tactics Id 및 Techniques Id를 포함하는 공격 정보가 아닐 경우, 기 설정된 SOAR 기반의 Playbook을 실행시켜 상기 네트워크 보안에 대해 제2 자동 대응을 수행하는 단계; 를 포함하되,
    상기 제1 시점 동안 공격 패턴을 갖는 각각의 Tactics Id 및 Techniques Id가 상기 제2 시점 동안 공격 패턴이 없을 경우에는, 상기 서버를 오프하거나 또는 재부팅하는 것을 특징으로 하는, 방법.
  8. 삭제
  9. 삭제
  10. 삭제
KR1020230083205A 2023-06-28 2023-06-28 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램 KR102584160B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230083205A KR102584160B1 (ko) 2023-06-28 2023-06-28 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230083205A KR102584160B1 (ko) 2023-06-28 2023-06-28 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램

Publications (1)

Publication Number Publication Date
KR102584160B1 true KR102584160B1 (ko) 2023-10-05

Family

ID=88293613

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230083205A KR102584160B1 (ko) 2023-06-28 2023-06-28 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램

Country Status (1)

Country Link
KR (1) KR102584160B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052512A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 공격에 대한 연관성 분석방법 및 이를 위한 기록매체
KR20090048955A (ko) * 2007-11-12 2009-05-15 한국전자통신연구원 네트워크 보안 위험도 예측 방법 및 장치
US20220014547A1 (en) 2015-05-04 2022-01-13 Syed Kamran Hasan Method and device for managing security in a computer network
KR102419451B1 (ko) * 2021-11-17 2022-07-11 한국인터넷진흥원 인공지능 기반 위협 분석 자동화 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052512A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 공격에 대한 연관성 분석방법 및 이를 위한 기록매체
KR20090048955A (ko) * 2007-11-12 2009-05-15 한국전자통신연구원 네트워크 보안 위험도 예측 방법 및 장치
US20220014547A1 (en) 2015-05-04 2022-01-13 Syed Kamran Hasan Method and device for managing security in a computer network
KR102419451B1 (ko) * 2021-11-17 2022-07-11 한국인터넷진흥원 인공지능 기반 위협 분석 자동화 시스템 및 방법

Similar Documents

Publication Publication Date Title
US11757921B2 (en) Leveraging attack graphs of agile security platform
EP3654217B1 (en) Malware detection
JP7086972B2 (ja) 侵入検出のための継続的な学習
US9800606B1 (en) Systems and methods for evaluating network security
US11086983B2 (en) System and method for authenticating safe software
US9357397B2 (en) Methods and systems for detecting malware and attacks that target behavioral security mechanisms of a mobile device
US9058492B1 (en) Techniques for reducing executable code vulnerability
US20160188885A1 (en) Software vulnerability analysis method and device
US11106801B1 (en) Utilizing orchestration and augmented vulnerability triage for software security testing
KR102575129B1 (ko) 언어 모델을 이용한 보안 위협 탐지 보고서 생성 장치 및 방법
US11916937B2 (en) System and method for information gain for malware detection
CN108268773B (zh) Android应用升级包本地存储安全性检测方法
JP2016099857A (ja) 不正プログラム対策システムおよび不正プログラム対策方法
KR102584141B1 (ko) 디지털 서비스 기반의 네트워크 보안 위협 대응 서버, 방법 및 프로그램
US11429823B1 (en) Systems and methods for dynamically augmenting machine learning models based on contextual factors associated with execution environments
US9646157B1 (en) Systems and methods for identifying repackaged files
Marin et al. Inductive and deductive reasoning to assist in cyber-attack prediction
KR102584160B1 (ko) 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램
US11394733B2 (en) System for generation and implementation of resiliency controls for securing technology resources
US11290475B2 (en) System for technology resource centric rapid resiliency modeling
Hamad et al. A secure sharing control framework supporting elastic mobile cloud computing
US11916875B2 (en) System and method for multi-layered rule learning in URL filtering
CN116226865A (zh) 云原生应用的安全检测方法、装置、服务器、介质及产品
KR102585583B1 (ko) 디지털 서비스 기반의 하위 기관 맞춤형 보안 대응 자동화 제공 서버, 방법 및 프로그램
US9253214B1 (en) Systems and methods for optimizing data loss prevention systems

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant