오늘은 Amazon GuardDuty의 고급 AI/ML 위협 탐지 기능을 발표합니다. 이 새로운 기능은 AWS의 광범위한 클라우드 가시성 및 규모를 사용하여 애플리케이션, 워크로드, 데이터에 대한 향상된 위협 탐지를 제공합니다. GuardDuty Extended Threat Detection은 정교한 AI/ML을 사용하여 알려진 공격 시퀀스와 이전에 알려지지 않은 공격 시퀀스를 모두 식별하여 보다 포괄적이고 사전 예방적인 클라우드 보안 접근 방식을 제공합니다. 이 개선 사항은 최신 클라우드 환경의 증가하는 복잡성과 진화하는 보안 위협 환경을 해결하여 위협 탐지 및 대응을 간소화합니다.
많은 조직이 클라우드 환경에서 발생하는 대량의 보안 이벤트를 효율적으로 분석하고 대응하는 데 어려움을 겪고 있습니다. 보안 위협의 빈도가 증가하고 갈수록 정교해짐에 따라 일련의 순차적 이벤트로 발생하는 공격을 효과적으로 탐지하고 대응하기가 더욱 어려워졌습니다. 보안 팀은 대규모 공격의 일부일 수 있는 관련 활동을 종합하는 데 어려움을 겪는 경우가 많으며, 심각한 위협을 놓치거나 너무 늦게 대응하여 중대한 영향을 방지하지 못할 수도 있습니다.
이러한 문제를 해결하기 위해 AWS 환경에서 보안 신호의 연관 관계를 파악하여 활성 공격 시퀀스를 식별하는 새로운 AI/ML 기능을 포함하도록 GuardDuty 위협 탐지 기능을 확장했습니다. 이러한 시퀀스에는 권한 검색, API 조작, 지속성 활동, 데이터 유출과 같이 공격자가 취한 여러 단계가 포함될 수 있습니다. 이러한 탐지는 중요 심각도가 지정된 새로운 유형의 GuardDuty 조사 결과인 공격 시퀀스 조사 결과로 표시됩니다. 이전에 GuardDuty는 중요 심각도를 사용한 적이 한 번도 없었으며, 최대의 신뢰도 및 긴급성을 갖는 조사 결과를 위해 이 수준을 유보하고 있었습니다. 이러한 새로운 조사 결과는 중요 심각도를 도입하며 위협의 특성 및 중요성에 대한 자연어 요약, 관찰된 활동을 MITRE ATT&CK® 프레임워크의 전술 및 기법에 매핑, AWS 모범 사례를 기반으로 한 규범적 문제 해결 권장 사항을 포함합니다.
GuardDuty Extended Threat Detection은 새로운 공격 시퀀스 조사 결과를 도입하고 자격 증명 유출, 권한 에스컬레이션, 데이터 유출과 같은 영역에서 기존 탐지에 대한 조치 가능성을 개선합니다. 이 개선을 통해 GuardDuty는 단일 계정에서 여러 데이터 소스, 기간 및 리소스에 걸친 복합 탐지 기능을 제공하여 사용자가 정교한 클라우드 공격을 보다 포괄적으로 파악할 수 있습니다.
새로운 기능이 어떻게 작동하는지 보여드리겠습니다.
Amazon GuardDuty에서 새로운 AI/ML 위협 탐지를 사용하는 방법
GuardDuty에서 새로운 AI/ML 위협 탐지를 경험하려면 Amazon GuardDuty 콘솔로 이동하여 요약 페이지에서 새 위젯을 살펴보세요. 이제 개요 위젯을 통해 발생한 공격 시퀀스의 수를 확인하고 해당 공격 시퀀스의 세부 정보를 고려할 수 있습니다. 클라우드 환경 조사 결과는 종종 다단계 공격을 드러내지만 이러한 정교한 공격 시퀀스는 수가 적으며 전체 조사 결과 중 극히 일부에 불과합니다. 이 특정 계정의 경우 클라우드 환경에서 다양한 조사 결과를 관찰할 수 있지만 실제 공격 시퀀스는 소수에 불과합니다. 대규모 클라우드 환경에서는 수백 또는 수천 개의 조사 결과를 볼 수 있지만 공격 시퀀스의 수는 상대적으로 적을 수 있습니다.
또한 조사 결과를 심각도별로 분류하여 볼 수 있는 새 위젯이 추가되었습니다. 이로써 관심 있는 특정 조사 결과를 신속하게 탐색하고 조사할 수 있습니다. 이제 조사 결과가 심각도별로 정렬되어 있어 추가 중요 심각도 범주를 포함하여 가장 중요한 문제에 대한 명확한 개요가 제공되므로 가장 긴급한 탐지 항목을 즉시 파악할 수 있습니다. 상위 공격 시퀀스만을 선택하여 공격 시퀀스만 필터링할 수도 있습니다.
이 새로운 기능은 기본적으로 활성화되어 있으므로 작동을 시작하기 위해 추가 단계를 거치지 않아도 됩니다. GuardDuty 및 관련 보호 플랜의 기본 요금 외에는 이 기능에 대한 추가 비용이 없습니다. 추가 GuardDuty 보호 플랜을 활성화하면 이 기능이 보다 통합된 보안 가치를 제공하여 심층적인 인사이트를 얻을 수 있도록 도와줍니다.
두 가지 유형의 조사 결과를 관찰할 수 있습니다. 첫 번째 조사 결과는 데이터 손상으로, 대규모 랜섬웨어 공격의 일부일 수 있는 잠재적 데이터 손상을 나타냅니다. 데이터는 대부분의 고객에게 가장 중요한 조직 자산이므로 중요한 관심 영역입니다. 두 번째 조사 결과는 손상된 자격 증명 유형으로, 일반적으로 클라우드 환경에서의 공격 초기 단계에서 손상된 자격 증명의 오용을 탐지하는 데 도움이 됩니다.
데이터 손상 조사 결과 중 하나를 자세히 살펴보겠습니다. 여기서는 ‘계정의 특정 사용자와 관련된 여러 신호에 대한 일련의 작업을 포함하는 하나 이상의 S3 버킷의 잠재적 데이터 손상’에 초점을 맞출 것입니다. 이 조사 결과는 여러 Amazon Simple Storage Service(Amazon S3) 버킷에서 여러 관련 신호가 있는 데이터 손상이 관찰되었음을 나타냅니다.
이 조사 결과와 함께 제공된 요약에서는 작업을 수행한 특정 사용자(위탁자 ID로 식별), 영향을 받은 계정 및 리소스, 활동이 발생한 기간(거의 하루)을 비롯한 주요 세부 정보를 제공합니다. 이 정보는 잠재적 손상의 범위 및 심각도를 빠르게 이해하는 데 도움이 됩니다.
이 조사 결과는 거의 24시간 동안 관찰된 8개의 뚜렷한 신호를 나타내며 이는 MITRE ATT&CK® 프레임워크에 매핑된 다양한 전술 및 기법의 사용을 나타냅니다. 자격 증명 액세스부터 검색, 회피, 지속성, 심지어 영향 및 유출에 이르기까지 공격 체인 전반에 걸친 이 광범위한 적용 범위는 이것이 실제 인시던트일 수 있음을 시사합니다. 이 조사 결과는 또한 데이터 파괴와 관련된 기법을 드러내고 있는데, 이는 특히 놀라운 일입니다.
또한 GuardDuty는 사용자가 AWS CloudTrail 추적을 삭제하는 등 민감한 API 직접 호출을 강조하여 추가 보안 컨텍스트를 제공합니다. 이러한 유형의 회피 동작은 Amazon S3 객체를 대상으로 하는 새로운 액세스 키 및 작업의 생성과 결합되어 인시던트의 심각성과 잠재적 범위를 더욱 강화합니다. 이 조사 결과에 제시된 정보를 바탕으로 보면 이 인시던트를 더 철저하게 조사하는 것이 좋을 것입니다.
조사 결과와 관련된 ATT&CK 전술을 검토하면 단일 전술이든 다중 전술이든 관련된 특정 전술을 파악할 수 있습니다. 또한 GuardDuty는 직접 호출된 고위험 API 및 관찰된 전술을 포함하여 활동이 의심스러운 것으로 플래그가 지정되고 심각도가 지정된 이유를 설명하는 보안 지표를 제공합니다.
자세히 살펴보면 관련 행위자에 대한 세부 정보를 볼 수 있습니다. 이 정보에는 네트워크 위치를 포함하여 사용자가 이러한 작업에 연결하고 수행한 방법이 포함됩니다. 이러한 추가 컨텍스트를 통해 인시던트의 전체 범위와 특성을 더 잘 이해할 수 있으며, 이는 조사 및 대응에 매우 중요합니다. AWS 모범 사례를 기반으로 한 규범적 문제 해결 권장 사항을 따를 수 있으므로 식별된 탐지를 신속하게 처리하고 해결할 수 있는 실행 가능한 인사이트를 얻을 수 있습니다. 이러한 맞춤형 권장 사항은 클라우드 보안 태세를 개선하고 보안 지침을 준수하는 데 도움이 됩니다.
신호 탭은 최신 순 또는 오래된 순으로 정렬할 수 있습니다. 활성 공격에 대응하는 경우 최신 신호부터 시작하여 상황을 빠르게 파악하고 완화해야 합니다. 인시던트 후 검토의 경우 초기 활동에서 시작하여 역추적할 수 있습니다. 각 활동을 자세히 살펴보면 특정 조사 결과에 대한 자세한 정보를 얻을 수 있습니다. 또한 지표, 행위자, 엔드포인트를 통해 어떤 일이 발생했고 누가 조치를 취했는지 요약할 수 있는 빠른 보기를 제공합니다.
세부 정보를 확인할 수 있는 또 다른 방법은 리소스 탭에 액세스하는 것입니다. 여기서 관련된 다른 버킷과 액세스 키를 확인할 수 있습니다. 각 리소스에 대해 어떤 전술 및 기법이 발생했는지 확인할 수 있습니다. 리소스 열기를 선택하여 관련 콘솔로 바로 전환하고 자세한 내용을 알아보세요.
GuardDuty 조사 결과에 대한 전체 페이지 보기가 도입되어 모든 컨텍스트 데이터를 한 곳에서 쉽게 볼 수 있습니다. 그러나 특정 조사 결과에 대한 세부 정보를 빠르게 볼 수 있는 레이아웃을 선호하는 경우 측면 패널이 있는 기존 조사 결과 페이지를 계속 사용할 수 있습니다.
추가 보호 플랜 없이도 기본 데이터 소스를 활용하여 리전 내 모든 GuardDuty 계정에 대해 GuardDuty Extended Threat Detection이 자동으로 활성화됩니다. 추가 보호 플랜을 활성화하면 분석되는 보안 신호의 범위가 확장되어 서비스가 복잡한 공격 시퀀스를 식별하는 능력이 향상됩니다. GuardDuty는 특히 Amazon S3 버킷의 잠재적 데이터 손상을 탐지하기 위해 S3 보호를 활성화할 것을 권장합니다. S3 보호를 활성화하지 않으면 GuardDuty는 S3 관련 조사 결과를 생성하거나 S3 리소스가 관련된 공격 시퀀스를 식별할 수 없으므로 Amazon S3 환경에서 데이터 손상 시나리오를 탐지할 수 있는 능력이 제한됩니다.
GuardDuty Extended Threat Detection은 AWS Security Hub, Amazon EventBridge, 서드 파티 보안 이벤트 관리 시스템 등 기존 GuardDuty 워크플로와 통합됩니다.
정식 출시
Amazon GuardDuty Extended Threat Detection은 복잡한 공격 시퀀스의 분석을 자동화하고 실행 가능한 인사이트를 제공하여 사용자가 수동 분석에 필요한 시간과 노력을 줄이고 가장 심각한 위협을 효율적으로 해결하는 데 집중할 수 있도록 지원함으로써 클라우드 보안을 크게 향상시킵니다.
이러한 기능은 GuardDuty를 지원하는 모든 상용 AWS 리전에서 모든 신규 및 기존 GuardDuty 고객에게 추가 비용 없이 자동으로 활성화됩니다.
이러한 새로운 기능을 자세히 알아보고 활용을 시작하려면 Amazon GuardDuty 설명서를 참조하세요.