IOC 공부하면서 궁금했던 부분 정리

IOC 공부하면서 궁금했던 부분 정리

회사에서 IOC관련하여 공부를 하던 중 궁근했던 부분이 있어서 정리해보려고 한다. 정리할 내용은 STIX와 TAXII, CybOX에 대한 정의?! 이론?!을 확인하고자 한다.
사이버 위협 정보가 표준화 되지 않아 일관성 있는 분석이 어려움을 느껴 이를 극복하기 위해 12년 부터 규격 개발에 착수하기 시작하였으며, 미국의 국토 안보부는 MITRE를 통해 13년 4월에 사이버 위협 정보 전송 규격인 TAXII(Trusted Automated eXchange of of Indicator Information)을 만들었으며, 10월에는 사이버 위협 표현 규격인 STIX(The Structured Threat Information eXpression)를 각각 발표했다. 이외에도 사비어 관찰 표현(Cyber Observable eXpression)방법이 존재한다.

STIX(Structured Threat Information eXpression, 구조화된 위협 정보 표현)

• 개별 조직들이 보유하고 발전시켜 온 사이버 위협 정보의 개념을 표준화하고 구조화하여 사이버 위협에 대한 일관된 분석과 자동화된 해석이 가능하게 한 정보 표현 규격으로 총 8가지 구성요서를 가지고 있음
  • Observable: 사이버공간에서 관찰가능한 모든 이벤트 관련 구조체: STIX 기반 구성요소
    • Ex) 파일관련 정보(이름, 해쉬, 사이즈, 삭제기록 등), 레지스트리 키, 서비스 목록, IP 주소, httpGET 수신기록 등
  • Indicator
    • 위협지표 관련 구조체: ’Observable’중 위협지표를 위한 데이터 모음
      • Ex) 해킹된 도메인, 위조된 이메일, 트로이목마와 관련된 파일해쉬 등
  • Incident
    • 사고 관련 구조체: ’Indicator’중 사이버 공격으로 밝혀진 결과
      • Ex) 피해시간 및 피해시스템 등 육하원칙에 기초한 피해∙공격 관련 정보
  • TTP(Tactics Techniques and Procedure)
    • 공격기법 관련 구조체: ’Incident’배후의 전략 및 기술, 젗라 등 공격기법
      • Ex) (전략) 신용카드 정보 유출, (기술) 키로거 등 악성코드가 삽입된 첨부문서를 포함한 표적형 이메일 송부, (절차) 공격목표 설정 -> 사회공학적 이메일 및 문서 작성 -> 백신우회 악성코드 제작 -> C&C 도메인 구축 -> 공격메일 발송
  • ThreatActor
    • 공격자 관련 구조체: ’TTP’의 수행주체
  • Campaign
    • 전체공격 관련 구조체: ’ThreatActor’의 의도를 달성하기 위한 1개 이상의 Incident 및 TTP로 구성된 행위
  • ExploitTarget
    • 취약점 관련 구조체: ’ThreatActor의 TTP’실행을 위한 SW 및 시스템, 네크워크, 설정 정보의 취약점
      • Ex) CVE 및 OSVDB, CVRF, CWE, CCE 등 포괄
  • COA(Course of Action)
    • 대응 관련 구조체: ’ExploitTarget’치료 및 ’Incident’대응 등

TAXII(Trusted Automated eXchage of Indicator Information, 신뢰할 수 있는 지표 정보 공유 자동화)

• STIX로 표현된 사이버 위협 정보를 실시간으로 공유하기 위한 자동 전송 규격으로 현재 HTTP 및 HTTPS 프로토콜을 지원하며, 향후 XMPP 및 SMTP, SOAP 등 멀티프로토콜을 지원할 예정이다.(현재 지원하는지 확인 필요)
• 사이버 위협 정보를 전송할 때 다음과 같이 4가지 서비스 규격을 정의한다.
  • PUSH: 생산자가 소비자에게 정보를 전송하는 서비스 규격
    • 서비스명: Inbox Service
  • PULL: 소비자가 생산자의 정보를 요청하는 서비스 규격
    • 서비스명: Poll Service
  • DISCOVERY: 제공정보의 알림을 위한 서비스 규격
    • 서비스명: Discovery Service
  • FEED MANAGEMENT: 정보구독 관리를 위한 서비스 규격
    • 서비스명: Feed Management Service
• TAXII는 세 개의 정보 공유 모델을 지원한다.
  • Peer-to-Peer: 조직별 일대일 정보공유
  • Source-Subscriber: 중앙분배형 정보공유
  • Hub-and-Spoke: Source-Subscriber형식 + 중앙으로 정보전송 가능
• TAXII 아키텍처는 세 가지 구성요소를 가짐
  • TTA(TAXII Transfer Agent)
    • TAXII 메시지의 송∙수신을 위한 네트워크 연결 기능 담당
    • 현재 지원하는 네트워크 프로토콜 타입은 HTTP이나 향후 다른 프로토콜 지원 예정(XMPP, SMTP, SOAP 등) 바꼈는지 확인 필요
  • TMH(TAXII Message Handler)
    • TAXII 메시지의 생산∙소비를 위한 기능 담당
    • TAXII 메시지로 변환(TMH->TTA) 및 추출(TTA->TMH)
    • 현재 지원하는 메시지 포멧 타입은 XML이나 향후 다른 메시지 포멧 지원 예정
  • TAXII Back-end
    • 데이터 저장 및 구독관리, 접근제어결정, 정보 배포 전 필터링 등 TTA와 TMH 기능이외의 모든 TAXII 기능 담당
    • TAXII 스펙은 아니며, 사용조직에 상세기능을 결정

CybOX(Cyber Observable eXpression, 사이버 관찰 표현)

운영 관점에서 관찰되는 통신 이벤트, 상태 속성을 수집하고, 특성화하는 스키마에 대한 표준문서이다. CybOX의 주요 내용은 보안상황 인식에 대한 일관성, 효율성, 상호 운용성을 개선하기 위한 사용 사례 및 일반적인 메커니즘 (구조와 내용)을 설명한다.

CYBEX(Cyber Information Exchange, 사이버 정보 교환)

사이버 정보 교환이란 사이버 보안 정보를 보유하거나 요청하는 조직, 사람, 디바이스, 프로세스들이 사이버환경과 자산을 사이버 공격으로부터 사전에 보호하고 긴급 대응하기 위한 사이버 보안 정보를 서로 교환함으로써 협력을 통한 사이버공격 방어를 가능하게 하는 것을 목적으로 함.

참고

1. KISA, 국외 사이버 위협 정보공유의 체계조사
2. 2015 사이버보안 정보 교환 포맷에 대한 국내의 표준분석서