SOAR 활용 사례 첫 번째: 피싱 공격 분류

피싱 이는 여전히 위험할 정도로 효과적인 공격 방법입니다. 대략적으로 91%의 성공적인 공격은 피싱으로 시작됩니다.. 평균적으로, 발송된 피싱 이메일 중 30%개가 열리고 조회되었습니다.. 이메일을 작성하고 보내는 데 드는 비용과 노력이 극히 미미하다는 점을 고려하면, 이 방법이 계속해서 인기를 끄는 것도 당연하다. 공격자들에게는 어려운 일입니다. 그리고 피싱 시도를 알아차리기가 점점 더 어려워지고 있습니다. 피싱 이메일을 보내는 공격자는 악성 첨부 파일이나 링크에 액세스하는 데 10%에서 15% 사이의 시간이 소요될 것으로 예상할 수 있습니다. 일부 회사에서.

피싱 없이 오토메이션, 분석가는 잠재적으로 악의적인 이메일을 탐지 시스템이나 사용자 알림을 통해 수동으로 수신해야 합니다. 그런 다음 분석가는 이메일을 검사하고 세부 정보를 수동으로 추출하여 유효성을 검증해야 합니다. 즉, 이메일의 모든 부분(헤더, 본문 등)을 자세히 살펴보고 침해 지표(IOC)로 의심되는 요소를 식별해야 합니다. IOC의 위험도를 판단하기 위해 분석가는 다양한 위협 인텔리전스 및 추가 정보 소스에 접근해야 합니다. 일반적으로 이 과정에서 정보를 복사하여 추가 창이나 브라우저 탭에 붙여넣고 IOC를 조사하여 위험도를 평가해야 합니다. 이러한 단계는 지루하고 시간이 많이 소요되며, 단조롭고 반복적이며 오류가 발생하기 쉽습니다. 대응 및 복구 조치를 실행하는 데까지 더해지면 하나의 잠재적인 피싱 메시지를 처리하는 데 훨씬 더 많은 단계와 시간이 추가됩니다.

이 문제를 해결하는 훌륭한 방법은 기존 도구와 직원의 효율성을 크게 높이는 것입니다. 피싱 공격 분류 자동화 ~와 함께 보안 오케스트레이션, 자동화 및 대응(SOAR) SOAR(Swimlane Outcome Assessment and Recovery)는 대부분의 수동 작업을, 경우에 따라서는 모든 수동 작업을 제거하는 방법입니다. 또한 SOAR는 모든 이벤트와 지원 단계를 기계 속도로 처리할 수 있는 방법을 제공합니다. Swimlane을 SOAR 플랫폼으로 사용하면 이메일을 수집 및 분석하고, 위협 인텔리전스를 조회하고, 대응 및 복구를 처리할 수 있습니다. 즉, 이러한 단계는 인간의 능력을 훨씬 뛰어넘는 속도로 실행됩니다. 또한 모든 단계는 정해진 절차에 따라 수행됩니다. Swimlane은 단계를 놓치거나 실수를 하지 않으므로 정확도 또한 인간의 능력을 능가합니다. 가장 중요한 것은 SOAR가 분석가들이 쉽게 지치고 과부하를 느끼게 하는 지루하고 단조롭고 반복적인 작업을 처리한다는 것입니다. 이를 통해 분석가들은 연구, 위협 탐색, 의심스러운 이벤트에 대한 전문가 평가와 같은 더 중요한 인간 작업에 집중하여 가치를 창출할 수 있습니다. 아래 다이어그램은 Swimlane을 사용하여 피싱 트리아지를 수행하는 한 가지 방법을 전체적으로 보여줍니다.

이 피싱 사고 워크플로는 Swimlane이 모니터링 대상 조직의 사서함(사용자가 스팸으로 의심되는 메일을 보내는 사서함)에서 이메일을 수집하는 것으로 시작됩니다. 피싱 이메일. 이메일이 도착하면 자동으로 수집 및 분석됩니다. 헤더, 제목, 본문, 이메일 주소와 같은 세부 정보는 새로 생성된 사례 기록의 데이터 필드에 저장됩니다. IP 주소, URL, 도메인과 같은 잠재적 침해 지표(IOC)도 적절한 필드에 분석되어 저장됩니다. 워크플로에서 IOC가 식별되면 다른 도구와의 통합이 자동으로 실행되어 데이터가 보강되고 관련 위험 수준이 결정됩니다. 피싱 워크플로는 또한 통합 기능을 사용하여 사용자 정보를 확인하고, 필요한 경우 기록에 추가 사용자 정보를 추가합니다. 이메일에서 발견된 첨부 파일이나 URL은 샌드박스 리소스를 사용하여 배포 및 평가됩니다. 이 워크플로는 또한 퍼지 해싱을 사용하여 데이터를 다른 알려진 이벤트와 일치시킵니다.

다양한 도구와 리소스에서 반환된 데이터는 즉시 기록에 추가됩니다. 워크플로는 기록에 있는 통합 정보를 사용하여 전반적인 위험 점수를 결정하고, 필요한 조치가 있는지 여부를 판단합니다. 피싱 이메일 해당 이메일은 악의적, 의심스러운 또는 양성으로 간주되어야 합니다. 전반적인 위험이 심각하고 이메일이 악의적인 것으로 판단되면 워크플로는 지정된 대응 및/또는 복구 조치를 실행합니다. 이 예시에서는 EDR 도구를 사용하여 엔드포인트를 자동으로 격리하고, 시스템을 감염되지 않은 상태로 복원하기 위한 IT 티켓을 자동으로 생성 및 할당하며, SOC와 사용자에게 상황을 알리는 알림을 보내는 등의 단계가 포함됩니다.

스윔레인 또한 위협 탐지와 같은 추가적인 사전 예방적 작업을 자동화할 수 있습니다. 악성 이메일이 발견되면 SOAR 솔루션은 즉시 조직의 모든 사서함을 검색하여 악성 징후가 나타나는 다른 사서함을 식별할 수 있습니다. 원하는 자동화 수준에 따라 이러한 추가 이메일을 자동으로 삭제하거나 분석가에게 한 번의 클릭으로 원하는 조치를 취할 수 있도록 표시할 수 있습니다. 피싱 경고 분류 자동화 이는 SOAR가 조직에 어떤 도움을 줄 수 있는지 보여주는 수많은 활용 사례 중 하나일 뿐입니다. 우리와 함께 뛰어들어 보세요 더 자세히 알아보려면!