이번 주제에서는 App and API Protection의 사용자 탐색기를 사용하여, 보안 트레이스으로 추적된 사용자와 관련된 위험을 조사하는 방법을 설명합니다.

개요

Datadog는 로그인 시도와 같은 이벤트에서 생성된 보안 트레이스와 사용자를 연결하여 사용자 탐색기를 구성합니다. 이로 인해 사용자 탐색기는 추적된 사용자 목록(인벤토리) 역할을 합니다. 사용자는 사용자 ID(@usr.id)로 식별되며, 가능한 경우 사용자 이름과 이메일 주소도 함께 표시됩니다. 자세한 내용은 트레이스에 인증된 사용자 정보를 추가하고 사용자 차단 기능을 활성화하는 방법을 참고하세요.

일반적으로 사용자 탐색기에 표시되는 사용자들은 위험 대상이 아닙니다. 그러나 이 탐색기를 통해 위험에 노출된 사용자 계정이나 계정 탈취 시도와 같은 공격을 실제로 받고 있는 계정을 식별할 수 있습니다.

사용자 탐색기를 사용하면 위험 카테고리를 사용해 위험으로 플래그 지정된 사용자 계정의 작업을 조사하고 조치를 취할 수 있습니다.

위험 카테고리

사용자 탐색기는 위험으로 식별된 사용자에게 다음 위험 카테고리 하나 이상을 할당합니다.

• New Geolocation: 익숙하지 않은 위치의 사용자 활동은 무단 접근을 의미할 수 있으며, 또는 정상적인 이동(출장·여행 등)으로 인해 추가 확인이 필요한 상황일 수 있습니다.
• Impossible Travel: 사용자가 비현실적으로 짧은 시간 내에 서로 먼 두 위치에서 로그인할 때 발생하며, 자격 증명 탈취 가능성을 시사합니다. 다만 이 카테고리는 동일한 VPN을 사용하는 사용자도 불가능한 이동으로 잘못 식별될 수 있다는 점에 유의해야 합니다.
• Compromised User: 사용자의 자격 증명이 도난되거나 해킹되어, 공격자가 해당 사용자의 신원으로 악의적인 활동을 할 수 있는 상태를 의미합니다.
• Disposable Email: 일정 기간 동안만 사용되는 임시 이메일 주소를 의미합니다.

사용자 탐색기의 고유한 특징

각기 다른 탐색기 간의 차이를 이해하려면, 지원하는 보안 접근 방식을 살펴보세요.

• Protect: App and API Protection의 정책을 사용하여 공격자(IP 및 인증된 사용자)를 자동으로 차단합니다. 고객은 자동 차단의 첫 단계로 공격 도구를 차단하는 것이 권장됩니다. 공격 도구를 차단하면 SQLi, 명령어 주입, SSRF와 같은 OWASP 위협에서 발생하는 일반적인 취약점 탐색을 줄일 수 있습니다.
• React: 신호, 트레이스, 사용자, 공격자 탐색기를 사용하여 관찰된 위협에 대응하고 공격자를 차단합니다.

각 탐색기는 특정 사용 사례에 중점을 둡니다.

• Signals explorer: Credential Stuffing Attack 또는 Command Injection와 같은 조치 가능한 알림 목록을 제공합니다. 신호에는 워크플로 기능, 설명, 심각도, 연관된 트레이스가 포함됩니다. 사용 가능한 상호작용에는 사용자 할당 워크플로, 자동 보호, 분석, 검색, 트레이스 탐색기로의 피벗 기능이 포함됩니다.
• Traces explorer:* 로그인과 같은 비즈니스 로직 이벤트나 공격 페이로드에 대한 증거 목록을 표시합니다. 사용 가능한 상호작용에는 분석 및 검색 기능이 포함됩니다.
• Attackers explorer: 공격자를 suspicious(최근 24시간 동안 임계값 이하로 공격한 IP 주소)와 flagged(해당 임계값을 초과한 IP 주소)로 식별합니다.
• Users explorer: 하나 이상의 트레이스와 연관된 인증된 사용자 목록을 표시합니다. 사용 가능한 상호작용에는 다음이 포함됩니다.
  • 사용자 분석 및 차단을 위한 대량 작업
  • 모든 사용자의 기록 파악
  • 검색
  • 다른 탐색기로의 피벗

사용자 탐색 및 필터링

사용자 검토를 시작하려면 사용자 탐색기로 이동하세요.

사용자 탐색기의 주 섹션은 다음과 같습니다.

• 패싯 및 검색. 다수 사용자 속성별로 사용자를 필터링할 수 있습니다.
• 보안 메트릭을 포함하는 사용자 목록.
  • 사용자를 클릭하여 위험, IP, 위치, 엔드포인트, 신호를 검사할 수 있습니다.
  • 목록이나 상세 정보 서랍에서 개별 사용자를 차단할 수 있습니다.
  • 여러 사용자를 차단하려면, 하나 이상의 사용자를 선택한 다음 Compare and Block을 클릭합니다.

사용자 차단

개별 사용자를 차단하려면 다음을 실행합니다.

1. 사용자 행에서 Block을 클릭한 다음 차단 기간을 선택합니다.

2. Select Security Responses에서 Block with Datadog’s Library를 선택합니다.

   영구 또는 임시 차단 인증 사용자가 차단 목록에 추가되었습니다. Datadog 차단 목록 페이지에서 목록을 관리합니다.

여러 사용자 비교 및 차단

두 명 이상의 사용자를 선택하면, Compare and Block 버튼을 사용하여 잠재적으로 침해된 사용자 간의 데이터 포인트를 비교할 수 있습니다.

Compare and Block를 클릭하면 **Block selected users **화면에 여러 메트릭이 표시됩니다. 이러한 메트릭은 단일 공격자, 조직적인 대규모 공격 캠페인, 또는 광범위한 자격 증명 유출 상황인지 판단하는 데 도움을 줍니다.

다음은 두 명(또는 그 이상)의 침해된 사용자 간 각 데이터 포인트를 비교할 때의 이점을 정리한 내용입니다.

ASN당 사용자

이점: 침해된 계정들이 동일한 인터넷 서비스 제공자(ISP) 또는 네트워크 운영자를 통해 접근되었는지 식별할 수 있습니다.

여러 사용자가 동일한 ASN(자율 시스템 번호, Autonomous System Number)에서 침해된 경우, 다음과 같은 가능성을 시사할 수 있습니다.

• 해당 네트워크에서 운영되는 봇넷(botnet)
• VPN 또는 프록시 출구 노드
• 특정 ISP 지역(예: 대학 또는 기업 네트워크)에서 발생한 표적 공격

사용자 에이전트당 사용자

이점: 공격자가 자동화 도구를 사용하고 있는지 또는 특정 브라우저 설정을 사용하고 있는지 파악할 수 있습니다.

동일한 사용자 에이전트가 확인되는 경우, 다음을 의미할 수 있습니다.

• 동일한 악성코드 툴킷(예: 정보 탈취형 악성코드인 RedLine 또는 Raccoon)
• 헤드리스 브라우저 또는 스크립트를 사용
• 공유된 도구 세트를 이용한 크리덴셜 스터핑 공격

위치별 사용자 수(Geo-IP 기준)

이점: 접근 시도가 동일한 국가 또는 지역에서 발생하고 있는지 파악할 수 있습니다.

여러 사용자가 동일한 위치(특히 해외 또는 예상치 못한 지역)에서 접근되고 있다면, 이는 다음과 같은 가능성을 시사합니다.

• 특정 지역을 대상으로 한 표적 공격
• 의심스러운 로그인 이상 징후(예: 불가능한 이동)를 탐지하는 데 도움이 됩니다.
• TOR 출구 노드 또는 VPN 클러스터에서 발생한 접근일 가능성을 시사할 수 있습니다.

도메인당 사용자

이점: 영향을 받은 사용자를 IP 도메인별로 그룹화하며, 이는 일반적으로 해당 사용자가 속한 조직을 나타냅니다.

다음과 같은 이점이 있습니다.

• 조직 전체에 걸친 침해 사고를 식별할 수 있습니다.
• 특정 회사 또는 도메인을 대상으로 한 피싱 캠페인을 식별할 수 있습니다.
• 인시던트 대응 및 알림 우선순위 설정을 지원합니다.

위협 정보 카테고리

이점: 연관된 위협 정보 카테고리를 표시합니다.

비교를 통한 이점은 다음과 같습니다.

• 침해 경로(공격 벡터)를 파악합니다.
• 대응 우선순위를 설정할 수 있습니다(예: corp_vpn는 기업에서 사용하는 IP이며, hosting_proxy는 주로 악성 활동과 관련됨).

위협 정보 의도

이점: IP 기반으로 공격자의 평판에 관한 인사이트를 제공합니다. 플래그된 IP가 반드시 악성인 것은 아니지만, 오용된 이력이 있는 것으로 알려져 있습니다. 이러한 오용은 예를 들어 residential_proxy와 같이 사용자가 인지하지 못한 상태에서 발생하는 경우가 많습니다. 따라서 이러한 사용자는 보다 면밀한 주의가 필요합니다.

일치하는 의도는 다음을 드러냅니다.

• 공통된 공격자의 목표
• 사용자들이 표적 공격 또는 기회주의적 공격에 참여했는지 여부를 파악할 수 있습니다.
• 향후 추가적인 공격 활동(예: BEC[비즈니스 이메일 침해] 또는 내부 이동)이 발생할 가능성이 있는지 판단할 수 있습니다.

사용자당 IP

이점: 하나의 사용자 계정에 접근하기 위해 여러 개의 IP(특히 이상 징후가 있거나 악성으로 의심되는 IP)가 사용되었는지 파악할 수 있습니다.

사용자 간 중복이 확인되는 경우, 다음과 같은 가능성이 있을 수 있습니다.

• 동일한 공격자 인프라를 사용
• 여러 사용자가 공유하는 사무실 건물
• 중앙 집중식 제어(예: 명령 및 제어 서버(command-and-control server))
• 알려진 악성 IP에서 계정 접근(위협 정보 피드 참고).

비교 세부 정보 요약

유출된 자격 증명 추적

두 명(또는 그 이상)의 유출된 사용자 간 각 데이터 포인트를 비교할 때 활용할 수 있는 조사 팁:

1. 유출은 시작일 뿐입니다. 유출된 자격 증명은 더 광범위한 조사의 출발점이 됩니다.
2. 패턴을 찾습니다. ASN, IP, 사용자 에이전트, 위치, 도메인을 비교하세요. 여러 사용자가 동일한 인프라를 공유하고 있다면, 동일한 공격자 또는 하나의 공격 캠페인일 가능성이 높습니다.
3. 위치 자체보다 지리적 이상 징후가 더 중요합니다. 발신 국가 자체보다, 해당 위치가 사용자에게 정상적인지 여부를 확인하는 것이 더 중요합니다.
4. 도메인은 범주를 나타냅니다. 여러 사용자나 도메인에 걸쳐 동일한 공격이 발생하는 경우, 이는 무작위 공격이 아니라 조직적으로 조율된 표적 공격일 가능성을 의미합니다.
5. IP 및 사용자 에이전트의 중복은 공격자의 지문을 식별하는 데 활용됩니다. 툴킷은 브라우저 문자열, 스크립트, 프록시를 재사용합니다. 이러한 중복은 공격자의 인프라를 파악하는 데 도움이 됩니다.
6. 위협 정보 컨텍스트 가이드 응답 효과적인 초기 대응(을 위해서는 카테고리와 의도를 함께 고려해야 합니다. 이 두 가지를 결합하면 해당 공격이 피싱, 악성코드, 또는 사기인지 판단할 수 있습니다.