SOC 분석가가 되고 싶다면? Letsdefend.io에서 연습하자!

해킹하고 모의 침투가 재밌고 그 분야에 취직하고자 하는 사람들이 많지만 "공격 일자리"보다 "수비 일자리"가 더 많다는 것이 현실입니다. SOC 분석가부터 시작해서, 침해사고대응, 악성코드 분석가 등~ 당연히 해킹에 대한 지식이 도움이 되겠지만 네트워크와 민감한 정보를 보호할 줄 아는 사람에 대한 수요가 더 많습니다.

 

그러나 인터넷에 "정보보안 연습 방법"이라고 검색해보면 대부분 검색 결과는 "해킹 워게임, 암호학, pwn, 웹해킹, 리버싱 등등" 같은 것만 나옵니다. 

 

그럼 블루팀 연습을 하고 싶다면 어떻게 하면 좋을까요? 요즘 TryHackMe에서 블루팀 콘텐츠 생기긴 했지만 오늘은 Letsdefend.io를 소개하고 싶습니다.

 

1. 가격

Letsdefend도 TryHackMe하고 HackTheBox와 똑같이 구독 방식으로 운영됩니다. 

 

공짜 버전도 있지만 한달에 풀 수 있는 랩하고 들을 수 있는 강의에 대한 한계가 있습니다.

"Security Analyst"는 한 달에 약 3만 3천 원이며 모든 강의들을 들을 수 있고 모든 "L1" 랩들을 풀 수 있습니다. 아울러 24시간 동안 공짜 사용할 수 있습니다!

"Incident Responder"가 조금 더 비싸며 약 5만2천원입니다. 똑같이 모든 강의들을 들을 수 있고 차이점은 "L2" 랩들까지 풀 수 있습니다.

L1하고 L2는 SOC의 "Tier"를 말하는 것입니다. L1는 주로 "Entry Level" 혹은 "Junior Position"이며 L2는 경력이 더 있어야 합니다.

똑같이 L2 랩들이 L1보다 더 어렵지만 그만큼 도움도 됩니다.

 

다음은 랩 연습에 대해 알아봅시다.

랩 환경

Letsdefend.io의 목표는 실제 SOC 환경을 모방하는 것입니다. 아래에 있는 사진을 보시면 가운데에 있는 것들은 풀 수 있는 랩들입니다.

"Case"라고 불리며 왼쪽에서 오른쪽으로 설명해드리자면:
1) Severity: 심각성. 보도된 사건이 얼마나 심한지. Medium --> High --> Critical

2) Date: 날짜. 언제 보도됐는지

3) Rule Name: 규칙 이름? 규칙이라는 단어는 아마 YARA를 말하는 것일 겁니다. YARA 규칙으로 다양한 threat들을 "사냥"할 수 있으며 규칙이 무엇을 발견하는 경우에 뜰 것입니다.

4) Event ID는 별로 중요하지 않습니다. 그냥 랩의 아이디입니다.

5) Type: 어떤 위협인지 알려줍니다. 악성코드, 웹 공격, 로그인 등

 

맨 오른쪽에 있는 아이콘을 누르고 우리가 이 사건을 담당할 수 있습니다.

왼쪽에 있는 (Log Management, Case Management 등) 알아봅시다! 가장 중요합니다

Log Management

실제 SOC처럼 Log를 확인할 수 있습니다. 누가 우리 시스템들에 연결했는지, 우리 시스템들은 어디에 연결했는지, 해킹당한 경우에는 공격자 아이피 주소에 연결하겠죠!!

Endpoint Management

Letsdefend.io "연습 회사"의 모든 유저 컴튜터, 웹서버 등 다 나옵니다! 시스템의 HostName 아이피주소 운영체제에 대한 정보를 받을 수 있습니다. 가장 재밌는 포인트는 "Details"입니다! 여기서는 이 머신의 브라우저 기록, 실행된 명령어, 네트워크 연결, 프로세스 기록 다 확인할 수 있습니다! 

예를 들어 감염된 시스템의 명령어 기록은 다음과 같이 나올 수도 있습니다. 해커는 hostname하고 netuser로 일반 정보를 얻었고, mshta.exe로 악성 .hta파일을 실행시켰나 봐요.

Mailbox

대부분 사람들은 어떻게 해킹당하죠? 이메일로 받았던 악성 워드, 엑셀 hwp 파일을 열었다가 해킹당합니다. Phishing 사건을 대응하기 위한 Mailbox도 있습니다!

Threat Intel

요즘 정보보안 분야에서 점점 중요해지고 있는 것은 Threat Intelligence입니다. 데이터 분석과 머신러닝을 활용하여 미리 다양한 Threat Actor들에 대해서 정보를 모아두는 것입니다. 역시 Letsdefend.io에서 그런 기능도 제공해줍니다!

 

HackTheBox하고 TryHackMe로 공부해보셨던 사람들은 알고 있겠지만 openvpn으로 연결하고 풀어보고 싶은 머신을 부팅시킨 다음에 바로 해킹을 시작할 수 있습니다.

LetsDefend.io도 비슷한 기능이 있으나 L2 구독을 해야 하는 것 같더라고요.. ㅠㅠ 무슨 기능이냐면, 감염된 시스템에 연결할 수 있습니다! vpn 같은 것이 필요 없고, connect 버튼을 누르고 바로 사용이 가능합니다. 연결해서 EventViewer에서 로그 분석을 할 수 있습니다!

 

 

나중에 SOC 분석가로 일하고 싶으신 분들은 LetsDefend.io를 한번 써보시는 것이 좋을 것 같습니다! 가격은 좀 나가긴 하지만 제가 앞으로 HacktheBox하고 똑같이 블로그를 올려보려고 하니까 블로그를 읽으시고 결정하세요~