CHAMCHICON SEASON 1 – Do not blame your parents: from plastic spoon to personal TI environment

드디어 제 1회 참치콘 3주여 앞으로 다가오고 있다. 크지 않은 행사로 조그마하지만 강력한 주제들을 선정해서 제한된 실무 그룹들이 모여서 정보를 공유하는 모임으로 5월 9일과 10일 양일간 저녁 시간에 열린다. 장소는 판교 근처로 섭외중이다. 왜 내가 참치콘을 기획했는지는 김치콘, 참치콘, *치콘을 참고해 보기를 바란다. 연재를 통해서 지금까지 치열한 경쟁을 뚫고 선정된 몇몇 세션들에 대해서 간략하게 설명해 보는 자리를 가질까 한다.

  • Speaker: EMNSTR
  • Duration: 50 minutes
  • Type: Intelligence

I’ve been asked a question like following many times.
“How do you gather intelligence and how do you analyze the relationship between them?”
There is no right or wrong answer, but I would like to introduce my know-hows and tips that I learned through my career in this field. Also, I will talk about a threat intelligence analysis system I built myself. I can share a case where my method and tools actually helped us to identify an actor.

https://darungrim.com/intelligence/Chamichicon-2019-05.html

Threat Intelligence에는 돈이 든다. 돈이 아주 많이 든다. 왜냐하면 수많은 데이타를 수집해야 하고 그 수집한 데이타를 저장해야 하고, 그 데이타를 분석해야 하기 때문이다. 모든 트랜잭션이 돈이다. 하지만, 걱정할 필요가 없다. 이 세션을 통해서 우리 같은 플라스틱 수저 보안 관리자들이 어떻게 돈을 절약하여 저렴한 생계형 Threat Intelligence 시스템을 만들 수 있을지 배우게 될 것이다. 안되면 되게 하라라는 사명을 가지고, 오늘도 노력하는 관리자들 화이팅!!! 이 세션 하나로 세이브할 수 있는 돈을 생각해 보라.

지금 인터넷에는 너무 많은 정보들이 구조화 (structured) 되지 않은 형태로 너무 빠른 속도로 쏟아 지고 있다. 이러한 시점에서 어떻게 이러한 정보들을 효율적으로 수집하고 정리할 것인가 하는 것도 큰 문제가 될 수 있다. 생각해 보라 트위터버스(Twitterverse)에 얼마나 많은 영혼들이 어그로를 끌기 위해서 쓰레기 정보들을 던지고 있는지. Threat Intelligence는 단지 많은 정보를 모으기만 한다고 하면 하나의 커다란 쓰레기통이 되는 것은 금방이다. 정보를 더 효율적으로 정리하고 구조화할 수 있는 방법이 필요하다. 이 세션은 그 방법을 알려 줄것이다.

아직까지 한국에서는 Threat Intelligence에 대한 저변 확대가 이뤄지지 않고 있는 상황에서 어떻게 적은 비용으로 이러한 intelligence 를 수집할 수 있는 환경을 구축할 것인가? 거창한 환경을 많이 시간과 공을 들여서 개발하고 셋업하기 보다는 이미 존재하는 많은 서비스들을 재활용하여 나름대로 쓸만하고, 가성비 (Return On Investment) 최고인 솔루션을 만들 수 있는 팁을 제공한다. 예를 들어 정보를 수집하여 저장할 저장소는 일년에 $80이면 무한대로 사용 가능하다. 모든 정보는 일관된 포맷으로 정형화하여 수집한다. IFTTT 등의 시스템을 활용하여 여러 데이타 포인트들을 연쇄적으로 반응할 수 있도록 구성한다. 또한, 이 세션을 준비하신 EMNSTR은 이 방면으로 괄목할 만한 성과를 내고 있으므로, 이 플라스틱 수저 시스템은 잘 작동하는 것으로 보여진다.

모든것은 자동화 되어야 한다. 하지만, 돈이 없다. 하지만, 요즘처럼 SaaS (Software As A Service)가 활성화 되어 있는 시대에 여러 일반적인 정보 수집, 연결 시스템을 조합하여 나만의 멋진 Threat Intelligence 수집 및 분석, 팀웍 시스템을 구축할 수 있다.

이 세션에는 실제로 이러한 시스템으로 커다란 생산성 향상 효과를 보고 있고, 실무에서 활용하고 있는 스피커의 시연이 보여 진다. 회사에서 당장에 큰 덩치의 Threat Intelligence 트래킹 시스템을 구축할 여력이 안된다면 한달에 만원이 안되는 돈으로 한번 흙수저 시스템부터 구축해 보자. 그렇게 효율성과 업무에의 적용이 확인 되면, 더 심각하게 Threat Intelligence 에 더 많은 투자를 할 지에 대한 고민을 시작할 수 있게 될것이다.

*참치콘 예약 정책: 다음 링크에 들어가서 참가 신청 가능하고, 참가자 신분 확인 절차 거칠 예정입니다. 참치콘에서 공유된 정보는 외부에 공개 불가하고, 다만 기업 내 환경에서 적용과 팀내 공유는 가능합니다.

May/9/2019 (Thr) – Technical Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:20The Hitchhiker’s Guide to the Cloud SecurityJune Park
17:2018:10Automatic Decoding of Highly Obfuscated PowerShell CodeMatt OhDescriptionTicket
18:1018:40Non-ActiveX + IOT = OLLEH 🙂XXXXXDescriptionTicket
18:4019:00Tea break/buffer
19:0019:50Practical Threat HuntingsommaDescriptionTicket
20:0020:50Betrayal of Reputation: Trusting the Untrustable Hardware and Software with ReputationSeunghun Han
21:0021:50Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypassesx82DescriptionTicket

May/10/2019 (Fri) – Intelligence Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:504차 산업혁명시대 지능형 제어기기 보안Jungmin KangTicket
18:0018:50Do not blame your parents: from plastic spoon to personal TI environmentEMNSTRDescriptionTicket
19:0019:30주제 비밀 (특정 액터 연구)hypenTicket
19:3020:00해커그룹 004 의 공격패턴과 특징, 그리고 흔적JC Lee
20:0020:50PE보다 스크립트 – 핵인싸 악성코드의 진단 우회방식jzDescriptionTicket
21:0021:50Tick Tock Tick tock – Tick 그룹의 동아시아 지역 10년 활동mstoned7Ticket

May/9/2019 (Thr) – Technical Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:20The Hitchhiker’s Guide to the Cloud SecurityJune Park
17:2018:10Automatic Decoding of Highly Obfuscated PowerShell CodeMatt OhDescriptionTicket
18:1018:40Non-ActiveX + IOT = OLLEH 🙂XXXXXDescriptionTicket
18:4019:00Tea break/buffer
19:0019:50Practical Threat HuntingsommaDescriptionTicket
20:0020:50Betrayal of Reputation: Trusting the Untrustable Hardware and Software with ReputationSeunghun Han
21:0021:50Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypassesx82

May/10/2019 (Fri) – Intelligence Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:504차 산업혁명시대 지능형 제어기기 보안Jungmin KangTicket
18:0018:50Do not blame your parents: from plastic spoon to personal TI environmentEMNSTRDescriptionTicket
19:0019:30 주제 비밀 (특정 액터 연구)
hypenTicket
19:3020:00해커그룹 004 의 공격패턴과 특징, 그리고 흔적JC Lee
20:0020:50PE보다 스크립트 – 핵인싸 악성코드의 진단 우회방식jzDescriptionTicket
21:0021:50Tick Tock Tick tock – Tick 그룹의 동아시아 지역 10년 활동mstoned7Ticket

* 참치콘 스케쥴표: https://darungrim.com/intelligence/Chamichicon-2019-05.html

참치콘 CFP 서브미션은 다른그림 사이트를 참조하거나 다음 폼을 사용해 주세요.

Leave a Reply