1. 소개
1.1. 개요
CRITs는 악성코드 기반의 위협 데이터 관리와 공유를 위한 '위협과 관련 된 공동 연구 (Collaborative Reseach Into Threats)' 플랫폼으로 오픈소스이다.
STIX, TAXII, ATT&CK을 개발한 MITRE에서 개발한 툴로서, 해당 표준과 가장 잘 호환되는 것으로 알려져 있다.
약 2년 전이 가장 최신 릴리즈로 MISP에 비해 릴리즈는 활성화 되어 있지 않은 편이다.
공식 사이트
GitHub
Docker
라이선스는 MIT 이며, MIT 라이선스 명시만 되어 있으면 코드 공개 의무 없이 소스코드 수정 및 서비스 적용이 가능하다. (GPL이나 AGPL이 아니라 그런지 MISP보다 커밋이 적다)
1.2. 특징
기본적인 특징은 다음과 같다.
- STIX와 TAXII와 연동 가능한 설계 (MITRE 개발)
- 신뢰성, 심각성 지수 추가 가능
- CSV, STIX, JSON 포맷 지원
MISP만큼은 아니지만 다양한 OSINT 분석 도구와 연동 가능하다.
crits_services
Docker 코드를 확인해보면 내부적으로 다음 도구들을 활용한 것으로 확인된다.
- MongoDB, Django, Python
- OS는 Ubuntu, Debian, Darwin (OSX), FreeBSD, CentOS (RHEL), Fedora 등 지원
- boto를 통해 Amazon S3와 연동 가능
1.3. 예시
데이터 수집과 활용에 따라 다음과 같은 분석이 가능해진다. (출처 : https://crits.github.io/)
2. Docker 셋팅 방법
Production 환경에서는 단계별로 셋팅하거나 Ensible을 활용한 셋팅이 필요하지만, 테스트와 기능 확인이 주 목적이므로 Docker를 이용한 셋팅을 진행한다.
https://github.com/crits에 포함 된 DockerFile에는 git clone이 포함되어 있어, 내부망 또는 git clone이 허용되지 않는 환경에서는 MISP와 동일한 문제가 발생한다.
따라서 이러한 경우에는 Docker Hub에서 제공하는 이미 생성 된 Docker 이미지를 사용한다.
기본적인 Docker 이미지 실행은 다음 링크를 참고한다. (2021-05-25 현재 3.1 - Stable 4 버전)
실행이 완료되면 웹 브라우저를 실행하고 127.0.0.1에 80포트로 접속하면 다음과 같은 로그인 창을 확인할 수 있다.
초기 로그인 계정 정보는 admin와 pass1PASS123!이다. (로그인 직후 패스워드 변경을 권장한다.)
3. 기능 분석
3.1. 초기 화면
로그인하면 다음과 같은 화면이 출력된다.
좌측 상단의 톱니바퀴를 클릭하면 다양한 메뉴를 확인할 수 있다. MISP보다 가독성이 훨씬 나은 것을 확인할 수 있다.
3.2. 기능 확인
이제 무엇을 해야할지 막막하다면 당연하다. 오픈소스는 일반적으로 다음과 같은 공통 특징이 있다.
- UI/UX 완전 별로 (빠른 기능 파악은 거의 불가능)
- 매뉴얼 허접 (삽질 필요)
- 보안 오픈소스는 생각보다 자료가 많이 없음 (삽질 필요)
- 한글화는 진즉에 포기 (영어 공부 열심히)
매뉴얼은 다음 페이지를 참고한다. (w. 구글 번역)
이제 뭘해야 하지? (I can log into the interface, now what?) 싶을땐 아래 문서를 참고한다. (이 부분은 MISP보다 마음에 든다)
4. 결론
MISP는 Docker Hub에 있는 Docker 이미지도 빌드와 초기 설치를 해야 하는데, CRITs는 Docker 이미지가 있어서 생각보다 쉽게 진행할 수 있었다.
CRITs는 MongoDB를 사용하지만 문서에 수십만개가 최적이라고 하니 대량 처리는 좀 아쉬운 부분이 될 것 같다.
- Good for 10's of thousands of binaries, emails, indicators, and PCAPs (출처 : https://github.com/crits/crits/wiki/Production-grade-CRITs-install)
- MISP도 MySQL 기반이라 대량의 데이터 처리는 쉽지 않을 것 같다 (MISP는 다수의 MISP를 띄워서 데이터 공유와 용량 한계를 극복하는 것 같다)
CRITs는 MISP와 다르게 장점과 단점이 명확한 편이다. 최종적으로 CRITs 대신 MISP를 사용하기로 했는데, 이유는 다음과 같다.
- CRITs는 MISP보다 직관성이 좋고 MITRE가 정의한 STIX, MAEC, ATT&CK 등과 가장 잘 호환되는 것이 장점이지만, 그 외에 장점을 찾기는 힘들다.
- MIT 라이선스라 그런지 커밋이 적은 편이다. 최종 커밋이 약 3~4년전인 것을 보면, 기능 개선이 빠르게 되지 않는 것으로 보인다.
- 같은 이유인지 모르겠지만 MISP보다 자료도 더 적은 편이다.
- MISP는 자체 MISP 클러스터 구축이나 TheHive로의 확장이 가능한데, CRITs는 관련 정보를 찾기 어렵다.
이러한 이유로 당분간 CRITs보다는 MISP에 집중할 계획이다.
'::: 정보보안 :::' 카테고리의 다른 글
MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 (0) | 2021.06.09 |
---|---|
MISP 사용해보기 1 - 기본 설정과 이벤트 추가 (0) | 2021.06.09 |
TheHive: a Scalable, Open Source and Free Security Incident Response Platform (4) | 2021.06.08 |
YETI (Your Everyday Threat Intelligence) (0) | 2021.06.07 |
MISP (Malware Information Sharing Platform) (0) | 2021.06.05 |