Cloud data, How are you collecting it?

저장장치를 수집할 때 가장 큰 고려 요소는 수집 시간이었다. 수집 시간에 영향을 미치는 것은 소스(SOURCE)와 타겟(TARGET) 저장장치의 인터페이스 지원 규격과 수집 장비의 성능이다. HDD를 주로 사용하던 시절에는 수집하는데 일주일이 걸리기도 했지만 최근에는 저장장치 용량이 늘어났음에도 SSD의 사용 비율이 높고 수집 장비의 성능이 좋아 단일 스토리지를 수집하는데 수집 시간이 오래 걸리는 경우는 많지 않다.

수집 관련하여 최근 이슈는 DAS, NAS, SAN과 같은 스토리지 풀의 수집 용량이 너무 큰 것이다. 개별 저장장치를 수집하려면 RAID, JBOD, LVM 등 스토리지 풀 기술을 이해하고 재구성할 수 있어야 하는데 하드웨어나 펌웨어, 소프트웨어에 의존적인 경우가 있어 보통 볼륨 형태로 수집하는 것을 권장한다. 하지만 그것 또한 볼륨의 용량이 10TB를 훌쩍 넘어가는 경우가 많아 전체를 수집하는데 어려움이 많다.

스토리지 풀을 수집하는 것과 더불어 최근의 이슈는 클라우드 데이터를 수집하는 것이다. AWS, Azure는 가상 환경에 에이전트를 심거나 스토리지 자체를 수집하는 방식으로 매뉴얼하게 접근할 수 있지만 G Suite, Box, Slack, O365, Teams, Dropbox, Facebook, Twitter 등은 서비스 제공자(SP)가 제공하는 API를 기반으로 수집해야 한다. 클라우드 수집을 지원하는 도구가 최근 하나씩 등장하고 있지만 AXIOM 만큼 다양한 클라우드를 지원하는 도구는 현재 없다.

클라우드 수집은 사용자의 크리덴셜이나 토큰을 기반으로 수집하는데 사용자 모르게 인증 정보를 확보했더라고 클라우드에 접근하게 되면 사용자에게 알람이 가기 때문에 사용자 모르게 수집하는 것은 불가능하다. 수집 행위를 사용자가 인지하지 못하게 하려면 정당한 영장을 발급받아 서비스 제공자에게 요청해야 한다.

# 클라우드 수집 시 고려할 점

첫 번째는 사용자에게 크리덴셜을 받았더라도 2단계 인증이 필요한 서비스(예, Apple)가 있을 수 있으므로 사전에 2단계 인증에 필요한 권한 혹은 절차를 확보해야 한다. 플랫폼/서비스에서 자동으로 2단계 인증을 하는 경우도 있지만 개인 혹은 조직/회사에서 보안상의 이유로 2단계 인증을 설정한 경우가 있으므로 수집 전 개인에게 사전 고지하거나 조직의 보안팀에게 사전 협조 요청을 해 두어야 한다.

두 번째는 플랫폼/서비스에 따라 수집하기 전에 전체 용량을 확인할 수 있는 경우가 있고 그렇지 않은 경우가 있으므로 수집 전 충분한 시간과 기가 인터넷 환경을 확보해두어야 한다. 인터넷 환경은 보통 현장 환경에 종속되기 때문에 용량이 많지 않다면 5G EGG나 포켓 와이파이를 이용하는 것도 하나의 방법이 될 수 있다.

# AXIOM에서 지원하는 클라우드 서비스

현재 AXIOM Cloud(Add-on)와 AXIOM Cyber에서 수집을 지원하는 클라우드 서비스와 데이터는 다음과 같다.

Platform/Service AXIOM Cloud AXIOM Cyber Description
Amazon
Amazon S3 Buckets
Amazon EC2 Instances
Apple iCloud Backups
iCloud Drive files and recently deleted files
iCloud Mail
iCloud Photos
Box.com
(User)
Files and Folders
User Events
Box.com
(Admin)

Files and Folders from other accounts
Enterprise Events
DropboxFiles and Folders
FacebookFacebook Friends
Facebook Messenger
Facebook Posts
Facebook Profile
Facebook Timeline
Google
(User)
Gmail Messages
Google Accounts
Google Drive (files and folders)
Google Hangouts
Google Photos
Google Takeout
Google Activity (including activity and attachments)
Google
(G Suite Admin
/ Google Workspace)

Services and content listed for Google (User)
G Suite administrator and user accounts
G Suite login audit logs for G Suite Basic, Business, and Enterprise
G Suite Drive audit logs for G Suite Business and Enterprise
IMAP / POPEmails and attachments
Note: POP3 does not support folder acquisition and acquires the inbox only.
Instagram
(User account)
Instagram Direct Messages
Instagram Posts
Instagram
(Public activity)
Instagram Posts
LyftProfile information
Trip data
MegaCloud Mega files
Microsoft
(User)
Office 365/Microsoft Mail
OneDrive files and folders
Office 365 Outlook contacts
Office 365 Outlook calendars
Microsoft
(Office 365 Admin)

Services and content listed for Microsoft (User)
Audit logs
Emails, OneDrive, Audit logs from other accounts
SharePoint files and folders
Microsoft
Azure

Virtual Machines
Microsoft
Teams

Channels
Chats
Slack
Slack Public Channels
Slack Private Channels
Slack Direct Messages
Slack Direct Group Messages
Slack Users
Slack Workspaces
Twitter
(User account)
Twitter Direct Messages
Twitter Posts
Twitter Users (including followers, friends, and personal profile) information
Twitter
(Public activity)
Twitter Posts
Twitter Users (including followers, friends, and personal profile) information
UberUber Trip History
WhatsApp
(Google Drive Backup)
WhatsApp backups
WhatsApp
(QR code access)
WhatsApp chats

그 밖에 AXIOM은 Apple, Facebook, Instagram, Skype, Snapchat의 영장 반환(Warrant Return) 데이터와 사용자가 서비스에서 직접 내려받은 다음 데이터도 처리를 지원한다.

○ iCloud Backups
○ Facebook Download Your Information
○ Google Takeout
○ Microsoft Office 365 Unified Audit Logs