위협 인텔리전스란 무엇인가요?

사이버 위협 인텔리전스란 무엇인가요? 사이버 보안 인텔리전스라고도 하는 위협 인텔리전스는 조직의 네트워크, 디바이스, 애플리케이션, 데이터를 대상으로 하는 범죄 활동에 대한 증거 기반 정보입니다. 이를 통해 기업은 과거, 현재, 미래의 사이버 위험에 대해 더 잘 이해할 수 있습니다. 여기에는 정보 자산에 대한 새로운 또는 기존의 위험에 대한 메커니즘, 맥락, 의미, 지표 및 조치 지향적인 조언이 포함됩니다.

위협 인텔리전스 정보는 기업이 어떤 사이버 자산이 공격의 위험이 가장 큰지, 공격의 영향이 가장 클 수 있는 위치를 파악하는 데 도움을 줄 수 있습니다. 이를 통해 기업은 보호해야 할 정보 자산, 이를 보호하는 최선의 수단, 가장 적절한 완화 도구를 파악하는 데 필요한 지식을 얻을 수 있습니다. 위협 인텔리전스는 정확하고 관련성 있으며 실행 가능하고 시기적절하며 정보에 입각한 의사 결정에 필요한 컨텍스트를 제공합니다.

위협 인텔리전스는 개념적으로는 이해하기 쉽습니다. 하지만 필요한 정보를 수집하고 분석하는 것은 훨씬 더 어렵습니다. 잠재적으로 기업 정보 기술을 손상시키거나 마비시킬 수 있는 방대한 위협은 압도적으로 느껴질 수 있습니다.

위협 인텔리전스가 수집하는 컨텍스트에는 취약점이 무엇인지, 누가 공격하는지, 공격의 동기는 무엇인지, 공격자의 능력은 무엇인지, 정보 자산에 어떤 피해를 입힐 수 있는지, 어떤 침해 징후를 주의해야 하는지 등이 있습니다.

OpenText™ ArcSight™ 인텔리전스는 인프라, 재정 및 평판에 대한 가장 강력한 위협에 대한 정보를 제공합니다. 이를 통해 방어 메커니즘을 구축하고 효과적인 위험 완화를 설정할 수 있습니다.

위협 인텔리전스가 중요한 이유

위협 인텔리전스 도구는 여러 소스에서 기존 및 새로운 위협과 위협 행위자에 대한 원시 데이터를 읽습니다. 이 데이터를 분석하고 필터링하여 자동화된 보안 솔루션에서 사용할 수 있는 인텔리전스 피드와 보고서를 개발합니다. 이것이 왜 중요한가요?

• 조직이 위협과 공격으로부터 자신을 보호하는 데 필요한 정보를 얻습니다.
• 악의적인 공격자, 다양한 취약성, 공격 방법, 제로데이 익스플로잇, 지능형 지속적 위협으로 인한 위험에 대한 최신 정보를 파악하세요.
• 수많은 행위자와 연결되지 않은 시스템에 걸쳐 있는 방대한 내부 및 외부 위협 데이터를 체계적으로 처리할 수 있는 방법을 유지합니다.
• 허위 알람 방지.
• 데이터 유출과 그에 따른 재정적, 평판 및 규정 준수 비용을 최소화합니다.
• 가장 효과적인 보안 도구를 식별하는 데 필요한 지식을 습득합니다.
• 사이버 보안팀과 분석팀은 처리되지 않고 우선순위가 지정되지 않은 방대한 원시 데이터를 처리해야 하는 부담을 피하면서 미래의 위협에 선제적으로 대응할 수 있습니다.
• 리더, 사용자, 이해관계자에게 최신 위협과 위협이 조직에 미칠 수 있는 영향에 대한 정보를 제공하세요.
• 의사 결정권자가 이해할 수 있는 시의적절한 컨텍스트를 제공하세요.

위협 인텔리전스는 오늘날 거의 모든 조직, 즉 전 세계 웹에 네트워크가 연결된 모든 기업에게 매우 중요합니다. 방화벽과 기타 보안 시스템도 중요하지만, 기업이 정보 시스템을 위협하는 위협에 대한 최신 정보를 파악해야 하는 필요성을 대체할 수는 없습니다. 오늘날 사이버 공격의 다양하고 복잡하며 확장 가능한 특성으로 인해 위협 인텔리전스는 필수적입니다.

---

위협 인텔리전스 수명 주기

위협 인텔리전스는 체크리스트에 따라 진행되는 엔드투엔드 프로세스가 아닙니다. 지속적이고 주기적이며 반복적인 프로세스입니다. 조직이 모든 잠재적 위협을 식별하고 무력화할 수 있는 시점은 결코 없습니다.

위협 인텔리전스 수명 주기는 위협 환경의 진화하는 특성을 인식하는 것입니다. 한 번의 공격이나 위기를 막았다고 해서 일이 끝난 것은 아닙니다. 즉시 다음 공격에 대해 생각하고, 예측하고, 준비해야 합니다. 새로운 인텔리전스 요구 사항을 요구하는 새로운 격차와 질문이 계속 등장할 것입니다.

위협 인텔리전스 수명 주기는 다음 단계로 구성됩니다.

• 계획 - 데이터 수집에 필요한 요건을 정의합니다. 올바른 방향으로 이끌고 실행 가능한 정보를 생성하기 위한 구체적인 질문을 하세요. 위협 인텔리전스의 최종 소비자가 누구인지 결정합니다.
• 수집 - 신뢰할 수 있는 출처에서 원시 위협 데이터를 수집합니다. 여기서 신뢰할 수 있는 출처에는 시스템 감사 추적, 과거 인시던트, 내부 위험 보고서, 기술적인 외부 소스 및 더 넓은 인터넷이 포함될 수 있습니다.
• 처리 - 분석할 수 있도록 원시 데이터를 정리합니다. 중복 정보, 오탐, 오탐을 쉽게 제거할 수 있는 메타데이터 태그를 배치하세요. SIEM은 이러한 정리를 용이하게 할 수 있습니다. 상관 관계 규칙을 사용하여 다양한 사용 사례에 맞게 데이터를 구조화합니다.
• 분석 - 분석 단계는 데이터를 이해하는 단계로, 기본적인 정보 수집 및 유포와 위협 인텔리전스를 차별화합니다. 처리된 정보에 구조화된 분석 기법을 적용하고 위협을 정량화합니다. 이렇게 하면 도구와 분석가가 위협 인텔리전스 피드를 생성하고 이를 스캔하여 침해 지표를 파악할 수 있습니다. 침해 지표에는 의심스러운 IP 주소, URL, 이메일, 이메일 첨부 파일, 레지스트리 키 및 해시가 포함됩니다.
• 배포 - 위협 인텔리전스는 적시에 적절한 사람에게 전달될 때 효과가 있습니다. Share 미리 정의된 내부 및 외부 커뮤니케이션 채널을 사용하여 관련 이해관계자와 분석을 공유합니다. 대상 고객이 더 쉽게 이해할 수 있는 형식으로 정보를 배포하세요. 여기에는 위협 목록부터 동료 검토 보고서까지 다양한 형식이 포함될 수 있습니다. 대규모 조직에서 위협 탐지 및 완화는 여러 팀이 참여하는 공동의 노력입니다. 새로운 인사이트, 솔루션 및 기회를 발굴하기 위해 모든 사람에게 정보를 공유하세요.
• 통합 - 실행 가능한 위협 인텔리전스를 워크플로, 사고 대응 프로그램 및 티켓팅 시스템에 통합합니다.
• 교훈 - 장기적인 교훈과 폭넓은 시사점을 얻기 위해 정보를 분석합니다. 정책, 절차, 프로세스, 인프라 및 구성을 적절히 변경하세요.
• 피드백 - 조치를 검토하고 위협이 차단되었는지 또는 억제되었는지 확인합니다.

---

사이버 보안 위협의 유형 및 위협 인텔리전스

사이버 보안 위협과 위협 인텔리전스는 비즈니스 요구 사항, 인텔리전스 소스, 대상 고객에 따라 분류할 수 있습니다. 이와 관련하여 사이버 보안 위협 및 위협 인텔리전스에는 세 가지 유형이 있습니다.

전략적 위협 인텔리전스

이는 광범위하거나 장기적인 트렌드 또는 이슈입니다. 전략적 위협에 대한 검토는 종종 최고 경영진과 같이 기술 전문가가 아닌 고위급 대상의 전유물입니다. 전략적 위협 인텔리전스는 위협의 역량과 의도를 한눈에 파악할 수 있는 조감도를 제공하여 정보에 입각한 의사 결정과 신속한 경고를 가능하게 합니다.

전략적 위협 인텔리전스의 출처에는 뉴스 미디어, 주제별 전문가, 비정부기구 정책 문서, 보안 백서 및 연구 보고서가 포함됩니다.

전술적 위협 인텔리전스

전술적 위협 인텔리전스는 일상적인 인텔리전스 이벤트와 운영을 통해 침해 지표를 처리함으로써 위협 행위자의 절차, 기술 및 전술에 구조를 제공합니다. 보안 전문가, 시스템 설계자, 네트워크 관리자와 같은 보다 기술적인 사용자를 위한 인텔리전스입니다.

전술적 위협 인텔리전스는 조직이 어떻게 공격받을 수 있는지에 대한 심층적인 이해와 이러한 공격에 대한 최선의 방어책을 제공합니다. 보안 공급업체와 기업 사이버 보안 컨설턴트의 보고서가 전술적 위협 인텔리전스의 주요 출처인 경우가 많습니다.

운영 위협 인텔리전스

운영 위협 인텔리전스는 기술 위협 인텔리전스라고도 합니다. 매우 전문적이고 고도의 기술을 필요로 합니다. 특정 공격, 멀웨어, 도구 또는 캠페인을 다룹니다.

운영 위협 인텔리전스는 포렌식 위협 인텔리전스 보고서, 위협 데이터 피드 또는 위협 그룹 통신을 가로채는 형태로 제공될 수 있습니다. 이를 통해 사고 대응팀은 특정 공격의 시기, 성격, 의도에 대한 인사이트를 얻을 수 있습니다.

---

위협 탐지란 무엇인가요?

위협 탐지는 위협 인텔리전스와 혼용되어 사용되기도 하지만, 두 용어는 같은 의미는 아닙니다. 위협 탐지는 잠재적인 보안 문제를 포착하기 위해 데이터를 수동적으로 모니터링하는 것입니다.

보안 침해 전, 침해 중 또는 침해 후에 위협을 발견하고 식별하는 데 중점을 둡니다. 위협은 멀웨어 샘플의 문자열, 비정상적인 부분을 통한 네트워크 연결, 네트워크 트래픽의 예기치 않은 급증 또는 감소, 임시 디렉터리에 저장된 실행 파일 등이 될 수 있습니다.

데이터 유출 탐지 도구는 사용자, 데이터, 애플리케이션 및 네트워크 동작을 분석하여 비정상적인 활동을 탐지합니다. 침입 탐지 시스템은 위협 탐지 도구의 한 예입니다.

---

위협 인텔리전스와 위협 탐지가 함께 작동하는 방식

위협 탐지 시스템은 종종 H-ISAC과 같은 광범위한 커뮤니티에서 제공하는 위협 인텔리전스를 사용하여 네트워크 트래픽을 검사합니다. 또한 사용자 지정 알림 및 이벤트 알림을 배포합니다. 위협 탐지 도구를 사용하면 다양한 소스의 로그를 모니터링하고 다양한 환경에 맞게 조정할 수 있습니다.

따라서 위협이 감지되면 알림이 전송됩니다. 일반적으로 사람이 개입하여 위협을 검토하고 무슨 일이 일어나고 있는지 파악한 후 적절한 조치를 취합니다.

---

올바른 위협 인텔리전스를 위한 올바른 도구

오늘날의 조직은 잠재적으로 수백만 가지 방법으로 무단 액세스하여 혼란을 야기할 수 있는 공격자에게 노출되어 있습니다. 또한 위협의 규모, 복잡성, 정교함도 지속적으로 증가하고 있습니다. 즉, 사용자와 조직의 최선의 노력에도 불구하고 공격자가 침입할 수 있다고 가정하는 것이 가장 좋습니다. 적절한 물리적 및 논리적 제어를 설정하면 공격 성공 가능성을 줄이는 데 큰 도움이 됩니다.

위협 인텔리전스는 시기적절하고 효과적인 위협 탐지 및 대응에 필수적이며, 잠재적인 사이버 보안 위협을 이해하고 이를 방어하는 데 필수적인 요소입니다. 팀과 조직이 잠재적 위협에 대해 더 잘 이해할수록 기능적 대응을 개발하고 우선순위를 정하고 위협을 신속하게 탐지할 수 있는 역량을 갖추게 됩니다.

위협 인텔리전스는 소규모 기업에게도 힘들고 시간이 많이 소요되는 작업입니다. 다행히도 시중에는 이를 도와줄 수 있는 다양한 위협 인텔리전스 도구가 나와 있습니다. 하지만 모든 위협 인텔리전스 도구가 동일한 것은 아닙니다. 사이버 보안 분야의 글로벌 리더로 인정받고 있는 OpenText 은 의미 있고 실행 가능한 동적 위협 인텔리전스를 신속하게 생성하는 데 필요한 올바른 도구를 제공합니다.