위협 인텔리전스 사용 사례 및 예시

일반적인 위협 인텔리전스의 예시는 다음과 같습니다.

• 침해 지표(IOC)
• 전술, 기법, 절차(TTP)
• 공격자 속성
• 취약점 정보
• 위협 인텔리전스 피드

별도로 또는 함께 사용할 때 시스템과 민감한 데이터를 보호하기 위한 선제적이고 사전 예방적인 접근방식으로 작용합니다.

IOC는 환경에서 잠재적인 보안 사고를 알리는 포렌식 아티팩트입니다. 여기에는 공격자가 시스템에 있는지 탐지하는 데 도움이 되는 악의적인 IP 주소, 파일 해시, 도메인 이름, URL이 포함됩니다. 보안 도구가 최근 공격 캠페인에서 IOC를 식별하면 해당 지표가 환경의 어느 곳에 나타나는지 즉시 조사할 수 있습니다.

TTP는 공격자가 어떻게 활동하는지, 액세스 권한을 획득하고, 측면으로 이동하고, 목표를 달성하기 위해 어떤 방법을 사용하는지 설명합니다. 이러한 패턴을 이해하면 특정 IOC가 변경되더라도 공격 행동을 인식하는 데 도움이 됩니다. 특정 위협 그룹이 일반적으로 스피어피싱을 사용하여 초기 액세스 권한을 획득한다는 것을 알고 있다면 이러한 행동을 중심으로 탐지 규칙을 구성할 수 있습니다.

속성 인텔리전스는 공격의 배후에 있는 위협 그룹을 식별하고 이들의 일반적인 표적, 동기, 역량을 밝혀냅니다. 이러한 컨텍스트를 통해 조직이 특정 그룹의 타겟팅 범위에 속하는지 평가할 수 있습니다. 또한 속성은 공격자가 지식 재산을 도용하려는지, 랜섬웨어를 배포하려는지, 지속적인 액세스 권한을 유지하려는지 등 공격자의 목표를 파악하는 데도 도움이 됩니다.

취약점 인텔리전스는 공격자가 익스플로잇할 수 있는 소프트웨어 약점에 대한 세부정보를 제공합니다. 여기에는 CVE 데이터, 익스플로잇 가능성, 공격자가 실제 환경에서 적극적으로 표적으로 삼는 취약점에 대한 정보가 포함됩니다. 취약점 인텔리전스는 공격자가 캠페인에서 어떤 취약점을 이용하는지 보여줌으로써 이론적인 위험과 활성 위협을 분리하는 데 도움이 됩니다.

피드는 보안 벤더, 정부 기관, 정보 공유 커뮤니티 등 여러 소스에서 지속적으로 위협 데이터를 스트리밍합니다. 이러한 피드는 수동 조사 없이도 새로운 위협에 대한 방어 체계를 최신 상태로 유지합니다. 피드는 초점에 따라 다양합니다. 많은 위협 유형을 광범위하게 다루는 피드가 있는가 하면 피싱 도메인이나 랜섬웨어 인프라와 같은 특정 영역을 전문적으로 다루는 피드도 있습니다.

사용 사례 중심 접근방식을 취하면 위협 인텔리전스를 추상적인 개념이 아닌 실행 가능한 정보로 만들 수 있습니다. 위협 데이터를 사고 대응 및 취약점 관리와 같은 특정 보안 기능에 매핑하면 보안 결과에 미치는 영향을 측정하고 리소스를 어디에 투자할지 더 나은 결정을 내릴 수 있습니다.

위협 인텔리전스를 사용하면 위협이 환경에 도달하기 전에 식별하고 차단할 수 있습니다. 공격자 인프라와 수법을 미리 파악하면 방어 체계를 구성하여 경계에서 공격을 차단할 수 있습니다. 예를 들어 인텔리전스를 통해 위협 그룹이 특정 이름 지정 패턴에 따라 도메인을 등록하고 있다는 사실이 밝혀지면 DNS 필터링에서 해당 패턴을 차단할 수 있습니다.

사고가 발생하면 위협 인텔리전스는 사용자가 직면한 상황에 대한 컨텍스트를 제공합니다. 공격 범위를 빠르게 파악하고, 관련 지표를 식별하며, 공격자의 목표를 이해하여 위협을 더 빠르게 차단할 수 있습니다. 예를 들어 엔드포인트에서 의심스러운 PowerShell 실행을 탐지한 경우 유사한 공격에 대한 인텔리전스를 통해 공격자가 일반적으로 측면 이동, 데이터 유출 또는 사용자 인증 정보 도용을 시도하는지 여부 등 다음에 무엇을 찾아야 하는지 알 수 있습니다.

인텔리전스는 환경에 이미 존재하는 숨겨진 위협을 찾는 데 도움이 됩니다. 업계와 관련된 알려진 TTP와 IOC에 집중하면 자동화된 탐지를 회피하는 정교한 공격을 찾아낼 수 있습니다. 예를 들어 업종을 표적으로 삼는 위협 그룹이 일반적으로 관리 도구를 사용한 자급자족식 기법을 사용하는 경우 이러한 도구의 비정상적인 사용을 추적할 수 있습니다.

Google Security Operations의 Applied Threat Intelligence는 침해 지표와 공격자 행동을 저장하는 데 그치지 않습니다. Mandiant의 새로운 위협 인텔리전스를 포함한 Google의 위협 환경에 대한 이해를 활용하여 이 지식을 특정 환경에 적용합니다. 시스템은 위협 데이터를 보안 원격 분석과 자동으로 상호 연결하여 수동 분석 없이 관련 위협을 식별합니다. 이벤트, 알림, 애셋, 사용자를 일관된 스토리로 연결하여 우선순위가 지정되고 실행 가능한 결과를 얻을 수 있으므로 최신 위협에 앞서 대응할 수 있습니다.

요구사항 기반 접근방식은 조직의 실제 요구사항에 따라 위협 인텔리전스를 수집하고 사용하는 방법을 구조화합니다. 이 프로세스는 위협 인텔리전스 수명 주기 전반에 걸쳐 모든 관련 이해관계자의 지정된 요구사항을 명시적으로 충족합니다. 사용자의 부문, 업종, 지역에서 가장 관련성이 높은 위협에 대한 컨텍스트를 제공하는 위협 프로필로 시작됩니다. 이해관계자 분석은 인텔리전스 요구사항과 사용 사례를 생성하며, 이는 수집 계획과 수집 애셋 개발에 영향을 미칩니다. 이러한 요소가 결합되어 이해관계자의 요구사항, 형식, 보고 빈도를 충족하는 출력을 생성하는 서비스 라인을 형성합니다.

이 접근방식에는 함께 작동하는 여러 구성요소가 포함됩니다. 계획 및 방향에서는 어떤 인텔리전스가 필요한지, 그 이유는 무엇인지 파악합니다. 수집은 관련 소스에서 원시 데이터를 수집합니다. 처리는 해당 데이터를 정형 형식으로 변환합니다. 분석은 처리된 데이터를 실행 가능한 인사이트로 변환합니다. 배포는 이러한 인사이트를 의사 결정권자와 보안팀에 전달하여 인사이트에 따라 조치를 취할 수 있도록 합니다. 이 프레임워크는 취약점 관리부터 위협 헌팅, 보안 아키텍처 계획에 이르기까지 다양한 사용 사례에 적용할 수 있습니다.

위협 인텔리전스는 특정 환경과 보안 문제에 적용할 때 가장 가치가 있습니다. Google Threat Intelligence는 500명 이상의 공격자를 모니터링하여 얻은 인사이트와 자동화된 탐지 기능을 결합하여 업종 및 지역에 맞는 우선순위가 지정된 인텔리전스를 제공합니다. 이러한 기능을 보안 운영에 통합하면 위협 데이터를 수집하는 것에서 공격을 방지하는 것으로 전환할 수 있습니다.

Threat Intelligence 솔루션 살펴보기