위협 인텔리전스란 무엇인가요?

위협 인텔리전스는 조직이 스스로를 방어하는 데 사용하는 현재 또는 잠재적인 사이버 공격에 대한 정보입니다. 보안팀이 공격을 탐지, 방지, 대응하는 데 사용할 수 있는 실행 가능한 인사이트로 원시 위협 데이터를 변환합니다. 단순히 정보를 수집하는 것이 아니라 위협 인텔리전스는 공격자, 공격자의 방법과 동기, 공격이 진행 중이거나 임박했음을 알리는 구체적인 지표에 대한 컨텍스트를 제공합니다.

Google Threat Intelligence 소개

사이버 보안에서 위협 인텔리전스란 무엇인가요?

효과적인 위협 인텔리전스는 사이버 보안팀이 사후 대응적 방어에서 선제적 방어로 전환할 수 있도록 지원합니다. 공격이 발생한 후에 대응하는 대신 공격자가 취약점을 익스플로잇하기 전에 취약점을 식별하고, 공격 패턴이 나타날 때 이를 인식하며, 방어 체계를 구성하여 경계에서 위협을 차단할 수 있습니다. 이러한 데이터 기반 접근방식은 위협이 나타난 시점과 조직이 위협에 대응할 수 있는 시점 사이의 시간을 단축합니다.

위협 인텔리전스가 중요한 이유는 무엇인가요?

위협 인텔리전스는 정보에 입각한 보안 결정을 내리는 데 필요한 컨텍스트를 제공합니다. 이러한 기능이 없으면 보안팀은 가장 중요한 경보에 대한 지침이 제한된 상태에서 압도적인 양의 경보와 잠재적인 위협에 직면하게 됩니다. 위협 인텔리전스는 실제 위협과 오탐을 구분하고 조직에 대한 실제 위험에 따라 대응의 우선순위를 정하는 데 도움이 됩니다.

공격자가 새로운 기법을 개발하고 새로 발견된 취약점을 익스플로잇함에 따라 위협 환경은 끊임없이 진화하고 있습니다. 위협 인텔리전스는 어제의 위협이 아닌 현재의 공격 방법에 맞춰 방어 체계를 조정합니다. 공격자가 사용하는 전술, 기법, 절차(TTP)를 이해하면 공격 체인에서 더 일찍 활동을 탐지하고 피해를 입히기 전에 중단할 수 있습니다.

위협 인텔리전스를 효과적으로 사용하는 조직은 성공적인 공격의 빈도와 영향을 모두 줄일 수 있습니다. 업계를 표적으로 삼는 위협을 식별하고 공격자의 운영 방식을 이해하면 직면할 가능성이 가장 높은 공격을 실제로 방어하는 제어에 보안 투자를 집중할 수 있습니다.

중앙 집중식 위협 인텔리전스의 이점

중앙 집중식 위협 인텔리전스를 통해 보안 전문가는 새로 등장한 공격자와 멀웨어에 대한 상황 인식을 얻을 수 있습니다. 중앙 저장소는 CVSS 및 EPSS 심각도 점수를 포함한 공개 취약점 설명을 제공하므로 환경 전반에서 일관되게 위험을 평가할 수 있습니다. 브라우저 플러그인을 사용해 공개 위협 지표를 검색하고 Mandiant 지표 신뢰 점수를 웹페이지에 직접 삽입할 수 있습니다.

보안 분석가, 사고 대응 담당자, SOC 관리자에게 중앙 집중식 인텔리전스는 알림 우선순위 지정 및 분류를 지원합니다. 현재 위협 인텔리전스를 사용하여 보안 이벤트 정보의 우선순위를 지정하고 컨텍스트화하여 알림 피로를 줄이고 전반적인 SOC 효율성을 개선할 수 있습니다. 중앙 집중식 인텔리전스는 지표를 다운로드하고 탐지 도구를 확장하여 환경에 숨어 있는 공격자 또는 멀웨어 활동을 찾아내어 숨겨진 위협을 탐지하는 데 도움이 됩니다.

중앙 집중식 위협 인텔리전스는 MITRE ATT&CK 기반의 행위자 행동 인사이트를 보안 분석팀에 제공하여 대응 속도를 높입니다. 이러한 인사이트는 잠재적인 공격 진행 상황을 파악하고 적절한 대응책을 마련하는 데 도움이 됩니다. 여러 팀이 동일한 인텔리전스 소스에 액세스하면 조직은 위협에 대한 일관된 이해를 발전시키고 방어 체계를 조율할 수 있습니다.

세 가지 유형의 위협 인텔리전스

위협 인텔리전스는 다양한 수준에서 작동하여 다양한 잠재고객과 목적에 부합합니다. 전술적 인텔리전스는 공격을 탐지하고 차단하는 데 필요한 구체적인 기술 세부정보를 제공합니다. 운영적 인텔리전스는 위협 헌팅을 안내하고 공격자 행동을 이해하는 데 도움이 됩니다. 전략적 인텔리전스는 장기적인 보안 계획과 리소스 할당에 정보를 제공합니다. 각 유형은 포괄적인 위협 인텔리전스 프로그램에서 고유한 역할을 수행합니다.

위협 커뮤니케이션 워크플로

전술적 위협 인텔리전스

전술적 위협 인텔리전스는 즉각적인 위협과 이를 탐지하는 데 필요한 기술적 세부정보에 중점을 둡니다. 여기에는 알려진 공격과 관련된 악의적인 IP 주소, 파일 해시, 도메인 이름, URL과 같은 침해 지표가 포함됩니다. 보안 도구는 전술적 인텔리전스를 소비하여 위협을 자동으로 식별하고 차단합니다. 전술적 인텔리전스는 공격자가 인프라를 자주 변경하기 때문에 수명이 짧은 경향이 있으므로 효과를 유지하려면 지속적인 업데이트가 필요합니다. SOC팀과 사고 대응팀은 일상적인 위협 탐지 및 대응을 위해 전술적 인텔리전스에 의존합니다.

운영적 위협 인텔리전스

운영적 위협 인텔리전스는 위협 행위자가 공격을 수행하는 데 사용하는 TTP에 대한 자세한 정보를 제공합니다. 이 인텔리전스는 구체적인 기술 지표보다는 공격자 행동과 방법에 대한 이해에 중점을 둡니다. 운영적 인텔리전스를 사용하면 어떤 위협 그룹이 업계를 표적으로 삼는지, 어떻게 초기 액세스 권한을 획득하는지, 네트워크 내에서 무엇을 하는지 파악할 수 있습니다. 보안팀은 운영적 인텔리전스를 적용하여 위협을 추적하고, 탐지 기능을 개선하며, 사고 대응 절차를 계획합니다. 공격자 인프라보다 공격자 수법이 더 느리게 진화하기 때문에 운영적 인텔리전스는 전술적 인텔리전스보다 더 오랫동안 관련성을 유지합니다.

전략적 위협 인텔리전스

전략적 위협 인텔리전스는 위협 환경에 대한 개괄적인 인사이트를 제공하며, 리더십이 보안 투자 및 위험 관리에 대해 정보에 입각한 결정을 내리는 데 도움이 됩니다. 이 인텔리전스에는 업계에 영향을 미치는 트렌드, 위협 행위자의 행동에 영향을 미치는 지정학적 요인, 다양한 위협 시나리오가 비즈니스에 미칠 수 있는 잠재적 영향이 포함됩니다. 전략적 인텔리전스는 일반적으로 경영진, 이사회 구성원 및 기타 비기술직 이해관계자를 위한 보고서 및 브리핑 형태로 제공됩니다. 조직은 전략적 인텔리전스를 사용하여 보안 전략을 비즈니스 목표에 맞추고 보안 위험을 경영진에게 전달합니다.

위협 인텔리전스 수명 주기 이해

위협 인텔리전스 수명 주기는 조직에 대한 잠재적 위협에 관한 정보를 수집, 분석, 배포하기 위한 체계적인 프로세스입니다. 이 순환 프레임워크는 보안팀이 원시 데이터를 실행 가능한 인텔리전스로 변환하여 방어를 개선하는 데 사용하는 것입니다. 수명 주기의 각 단계는 다음 단계로 이어져 위협 환경이 진화함에 따라 위협 인텔리전스를 관련성 있고 유용하게 유지하는 지속적인 개선 프로세스를 만듭니다.

계획 단계에서는 조직에 어떤 인텔리전스가 필요한지, 그 이유는 무엇인지 파악합니다. 보안팀은 이해관계자와 협력하여 인텔리전스 요구사항을 정의합니다. 여기에는 업계를 표적으로 삼는 행위자를 파악하거나, 익스플로잇될 가능성이 가장 높은 취약점을 식별하거나, 새로운 공격 기법이 인프라에 영향을 미치는지 확인하는 작업이 포함될 수 있습니다.

수집은 인텔리전스 요구사항을 충족하기 위해 여러 소스에서 원시 위협 데이터를 수집하는 프로세스입니다. 소스에는 위협 인텔리전스 피드, 내부 시스템의 보안 로그, 정보 공유 커뮤니티, 오픈소스 인텔리전스, 상용 위협 인텔리전스 제공업체가 포함됩니다. 목표는 요구사항을 충족할 수 있는 관련 데이터를 수집하는 동시에 필요에 맞지 않는 노이즈를 필터링하는 것입니다.

처리는 원시 위협 데이터를 분석에 적합한 형식으로 변환하는 단계입니다. 여기에는 서로 다른 소스의 데이터를 일관된 형식으로 정규화하고, 중복 항목을 삭제하고, 관련 정보를 상호 연결하고, 오탐을 필터링하는 작업이 포함됩니다. 자동화된 도구는 위협 데이터의 양이 일반적으로 분석가가 수동으로 처리할 수 있는 양을 초과하기 때문에 이러한 작업의 대부분을 처리합니다.

분석은 처리된 데이터에서 의미 있는 인사이트를 추출하고 요구사항에 부합하는 인텔리전스를 생성합니다. 분석가는 패턴을 식별하고, 조직에 대한 위협의 관련성을 평가하며, 적절한 대응 조치를 결정합니다. 이 단계의 결과물은 위협 보고서, 브리핑, 권장사항과 같은 완성된 인텔리전스 제품으로, 이해관계자가 이를 사용하여 보안 결정을 내릴 수 있습니다.

피드백 단계의 목적은 인텔리전스가 이해관계자의 요구사항을 충족하는지 평가하고 격차 또는 새로운 요구사항을 파악하는 것입니다. 이해관계자는 인텔리전스의 유용성과 적시성에 대한 의견을 제공하며, 이는 수집 우선순위, 분석 방법, 배포 관행을 조정하는 데 도움이 됩니다. 이러한 피드백은 향후 인텔리전스를 더욱 가치 있게 만드는 정제된 요구사항으로 사이클을 다시 시작합니다.

Google Cloud에서 새로운 기회를 찾으세요.

Google Cloud의 사이버 보안 전문가에게 문의하세요.
Google Cloud 위협 인텔리전스 살펴보기

다음 단계 수행

$300의 무료 크레딧과 20여 개의 항상 무료 제품으로 Google Cloud에서 빌드하세요.

Google Cloud
Docs지원
콘솔
로그인
  • 디지털 혁신 가속화
  • 디지털 혁신을 이제 막 시작한 기업이든 이미 일정 수준에 도달한 기업이든 Google Cloud를 사용하면 가장 까다로운 도전과제를 해결할 수 있습니다.
  • Google Cloud 제품
  • 100개가 넘는 제품을 살펴보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다. 모든 고객이 월간 사용량 한도까지 25개 이상의 제품을 무료로 사용할 수 있습니다.
  • 투명한 가격 책정 방식으로 비용 절감
  • Google Cloud는 사용한 만큼만 지불하는 가격 책정 방식으로 월별 사용량과 선불 리소스의 할인율을 기준으로 자동 할인을 제공합니다. 지금 Google에 문의하여 견적을 받아보세요.
Google Cloud