위협 인텔리전스("사이버 위협 인텔리전스"(CTI) 또는 "위협 인텔리전스")는 조직을 표적으로 하는 사이버 보안 위협을 예방하고 이에 대응하기 위한 상세하고 실행 가능한 위협 정보입니다.
위협 인텔리전스를 통해 보안 팀은 보다 사전 예방적으로 효과적인 데이터 기반 조치를 실행하여 사이버 공격이 발생하기 전에 예방할 수 있습니다. 또한 진행 중인 공격을 더 빠르게 탐지하고 대응하는 데도 도움이 됩니다.
보안 분석가는 여러 소스에서 원시 위협 정보와 보안 관련 정보를 수집한 후 데이터 상관 관계를 파악하고 분석하여 실제 위협이나 잠재적 위협에 대해 심층적으로 이해할 수 있는 추세, 패턴 및 관계를 밝혀냄으로써 위협 인텔리전스를 생성합니다. 이를 통해 도출한 인텔리전스는 다음과 같은 특징이 있습니다.
IBM의 2022년 데이터 유출 비용 보고서에 따르면, 데이터 유출로 인한 비용이 평균 미화 435만 달러에 이르며 탐지 및 에스컬레이션 비용은 144만 달러로 가장 큰 비중을 차지합니다. 위협 인텔리전스의 정보를 이용해 보안 팀은 공격을 더 빨리 탐지하여 탐지 비용을 절감하고 침해 성공으로 인한 영향을 줄일 수 있습니다.
중요 연구 자료가 제시하는 인사이트와 권장 사항을 확인하여 사이버 위협에 더 빠르고 효과적으로 대응할 태세를 갖추세요.
위협 인텔리전스 라이프사이클은 보안 팀이 위협 인텔리전스를 생성 및 전파하고 계속해서 개선하는 반복적이고 지속적인 프로세스입니다. 세부 사항은 조직마다 다를 수 있지만 대부분은 동일한 6단계 프로세스 버전을 따릅니다.
1단계: 계획
보안 분석가가 경영진, 부서장, IT 및 보안 팀 구성원, 그 외 사이버 보안 의사 결정에 관련된 사람 등 조직의 이해관계자와 협력하여 인텔리전스 요구 사항을 설정합니다. 이해관계자가 답변을 원하거나 필요로 하는 사이버 보안 질문이 여기에 주로 포함됩니다. 예를 들어, CISO는 헤드라인에 등장한 새로운 랜섬웨어 변종이 조직에 영향을 미칠 가능성이 있는지 알고 싶어할 것입니다.
2단계: 위협 데이터 수집
보안 팀은 이해관계자가 찾는 해답이 담겨 있거나 해답에 기여할 수 있는 원시 위협 데이터를 수집합니다. 앞에서 예로 든 CISO의 질문을 해결하기 위해 새로운 랜섬웨어 변종을 조사하는 경우, 보안 팀은 공격의 배후에 있는 랜섬웨어 집단, 이들이 과거에 표적으로 삼은 조직 유형, 이전의 피해자를 감염시키기 위해 악용한 공격 벡터에 대한 정보를 수집할 수 있습니다.
이 위협 데이터의 소스는 다음과 같이 다양할 수 있습니다.
위협 인텔리전스 피드 — 실시간 위협 정보의 스트림입니다. 어떤 피드에는 처리되거나 분석된 위협 인텔리전스가 포함되어 있지만 어떤 피드는 원시 위협 데이터로 구성되어 있으므로 명칭에 주의가 필요합니다. (후자를 '위협 데이터 피드'라고도 합니다.)
보안 팀은 일반적으로 여러 오픈 소스 및 상용 피드를 구독합니다. 예를 들면 다음과 같은 피드가 있습니다.
이러한 모든 피드는 위협에 대한 심층적인 이해에 도움이 됩니다.
정보 공유 커뮤니티 — 전 세계의 분석가들이 직접적인 경험, 인사이트 및 자신의 위협 데이터를 공유하는 포럼, 전문 협회 및 기타 커뮤니티입니다.
미국에서는 의료, 금융 서비스, 석유 및 가스 산업과 같은 많은 핵심 인프라 부문에서 산업별 정보공유분석센터(ISAC)를 운영합니다. 이러한 ISAC는 NSI(National Council of ISACs)(ibm.com 외부 링크)를 통해 서로 협력합니다.
국제적으로 활동하는 오픈 소스 MISP Threat Sharing 인텔리전스 플랫폼(ibm.com 외부 링크)은 다양한 지역, 산업 및 주제를 중심으로 구성된 여러 정보 공유 커뮤니티를 지원합니다. MISP는 NATO와 유럽 연합으로부터 재정적 지원을 받았습니다.
내부 보안 로그 — 다음과 같은 보안 및 규정 준수 시스템의 내부 보안 데이터입니다.
이 데이터는 조직이 직면한 위협 및 사이버 공격에 대한 기록을 제공하며, 이전에 인식되지 않은 내부 또는 외부 위협의 증거를 발견하는 데 도움이 될 수 있습니다.
이러한 서로 다른 소스의 정보는 주로 SIEM 또는 위협 인텔리전스 플랫폼과 같은 중앙 집중식 대시보드에 집계되어 보다 쉽게 관리할 수 있습니다.
3단계: 처리
이 단계에서 보안 분석가는 더 손쉽게 분석하기 위해 수집한 원시 데이터를 집계 및 표준화하고 상관 관계를 파악합니다. 여기에는 오탐을 필터링하거나 이전의 보안 인시던트 관련 데이터에 MITRE ATT&CK와 같은 위협 인텔리전스 프레임워크를 적용하는 것이 포함될 수 있습니다.
많은 위협 인텔리전스 도구는 인공 지능(AI) 및 머신 러닝을 사용하여 여러 소스의 위협 정보 간 상관 관계를 파악하고 데이터의 초기 추세 또는 패턴을 찾아냄으로써 이러한 처리를 자동화합니다.
4단계: 분석
분석은 원시 위협 데이터가 진정한 위협 인텔리전스로 바뀌는 지점입니다. 이 단계에서 보안 분석가는 이해관계자의 보안 요구 사항에 답변하고 권장 사항을 제시하는 데 사용할 수 있는 추세, 패턴 및 기타 인사이트를 테스트하고 검증합니다.
예를 들어, 보안 분석가는 새로운 랜섬웨어 변종과 연결된 집단이 업계의 다른 기업을 표적으로 삼았다는 것을 발견하기도 합니다. 그리고 조직의 IT 인프라에서 이 집단이 악용할 가능성이 있는 특정 취약점과 이러한 취약점을 완화하거나 제거할 수 있는 보안 제어 또는 패치를 파악합니다.
5단계. 배포
보안 팀은 인사이트와 권장 사항을 관련 이해관계자와 공유합니다. 이러한 권장 사항에 따라 새로 확인된 IoC에 대응하는 새로운 SIEM 탐지 규칙을 설정하거나 새로 파악된 의심스러운 IP 주소의 트래픽을 차단하도록 방화벽 블랙리스트를 업데이트하는 등의 조치를 취할 수 있습니다.
많은 위협 인텔리전스 도구는 SOAR 또는 XDR과 같은 보안 도구에 데이터를 통합하고 공유하여 활성 공격에 대한 경고를 자동으로 생성하고 위협 우선 순위 지정을 위한 위험 점수를 할당하거나 다른 작업을 트리거합니다.
6단계. 피드백
이 단계에서 이해관계자와 분석가는 가장 최근의 위협 인텔리전스 주기를 검토하여 요구 사항이 충족되었는지 여부를 확인합니다. 새로운 질문이 발생하거나 새로운 인텔리전스 격차가 확인되면 라이프사이클의 다음 라운드에 전달합니다.
위협 인텔리전스 라이프사이클은 관련된 이해관계자, 설정된 요구 사항, 라이프사이클 특정 인스턴스의 전반적인 목표에 따라 다양한 유형의 인텔리전스를 생성합니다. 위협 인텔리전스에는 크게 세 가지 카테고리가 있습니다.
전술적 위협 인텔리전스는 보안 운영 센터(SOC)에서 진행 중인 사이버 공격을 탐지하고 대응하는 데 사용됩니다. 주로 일반적인 IOC(예: 명령 및 제어 서버와 관련된 IP 주소, 알려진 멀웨어 및 랜섬웨어 공격과 관련된 파일 해시, 피싱 공격과 관련된 이메일 제목 줄)에 중점을 둡니다.
전술적 위협 인텔리전스는 인시던트 대응 팀이 오탐을 걸러내고 실제 공격을 차단하는 것 외에도, 위협 헌팅 팀이 지능형 지속 위협(APT)을 비롯해 기타 활동 중이지만 숨겨진 공격자를 추적하는 데도 이용됩니다.
운영 위협 인텔리전스는 조직이 미래의 공격을 예측하고 예방하는 데 도움이 됩니다. 알려진 위협 행위자의 TTP와 행동(예: 사용하는 공격 벡터, 악용하는 취약점 및 대상 자산)을 자세히 설명하기 때문에 '기술 위협 인텔리전스'라고도 합니다.
CISO, CIO 및 기타 정보 보안 의사 결정권자는 운영 위협 인텔리전스를 사용하여 조직을 공격할 가능성이 있는 위협 행위자를 파악하고 공격을 막기 위한 보안 제어 및 기타 조치로 대응합니다.
전략적 위협 인텔리전스는 글로벌 위협 환경과 그 안에서 조직의 위치에 대한 높은 수준의 인텔리전스입니다. 전략적 위협 인텔리전스는 CEO 및 기타 경영진과 같은 IT 외부의 의사 결정권자에게 조직이 직면한 사이버 위협에 대한 정보를 제공합니다.
전략적 위협 인텔리전스는 주로 지정학적 상황, 특정 산업의 사이버 위협 동향, 조직의 특정 전략적 자산이 표적이 된 방법 또는 이유와 같은 문제에 중점을 둡니다. 이해관계자는 전략적 위협 인텔리전스를 사용하여 광범위한 조직 위험 관리 전략 및 투자를 사이버 위협 환경에 맞게 조정합니다.
세계적인 수준의 인텔리전스 분석가 팀을 활용하여 위협 환경의 변화와 위협 행위자가 사용하는 최신 기술을 파악하세요.
IBM 위협 탐지 및 대응 솔루션을 활용하여 보안을 강화하고 위협 탐지를 가속화하세요.
위협 탐지를 가속화하고, 대응을 신속하게 처리하며, 사용자 ID와 데이터 세트를 보호하여 분석가의 시간을 최적화하는 혁신적인 AI 기반 솔루션입니다.