위협 인텔리전스 라이프사이클은 보안 팀이 위협 인텔리전스를 생성, 배포, 상시 개선하는 반복적이고 지속적인 프로세스입니다. 세부 사항은 조직마다 다를 수 있으나, 대체로 다음 6단계 프로세스를 조금씩 달리하여 적용합니다.

1단계: 계획 수립

보안 분석 팀이 조직의 이해관계자, 즉 경영진, 부서장, IT 및 보안 팀 구성원, 그밖의 사이버 보안 의사결정 관계자와 협력하여 인텔리전스 요구사항을 설정합니다. 여기에는 일반적으로 이해 관계자가 제기할 수 있거나 제기해야 하는 사이버 보안에 관한 질문이 포함됩니다. 이를테면 CISO가 뉴스 헤드라인을 장식하는 새로운 랜섬웨어 변종이 해당 조직에 영향을 미칠지 여부를 확인하려 합니다.

2단계: 위협 데이터 수집

보안 팀이 이해 관계자의 질문에 대한 답이 들어 있거나 답을 찾는 데 도움이 될 원시 위협 데이터를 수집합니다. 위의 예에서 새로운 랜섬웨어 변종을 조사하는 보안 팀이 공격 배후에 있는 랜섬웨어 범죄 집단, 이들이 과거에 표적으로 삼았던 조직의 유형, 과거의 피해자를 감염시키는 데 이용했던 공격 벡터에 관한 정보를 수집할 수 있습니다.

다음과 같은 다양한 소스에서 이러한 위협 데이터를 확보할 수 있습니다.

위협 인텔리전스 피드—실시간 위협 정보 스트림. 이 이름에 오해의 소지가 있습니다. 처리되었거나 분석된 위협 인텔리전스가 포함된 피드가 있는가 하면, 원시 위협 데이터로 구성된 피드도 있습니다. (후자를 '위협 데이터 피드'라고도 부릅니다.)

보안 팀은 일반적으로 여러 오픈 소스 피드와 상용 피드를 구독합니다. 예를 들어, 일반적인 공격의 IoC를 추적하는 피드, 사이버 보안 뉴스를 집계하는 피드, 악성 코드 변종에 관한 자세한 분석을 제공하는 피드, 새로운 사이버 위협을 둘러싼 소셜 미디어 및 다크 웹의 대화를 스크랩하는 피드가 있을 수 있습니다. 모두 각종 위협을 더 깊이 이해하는 데 도움이 됩니다.

정보 공유 커뮤니티—

미국에는 헬스케어, 금융 서비스, 석유 가스 산업 등 여러 주요 인프라 부문에 산업별 ISAC(Information Sharing and Analysis Center)가 있습니다. 이러한 ISAC들은 NSI(National Council of ISAC)를 통해 상호 협력합니다(ibm.com 외부 링크). 국제적으로는 오픈 소스 MISP 위협 공유 인텔리전스 플랫폼(ibm.com 외부 링크)에서 다양한 위치, 산업, 주제를 중심으로 구성된 수많은 정보 공유 커뮤니티를 지원합니다. MISP는 NATO와 유럽 연합으로부터 재정 지원을 받습니다.

내부 보안 로그—보안 및 컴플라이언스 시스템, 즉 보안 정보 및 대응(SIEM), 보안 오케스트레이션, 자동화, 대응(SOAR), 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR), 공격 표면 관리(ASM) 시스템 등의 내부 보안 데이터. 이 데이터는 해당 기업이 직면한 위협과 사이버 공격에 관한 기록을 제공합니다. 사내외 위협에 관해 지금까지 파악되지 않았던 증거를 찾는 데 이 데이터가 도움이 될 수 있습니다.

이처럼 각기 다른 소스의 정보는 대개 더 용이한 관리를 위해 SIEM 또는 위협 인텔리전스 플랫폼과 같은 단일 중앙 집중형 대시보드에서 집계됩니다.

3단계: 처리

보안 분석 팀에서 지금까지 수집한 원시 데이터를 집계, 표준화하고 상관관계를 규명하는 단계입니다. 이렇게 하면 데이터를 분석하여 인사이트를 확보하는 일이 더 쉬워집니다. 여기에는 거짓 양성(false positives) 신호를 필터링하거나, 과거의 보안 사고에 관한 데이터에 MITRE ATT&CK과 같은 위협 인텔리전스 프레임워크를 적용하여 결과를 향상하는 등의 작업이 포함될 수 있습니다.

많은 위협 인텔리전스 툴에서는 인공지능(AI)과 머신 러닝을 사용하여 이 처리를 자동화함으로써 여러 소스의 위협 정보를 대상으로 상관관계를 규명하고 데이터에서 초기 추세나 패턴을 식별합니다.

4단계: 분석

원시 위협 데이터를 진정한 위협 인텔리전스로 전환하는 단계입니다. 이 단계에서 보안 분석 팀은 이해 관계자의 보안 요구사항을 해결하고 권고안을 마련하는 데 활용할 수 있는 추세, 패턴 및 기타 인사이트를 테스트하고 검증합니다.

예를 들어, 새로운 랜섬웨어 변종과 관련된 범죄 집단이 다른 동종 업체를 표적으로 삼았음을 알아낸 보안 분석 팀은 해당 기업의 IT 인프라에서 범죄에 악용될 소지가 있는 구체적인 취약점을 식별할 수 있습니다. 아울러 이러한 취약점을 완화하거나 해소하기 위한 보안 제어 또는 패치를 확인할 수 있습니다.

5단계: 배포

보안 팀은 적절한 이해 관계자와 인사이트 및 권고안을 공유합니다. 새로 식별된 IoC를 대상으로 새로운 SIEM 탐지 규칙을 수립하고, 새로 식별된 의심스러운 IP 주소에서 보내는 트래픽을 차단하기 위해 방화벽 블랙리스트를 업데이트하는 등 권고안에 따른 조치를 할 수 있습니다. 많은 위협 인텔리전스 툴은 보안 도구(예: SOAR, XDR)에 데이터를 통합하고 공유함으로써 현재 진행 중인 공격에 대한 알림을 자동 생성하거나 위협 우선순위 지정을 위한 위험 점수를 부여하거나 그밖의 조치를 실행합니다.

6단계: 피드백

이 단계에서 이해 관계자와 분석 팀은 최근 위협 인텔리전스 주기를 검토하면서 요구사항이 충족되었는지를 확인합니다. 새로 제기된 모든 질문이나 새로 확인된 인텔리전스의 틈새가 다음번 라이프사이클에 정보를 제공할 수 있습니다다.

위협 인텔리전스 라이프사이클에서는 관련된 이해 관계자, 요구사항 세트, 해당 라이프사이클 인스턴스의 전반적 목표에 따라 각기 다른 유형의 인텔리전스를 생성합니다. 위협 인텔리전스에는 크게 세 개의 범주가 있습니다.

전술적 위협 인텔리전스는 보안 운영 센터(SOC)에서 현재 진행되는 사이버 공격을 탐지하고 대응하는 데 사용됩니다. 대개는 일반적인 IoC, 이를테면 C&C(command and control) 서버의 IP 주소, 알려진 악성 코드 및 랜섬웨어 공격과 관련된 파일 해시, 피싱 공격과 연관된 이메일 제목 등에 초점을 맞춥니다.

인시던트 대응 팀이 거짓 양성 신호를 필터링하고 진짜 공격을 차단하도록 도울 뿐 아니라, 위협 추적 팀이 지능형 지속 위협(APT)을 비롯하여 숨어서 활동하는 각종 공격자를 추적하도록 돕습니다.

운영 위협 인텔리전스는 기업에서 미래의 공격을 예측하고 방지하는 데 도움이 됩니다. 알려진 위협 행위자의 TTP와 행태(예: 사용하는 공격 벡터, 익스플로잇 취약점, 표적으로 삼는 자산)를 자세히 설명하기 때문에 '기술적 위협 인텔리전스'라고도 합니다. CISO, CIO 및 기타 정보 보안 의사 결정자는 해당 기업을 공격할 가능성이 있는 위협 행위자를 식별하고 보안 제어 및 각종 조치로 공격을 막아내는 데 운영 위협 인텔리전스를 사용합니다.

전략적 위협 인텔리전스는 글로벌 위협 환경 및 여기에 속한 기업의 현주소를 다루는 차원 높은 인텔리전스입니다. 전략적 위협 인텔리전스는 IT 팀에 속하지 않은 의사 결정자(예: CEO, 기타 임원)가 해당 기업이 직면한 사이버 위협을 올바르게 이해하도록 돕습니다. 전략적 위협 인텔리전스에서는 일반적으로 지정학적 상황, 특정 산업에서의 사이버 위협 추세, 기업의 특정 전략적 자산이 표적이 될 수 있는 이유와 그 방식에 주목합니다. 이해 관계자는 사이버 위협 환경을 반영하여 더 포괄적인 조직 차원의 리스크 관리 전략과 투자를 조율하는 데 전략적 위협 인텔리전스를 사용합니다.