위협 인텔리전스란 무엇인가요?

위협 인텔리전스는 다양한 내부 및 외부 소스의 데이터를 결합하여 비즈니스에 대한 기존 및 새로운 사이버 위험을 이해하고 방어 전략을 강화합니다. 성공적인 위협 인텔리전스 프로그램은 위협 정보를 교차 분석하고, 비즈니스 위험을 기반으로 위협을 필터링 및 우선순위를 지정하며, 내부 시스템 및 보안 제어에 대한 피드백을 제공합니다. 위협 인텔리전스는 완성된 사이버 보안 프로그램의 핵심 구성 요소입니다.

사이버 위협 인텔리전스는 조직에 대한 현재 위협과 새로운 위협을 가시화합니다. 조직은 공격자의 전술, 기술 및 절차를 이해하여 보안 이벤트 이전, 도중 및 이후에 위협에 더 효과적으로 대응할 수 있습니다.

위협 인텔리전스 프로그램은 조직이 취약성 해결, 테스트 전략 수행, 인시던트 대응 계획 개발, 이벤트 발생 시 비즈니스 연속성 보장 방법에 대해 더 효과적인 결정을 내릴 수 있도록 도와줍니다. 위협 인텔리전스 팀은 사이버 위험 팀 및 보안 팀과 협력합니다.

위협 인텔리전스 시스템은 사이버 보안 데이터에 대응하여 인사이트를 수집, 분석 및 생성하는 중앙 허브입니다. 이러한 시스템은 보안 이벤트를 추적하고, 어떤 위협 행위자가 존재하는지 파악하며, 대응 방법에 대해 보안 팀에 브리핑하는 데 도움을 줍니다. 시스템은 경우에 따라 시스템에 컨텍스트를 제공하는 데 도움이 되는 내부 및 외부 데이터 소스의 모음인 사이버 위협 인텔리전스(CTI)를 활용합니다.

위협 인텔리전스 시스템은 전체적인 보안 소프트웨어 솔루션의 일부로서 작동합니다. AWS Security Hub와 같은 솔루션은 중앙 집중식 관리를 위해 위협 인텔리전스 수명 주기 활동을 통합하는 경우가 많습니다.

위협 인텔리전스 수명 주기는 정기적인 업데이트와 검토가 필요한 지속적인 프로세스입니다.

위협 인텔리전스 수명 주기의 주요 단계는 다음과 같습니다.

환경 범위

위협 인텔리전스 프로그램을 배포하기 전에 조직은 시스템, 데이터, 네트워크, 서비스, 사용자 및 기타 조직 자산을 정의해야 합니다. 조직은 운영 중요도 및 데이터 민감도를 기준으로 조직 자산을 분류해야 합니다. 조직 환경의 범위를 이해하면 어떤 위협이 비즈니스와 관련이 있고 어떤 자산이 더 큰 표적이 될 수 있는지 이해할 수 있습니다.

위협 데이터 수집

범위 지정을 완료하면 사이버 위협 인텔리전스 수명 주기의 다음 단계는 수많은 데이터 소스를 하나의 중앙 정보 소스로 결합하는 것입니다. 위협 인텔리전스 시스템은 내부 보안 데이터, 시스템 보고서는 물론 실시간 오픈 소스 및 벤더 배포 위협 피드, 취약성 데이터베이스, 소셜 미디어 및 다크 웹 모니터링과 같은 외부 소스를 수집합니다.

이 단계는 최대한 많은 위협 데이터를 캡처하여 포괄적인 정보를 확보하는 것을 목표로 합니다. 이 단계의 데이터 수집은 고도로 자동화되어 있고, 지속적이며, 비즈니스 범위에 따라 선별하지 않습니다.

데이터 처리

조직은 데이터 결합 후 유용하게 활용할 수 있도록 데이터를 필터링, 구조화, 표준화, 강화 및 변환합니다. 구조화되지 않은 데이터는 기계가 읽을 수 있는 형식으로 변환하고, 정형 데이터는 정리하여 데이터 품질을 향상하고 메타데이터로 태그를 지정합니다. 범위를 벗어난 중복 데이터는 제거됩니다. 처리는 가능한 한 자동화되어야 합니다.

분석

분석 단계에서는 위협 인텔리전스 데이터를, 비즈니스를 위한 실행 가능한 인사이트로 변환합니다. 자동화된 시스템은 처리된 모든 데이터의 패턴과 관계를 식별하기 시작하여 사이버 보안 팀이 추가로 조사할 이상 항목, 불일치 또는 결과를 찾습니다.

이 단계에서 데이터 분석가는 기계 학습 및 예측 모델링 적용과 같은 다양한 고급 기술을 사용하여 특정 위협 지표를 매핑할 수 있습니다. 이러한 프로세스는 수동적인 측면과 자동적인 측면을 모두 갖췄으며, 보안 팀에 사이버 방어 전략에 도움이 되는 관련성 있고 유용한 인사이트를 제공하도록 설계되었습니다.

보고

보고는 위협 인텔리전스 분석의 결과를 비즈니스 이해관계자와 관련 팀에 제공합니다. 보고는 대상에 맞춰 작성되며 제한된 대시보드, 텍스트 파일, 프레젠테이션 또는 기타 형태의 커뮤니케이션을 포함할 수 있습니다.

보고 단계는 위협 인텔리전스 시스템이 보고서를 작성하여 필요한 직원에게 배포하는 방식으로 자동화되는 경우가 많습니다. 대규모 보안 위협이 드러나면 수동 보고가 필요할 수도 있습니다.

또한 팀은 새로운 위협 및 알려지지 않은 위협을 더 넓은 커뮤니티에 보고하여 다른 조직이 이 정보를 자체 시스템에 통합할 수 있도록 할 수 있습니다.

모니터링 및 조정

위협 인텔리전스 시스템은 잠재적 보안 문제를 모니터링하고, IOC를 추적하며, 보안 팀을 지원합니다. 위협 인텔리전스 시스템은 직원이 배치된 연중무휴 보안 운영 센터(SOC) 내의 핵심 소프트웨어입니다.

분석 과정에서 팀은 잠재적 보안 이벤트와 관련된 침해 지표(IOC)를 추적하여 인시던트 대응 계획 및 플레이북을 개발하고, 신규 또는 조정된 보안 제어를 배포하며, 시스템 아키텍처를 변경하고, 비즈니스 위험을 업데이트할 수 있습니다. 이러한 정보에 입각한 대응은 회사의 보안 태세가 손상되지 않도록 보장합니다.

팀은 예상치 못한 보안 이벤트와 새로운 정보로부터 학습하여 이전과 같은 성과를 지속적으로 달성하면서 이를 개선해야 합니다. 보안 팀은 보안 도구의 성능을 검토하고, 대응에 대해 의견을 제시하며, 불일치를 표시하여 위협 인텔리전스 소프트웨어를 지속적으로 개선할 수 있습니다.

사이버 위협 인텔리전스 프로그램의 기능은 비즈니스 환경의 복잡성, 민감한 데이터 요구 사항 및 규정 준수 의무에 따라 달라집니다. 위협 인텔리전스 프로그램의 일반적인 기능은 다음과 같습니다.

데이터 피드

데이터 피드는 위협 인텔리전스 플랫폼이 인사이트를 제공하는 데 사용하는 모든 정보 소스를 나타냅니다. 이러한 위협 인텔리전스 서비스는 위협 인텔리전스 프로그램의 핵심 구성 요소입니다.

외부 데이터 피드 소스에는 실시간 오픈 소스 인텔리전스(OSINT), 공개 위협 피드, 정부 사이버 보안 기관에서 제공하는 정보가 포함됩니다. 내부 데이터 피드 소스에는 방화벽 로그, 사용자 액세스 행동, 침입 탐지 시스템(IDS) 경고, 엔드포인트 로그 및 클라우드 서비스 원격 분석이 포함됩니다.

기술

위협 인텔리전스는 데이터를 전달하고, 정보를 분석하며, 보안 팀에 실행 가능한 인사이트를 제공하기 위해 함께 작동하는 다수의 기술을 활용합니다. 예를 들어, 일부 위협 인텔리전스 소프트웨어는 데이터를 수집 및 구성하는 데 도움이 될 뿐만 아니라 보안 팀이 조치를 취해야 할 때 인사이트를 직접 공유할 수 있도록 지원합니다.

분석 기술은 잠재적 보안 이벤트를 표시하는 데 도움이 되는 데이터의 패턴과 이상 징후를 찾는 데 필수적입니다. 사이버 위협 인텔리전스의 분석 기능이란 팀에서 데이터의 명확성, 정밀성 및 심층성을 향상하는 데 사용하는 모든 기술을 말합니다. 여기에는 기계 학습 분석, 예측 알고리즘, 행동 분석이 포함됩니다.

보안 정보 및 이벤트 관리(SIEM) 시스템은 내부 보안 로그 데이터를 이벤트 정보와 연관시켜 새로운 위협이 비즈니스에 미치는 영향을 실시간으로 파악할 수 있습니다. 일부 회사에서는 제품에 앱 내 경고를 포함시켜 개발자에게 특정 측면에서 작업할 때 발생할 수 있는 버그에 대한 추가 컨텍스트를 제공하기도 합니다.

프레임워크

위협 인텔리전스가 포함된 프레임워크는 조직이 따라야 하는 표준화된 구조를 제공합니다. 이러한 프레임워크는 가치가 매우 높으며, 조직을 위한 설명 및 권장 지침을 포함하도록 정기적으로 업데이트됩니다. 위협 인텔리전스에 초점을 맞춘 사이버 보안 프레임워크는 MITRE ATT&CK 프레임워크와 사이버 킬 체인입니다. 이 두 프레임워크에는 전술, 표준 벡터 및 IOC를 처리하는 방법이 포함됩니다.

활동

사이버 위협 인텔리전스 시스템은 다양한 활동을 통해 인사이트를 확보하고 기능을 개선합니다. 예를 들어, 이러한 시스템은 실시간 위험 평가를 수행하고, 알려진 취약점을 업데이트로 패치하며, 피드백으로 인시던트에 대응하고, 사이버 보안 전문가에게 우선순위를 지정해야 하는 이벤트에 대한 인사이트를 제공할 수 있습니다.

보안 전문가가 활용할 사이버 위협 인텔리전스에는 크게 네 가지 유형이 있습니다.

전략적 위협 인텔리전스

전략적 위협 인텔리전스는 잠재적 보안 이벤트의 컨텍스트 프로필을 구축하는 데 유용할 수 있는 지정학적 데이터, 경제 데이터 및 기타 비기술적 인텔리전스를 포함하여 시스템이 수집하는 광범위한 위협 환경 정보를 말합니다. 이러한 유형의 비기술적, 전략적 위협 인텔리전스는 광범위한 보안 취약성과 취약성의 진화 양상을 이해하는 데 도움이 되는 귀중한 인사이트를 제공합니다.

전술적 위협 인텔리전스

전술적 위협 인텔리전스는 지능형 지속 위협(APT)의 공격자 전술, 기술 및 절차(TTP)를 포함하여 TTP와 관련된 정보를 수집하는 것을 말합니다. 업계 전반의 인텔리전스 데이터는 공공 보안 피드에서 공유됩니다. 이 정보를 통해 보안 전문가는 특정 공격의 일반적인 동작, 사용된 벡터, 특정 보안 이벤트에서 발생하는 동작 순서를 파악할 수 있습니다.

기술적 위협 인텔리전스

기술적 위협 인텔리전스는 시스템이 식별하는 모든 침해 징후를 말합니다. 악의적인 IP 주소의 존재, 예상치 못한 보안 URL, 방화벽 대응 또는 시스템의 예상 운영 값의 갑작스러운 변화 등과 같은 IOC에 대해서는 팀이 추가로 조사하도록 모두 표시됩니다.

운영적 위협 인텔리전스

운영적 위협 인텔리전스는 전술적 정보와 기술적 정보가 합쳐진 형태의 인텔리전스입니다. 이러한 형태의 운영 인텔리전스는 특정 기업 또는 지역에서 특정 형태의 랜섬웨어나 멀웨어가 점차 증가하는 추세와 같은 업계 전반의 지식에 대한 인사이트를 제공합니다. 운영적 위협 인텔리전스를 통해 기업은 잠재적 보안 이벤트가 발생하기 전에 이를 완화하기 위한 조치를 취할 수 있습니다.

AWS Cloud Security는 전용 위협 인텔리전스 통합, 자동화 및 시각화를 통해 클라우드 환경을 보호하는 데 도움이 됩니다. AWS Cloud Security는 잠재적 위험을 식별하고, 데이터 보호 조치를 채택해 인프라를 보호하며, 예기치 않은 이벤트에 대한 보안 태세를 모니터링하고, 인시던트에 직접 대응할 수도 있습니다.

AWS Security Hub는 중요한 보안 문제의 우선순위를 지정하고, 대규모 대응을 통해 환경을 보호할 수 있도록 지원합니다. 이는 위협 인텔리전스를 제공하며, 신호를 연관, 강화해 실행 가능한 인사이트로 전환함으로써 중요한 문제를 감지하고, 보다 간소화된 대응을 가능하게 합니다.

지금 바로 무료 계정을 생성하여 AWS에서 위협 인텔리전스를 시작하세요.