사이버 위협 인텔리전스는 현대 조직의 사이버 보안 전략의 핵심 요소로 자리 잡고 있습니다.
효과적인 사이버 위협 인텔리전스 전략은
조직이 사이버 공격으로부터 안전하게 유지되도록 보장하는데 중요한 역할을 합니다.
따라서 조직은 사이버 위협 인텔리전스를 통해 위협을 식별하고 대응하는 데
필요한 정보를 지속적으로 수집하고 분석하는 능력을 갖추어야 합니다.
여기서 이야기하는 사이버 위협 인텔리전스란 무엇일까요?
사이버 위협 인텔리전스의 정의
가트너 리서치에서는 2013년에 위협 인텔리전스를 다음과 같이 정의하였습니다.
"위협 인텔리전스는 해당 위협이나 위험에 대한 주체의 대응에 관한 결정을 알리는데
사용할 수 있는 자산에 대한 기존 또는 새로운 위협이나 위험에 대한
상황, 메커니즘, 지표, 영향 및 실행 가능한 조언을 포함한 증거 기반 지식이다."
요약해 보면, 위협 인텔리전스란
위협 대응을 위한 다양한 데이터와 정보를 기반으로 하는 지식이라고 말합니다.
데이터와 정보 그리고 인텔리전스
위협 인텔리전스를 이해하기 위해서는 다음 3개의 차이점을 알아야 합니다.
데이터
데이터는 단순히 수집하여 가공이 되지 않은 원시 자료를 말합니다.
일반적으로 IP, URL, Hash와 같은 단순한 지표를 말하며, 분석 없이는 많은 것을 말해주지 않습니다.
정보
정보는 데이터가 분석 및 처리되어 의미를 가지도록 유용하게 변환된 것입니다.
해당 데이터가 어떤 유형인지 말해주기 때문에 데이터보다 유용하지만
여전히 특정 작업을 직접적으로 말해주지는 않습니다.
인텔리전스
다양하게 수집된 데이터를 분석하고 처리해서
특정한 맥락 안에서 의미 있는 정보로 정리한 결과물이라고 할 수 있습니다.
고통의 피라미드
위협 인텔리전스를 설명하는데 자주 소개되는
"고통의 피라미드(Pyramid of Pain)"라는 그림입니다.
보안 전문가인 David J Bianco가 2013년에 처음 소개한 것으로
인텔리전스의 효과적인 활용 방법을 설명하기 위해서 자주 사용되는 개념입니다.
피라미드의 최상위에 있는 TTP가 공격을 방어하는데 가장 효과적이라고 말합니다.
각 단계는 지표와 함께 공격자의 스트레스를 의미합니다.
단계별 위협 지표가 차단되었을 때 공격자에게 미치는 스트레스를 의미합니다.
1단계 : Hash Values
1단계 Hash Values는 공격자가 받는 스트레스가 사소하다고(Trivial) 말합니다.
해시값은 쉽게 변조가 가능하기 때문입니다.
2단계 : IP Address
2단계 IP Address는 공격자가 받는 스트레스가 쉽다고(Easy) 말합니다.
IP 주소는 프록시 등을 이용해서 쉽게 변경할 수 있기 때문입니다.
3단계 : Domain Names
3단계 Domain Names는 공격자가 받는 스트레스가 간단하다고(Simple) 말합니다.
많은 DNS 서비스 제공자들이 등록 기준을 완화한 덕분에 간단하게 도메인을 변경할 수 있기 때문입니다.
4단계 : Network/Host Artifacts
4단계 Network/Host Artifacts는 공격자가 받는 스트레스가 번거롭다고(Annoying) 말합니다.
5단계 : Tools
5단계 Tools는 공격자가 받는 스트레스가 도전적이라고(Challenging) 말합니다.
공격 도구가 차단되면, 이를 우회하기 위해서 코드를 수정하거나
새로운 코드를 개발하는 등의 노력이 필요하기 때문입니다.
6단계 : TTPs
6단계 TTPs는 공격자가 받는 스트레스가 힘들고 어렵다고(Tough) 말합니다.
TTP는 전술, 기술, 절차를 말하며,
골격 시작부터 목적을 달성할 때까지의 모든 단계가 포함된 프로세스입니다.
이를 우회하기 위해서는 새로운 기술이나 절차를 고안해야 하는 등
상당한 수준의 비용과 시간이 필요합니다.
따라서, 상위에 위치한 단계를 방어할수록 더 효과적이라고 말합니다.
MITRE ATT&CK
앞서 이야기한 고통의 피라미드의 최상위에 있던 TTP라는 개념을 시각화하여 정립한 것이
MITRE ATT&CK Matrix입니다.
TTP는 전술을 의미하는 Tactics,
기술을 의미하는 Techniques,
절차를 의미하는 Procedures의 약자입니다.
MITRE ATT&CK Framework에는 14가지의 전술과 함께 260가지 이상의 기술이 명시되어 있습니다.
각 기술에 해당하는 TID 상세 페이지에는 절차에 대한 예제와
대응 방안, 탐지 방법, 참조 사이트 등이 상세히 나와있기 때문에
해당 공격에 대한 방어에 큰 도움을 받을 수 있습니다.
생명 주기
위협 인텔리전스를 도출하기 위해서는 일반적으로 다음과 같은 과정을 거칩니다.
위협 인텔리전스의 생명 주기(Life Cycle)라고 말하며,
원시 데이터를 의사결정 및 조치를 위한 완성된 인텔리전스로 변환하는 프로세스입니다.
요구사항을 시작으로 수집, 처리, 분석, 배포, 피드백의 과정을 순환 형태로 동작합니다.
Requirement → Collection → Processing → Analysis → Dissemination → Feedback
1. 요구사항 단계에서는 위협 인텔리전스 운영에 대한 로드맵과 목표를 설정합니다.
2. 수집 단계에서는 다양한 출처에서 수많은 위협 정보를 수집합니다.
3. 처리 단계에서는 수집한 데이터를 분석에 적합한 형식으로 전처리합니다.
4. 분석 단계에서는 요구사항에 대한 답을 도출합니다.
5. 배포 단계에서는 분석된 결과를 배포합니다.
6. 피드백 단계에서는 배포한 결과에 대한 피드백을 받습니다.
이러한 위협 인텔리전스 생명 주기는 조직이 보안 위협에 대응하기 위해서
다양한 정보를 수집, 분석 및 공유하여 활용하는 방법을 체계적으로 관리하는 데 도움을 줍니다.
모니터랩의 AILabs의 생명 주기도
일반적인 위협 인텔리전스의 생명 주기와 크게 다르지 않습니다.
요구사항부터 시작해서 수집, 분석, 처리, 배포 그리고 피드백으로
지속적이고 반복적인 프로세스로 동작하고 있습니다.
Requirement → Collection → Analysis → Processing → Distribution → Feedback
인공지능과 빅데이터가 기반이 되는 분석 및 처리 시스템과
다양한 정보를 가시적으로 제공하는 웹 기반 포탈이 핵심입니다.
보다 자세한 사항은 다음 포스팅으로 이어질
3부 AILabs 사이버 위협 인텔리전스 플랫폼에서 확인할 수 있을 것입니다.
필요성
그렇다면, 위협 인텔리전스는 왜 필요한 것일까요?
사이버 위협은 다양한 방식으로 고도화되고,
공격자들은 단순 공격이 아닌 특정 목표를 향한 끈질긴 공격을 수행합니다.
흔히 알려지지 않은 위협이라고 불리는 지능형 지속 공격을 방어하기 위해서는
단편적인 데이터와 정보를 기반으로 하는 기존의 수동적인 대응만으로는 부족하며
위협 인텔리전스가 힘을 보태야 합니다.
전체 보안 위협을 100%라고 했을 때, 전통적인 보안으로 정상 탐지할 수 있는 영역이
약 70% 미만이라고 합니다.
그 외의 부분은 알려지지 않은 위협과 비정상적인 행위에 대한 미탐지 영역이며,
위협 이벤트의 상당 부분이 오탐지일 수도 있습니다.
위협 인텔리전스가 힘을 보탠다면 오탐지와 미탐지 영역이 많이 줄어들고,
정상 탐지 영역이 90% 이상으로 확대될 수 있습니다.
모니터랩의 사이버 위협 인텔리전스 플랫폼 'AILabs'
AILabs는 모니터랩에서 자체 연구개발하여 운영 중인
사이버 위협 인텔리전스 플랫폼입니다.
다양한 루트의 피드 채널로부터 수집한 비정형 위협 데이터를 빅데이터 화하고
인공지능이 포함된 고도화된 엔진으로 다차원 분석하고
정제한 위협 인텔리전스를 제공하는 통합 보안 플랫폼입니다.
다음 포스팅에서는 AILabs에 대해서 본격적으로 알아보겠습니다.
감사합니다.
