위협 인텔리전스란 무엇인가요?

위협 인텔리전스(TI, 사이버 위협 인텔리전스라고도 함)는 기존 위협 및 새로운 사이버 위협에 대한 연구와 분석을 통해 얻은 컨텍스트 정보입니다. 위협 인텔리전스는 사이버 보안 전문가가 위협 행위자의 최신 전술을 이해하고 선제적으로 방어할 수 있도록 지원함으로써 조직이 새로운 위협 유형을 탐지하고 대응하는 역량을 확장합니다.

일반적으로 보안팀은 여러 개의 위협 인텔리전스 소스를 구독하는데, 이러한 소스는 보안 분석가에게 원시 위협 피드를 제공하거나 팀의 보안 도구 내에 직접 통합하여 새로운 위협 유형을 자동으로 탐지할 수도 있습니다. 이 원시 데이터를 처리하고, 구문 분석하고, 해석하면 실행 가능한 위협 인텔리전스를 얻을 수 있습니다.

위협 인텔리전스는 사전 예방적 사이버 보안 전략의 필수 요소입니다. 조직이 위험을 완화하고 방어를 개선할 수 있도록 사이버 위협을 탐지하고 대응하는 데 있어 중요한 컨텍스트를 제공합니다.

위협 인텔리전스는 보안 운영 센터(SOC)에서 팀이 침해 지표(IoC)를 식별하여 위협을 탐지하고, 우선순위를 정하고, 대응하는 데 핵심적인 역할을 합니다. 사이버 공격과 관련된 악성 도메인 이름, IP, URL 또는 파일 해시가 여기에 포함될 수 있습니다. 또한 위협 인텔리전스 피드는 특정 위협 행위자가 사용하는 전술, 기술 및 절차(TTP)에 대한 인사이트를 제공합니다. 조직은 위협 인텔리전스를 통해 표적 공격을 예측하고 대응하여 보안 사고의 발생 가능성과 영향을 줄이고, 궁극적으로 전반적인 보안 태세를 강화할 수 있습니다.

위협 인텔리전스를 활용할 때는 다음 세 가지 주요 사항을 염두에 두어야 합니다.

1. 위협 인텔리전스는 정기적으로, 가급적 실시간으로 업데이트해야 합니다. 최신 TI 및 공격 기법은 보안 팀에게 최적의 탐지 규칙과 기타 사이버 보안 방어 수단에 대한 정보를 제공합니다.
2. 위협 인텔리전스가 사일로화되어서는 안 됩니다. 보안 워크플로에 다양한 출처의 TI를 통합하여 가시성과 구현을 보장해야 합니다.
3. 컨텍스트가 매우 중요합니다. 위협 인텔리전스를 활용하는 보안 팀은 산업, 기술 스택, 지역, 비즈니스 규모 등과 가장 관련성이 높은 정보에 의존합니다.

AI 기반 보안 분석으로 SOC를 가속화하는 방법을 배우십시오

위협 인텔리전스는 다양한 소스에서 데이터를 수집하고, 이를 분석하여 잠재적 위협을 식별하고, 잠재적 위협 또는 현재 공격에 대한 실행 가능한 인사이트를 제공합니다.

사이버 보안 팀에서는 분석가가 위협 인텔리전스를 수집하기도 하지만, 보안 실무자가 환경에 통합하는 피드를 통해 수집되는 경우가 더 많습니다. 어느 쪽이든 목표는 위협 데이터를 수집, 분석, 해석하여 위협 인텔리전스 보고서를 작성하는 것입니다.

위협 인텔리전스는 어떻게 수집되나요?

위협 인텔리전스 분석가는 오픈 소스 인텔리전스(OSINT), 정부 및 법 집행 인텔리전스, 상업적 위협 피드, 내부 로그 및 원격 측정, 산업별 정보 공유 및 분석 센터(ISAC) 등 다양한 출처에서 데이터를 수집합니다.

예를 들어, Elastic Security Labs의 연구원들은 2024년에 Elastic의 고유한 텔레메트리에서 10억 개 이상의 데이터 요소를 분석하고 그 결과를 연례 Elastic 글로벌 위협 보고서에서 발표했습니다. 이 보고서의 인사이트를 통해 보안팀은 우선순위를 설정하고 워크플로를 조정하는 데 도움을 받을 수 있습니다.

2024년 Elastic 글로벌 위협 보고서 받기

일반적으로 조직은 비공개 및 공개 소스의 위협 피드를 활용합니다. 각 위협 인텔리전스 피드는 사전 예방적으로 대응할 수 있도록 현재 및 새로운 위협에 대해 알려주는 지속적이고 선별된 데이터 스트림입니다.

일부 조직에서는 자체 보안팀이 위협 인텔리전스 피드에서 데이터를 수집, 정리, 분석 및 해석하지만, 소규모 팀에게는 이러한 작업이 어려울 수 있습니다. 대량의 위협 인텔리전스 데이터를 수동으로 집계하고 관리하는 대신 위협 인텔리전스 플랫폼(TIP)을 활용할 수 있습니다. TIP은 다양한 형식의 여러 소스에서 데이터를 쉽게 수집하고 준비할 수 있는 사이버 보안 도구입니다. 모든 IoC에 대한 통합된 뷰와 검색, 정렬, 필터링, 보강 및 조치 기능을 갖춘 TIP은 인텔리전스 분석가가 보고된 위협을 신속하게 발견하고 조치를 취할 수 있도록 도와줍니다.

보안 리더는 TIP를 선택할 때 다음과 같은 주요 기능을 고려합니다.

• 데이터 수집의 용이성 및 주요 위협 인텔리전스 제공업체와의 광범위한 위협 인텔리전스 통합
• Log4j, BLISTER 또는 CUBA와 같은 중요하고 널리 사용되는 취약점에 대한 자동 가시성
• 모든 활성 IoC에 액세스할 수 있는 단일화된 중앙 집중식 보기
• IoC를 실시간으로 검색, 정렬 및 필터링하는 기능

위협 인텔리전스는 어떻게 사용되나요?

위협 인텔리전스는 조직이 기존 및 새로운 위협에 대한 데이터를 활용해 역량을 강화하고 보다 능동적인 방어 시스템을 구축할 수 있도록 지원합니다. 위협 인텔리전스를 사용할 수 있는 가장 일반적인 방법은 다음과 같습니다.

• 잠재적 위협 식별: 위협 인텔리전스 분석가는 위협 피드를 모니터링하고 데이터를 분석하여 새로운 위협, 공격 벡터 또는 악의적인 행위자를 사전에 탐지할 수 있습니다.
• IoC 조사: 위협 인텔리전스 분석가는 실시간으로 IoC를 조사할 수 있습니다. 컨텍스트 인사이트를 추가하면 활성 공격을 더 빠르게 탐지하고 차단할 수 있습니다.
• 취약점 우선 순위 지정: TI는 심층적인 컨텍스트 인사이트를 활용하고 위험 및 잠재적 영향을 기준으로 취약점에 순위를 매기므로 즉각적인 주의가 필요한 취약점에 집중할 수 있습니다.
• 인시던트 탐지 및 대응: 위협 인텔리전스는 현재 환경에서 활동 중인 위협을 식별하여 보안 팀이 정보에 기반해 즉시 조처할 수 있도록 지원합니다.
• 보안 전략 개발: 조직은 잠재적 위협과 기존 위협에 대한 개요를 통해 보다 강력한 사이버 보안 전략을 수립할 수 있습니다.

보안 팀은 사이버 보안 위협을 식별하고 예방하는 데 있어 조직의 가시성, 역량 및 전문성을 TI를 사용하여 평가합니다. 보안 리더는 다음과 같은 질문에 답하기 위해 TI를 사용합니다. 기존 위협 및 새로운 위협이 식별된 조직의 환경에 어떤 영향을 미치는가? 이 정보가 조직의 위험 프로필을 변경하거나 위험 분석에 영향을 주는가? 직의 보안 팀은 제어, 탐지 또는 워크플로우를 어떻게 조정해야 하는가?

TI는 이해관계자, 컨텍스트, 위협 분석의 복잡성에 따라 전략적, 전술적, 운영, 기술적 위협 인텔리전스의 네 가지 범주로 분류됩니다.

전략적 위협 인텔리전스

전략적 위협 인텔리전스는 위협 환경과 그것이 조직에 미칠 수 있는 잠재적이고 장기적 영향에 대한 개요를 제공합니다. 지정학적 사건, 광범위한 업계 동향, 표적 사이버 보안 위협에 대한 정보가 여기에 포함될 수 있습니다.

목표: 위험 관리, 장기 계획, 전략적 보안 및 비즈니스 의사 결정

이해관계자: 최고 경영진

전술적 위협 인텔리전스

전술적 위협 인텔리전스는 위협 행위자가 사용하는 TTP에 대해 상세한 정보를 제공합니다. 조직이 표적될 수 있는 공격과 이에 가장 효과적으로 방어하는 방법을 설명합니다.

목표: 방어/엔드포인트, 보안 관리, 보안 제어 의사 결정

이해 관계자: SOC 및 IT 리더

운영 위협 인텔리전스

운영 위협 인텔리전스는 조직에 보다 적극적인 방어 체계를 구축합니다. 비즈니스를 표적으로 삼을 가능성이 가장 높은 특정 위협 행위자, 악용될 가능성이 있는 취약점 또는 표적이 될 수 있는 자산에 대한 인사이트를 제공합니다.

목표: 취약점 관리, 사고 탐지, 위협 모니터링

이해관계자: SOC 분석가, 위협 추적자

기술적 위협 인텔리전스

기술적 위협 인텔리전스는 일반적으로 IoC에 중점을 두고 진행 중인 공격을 탐지하고 대응하는 데 도움을 줍니다. 이러한 유형의 인텔리전스는 변화하는 보안 환경에 지속적으로 적응하며 가장 쉽게 자동화할 수 있습니다.

목표: 인시던트 대응

이해관계자: SOC 분석가, 사고 대응자

위협 인텔리전스 라이프사이클은 원시 위협 데이터를 실행 가능한 인사이트로 전환하는 프레임워크입니다. 이러한 프레임워크를 통해 조직이 리소스를 최적화하고, 지속적으로 진화하는 위협 환경에 대한 경계를 늦추지 않을 수 있습니다.

위협 인텔리전스 라이프사이클은 일반적으로 지속적인 프로세스 개선을 위해 반복되는 6단계로 구성됩니다.

1. 계획. 전체 위협 인텔리전스 프로그램의 성공을 위해서는 명확한 목표를 설정하는 것이 중요합니다. 이 단계에서 팀은 필요한 목표, 프로세스 및 도구를 결정하고, 이러한 목표가 비즈니스 및 다양한 이해 관계자의 요구 사항(위험 및 취약성 포함)을 충족하는지 여부를 판단해야 합니다.
2. 데이터 수집. 목표를 설정한 후에는 이제 다양한 소스에서 데이터를 수집할 차례입니다.
3. 처리. 여러 소스에서 가져온 데이터는 형식이 다를 가능성이 높습니다. 이 단계에서 보안 팀은 원시 위협 데이터를 활용 가능한 형식으로 정규화합니다.
4. 분석. 처리된 데이터는 분석할 준비가 되었습니다. 팀은 계획 단계에서 제기한 질문에 대한 답을 찾고, 패턴을 파악하고, 잠재적 영향을 평가하고, 데이터를 의사 결정자와 이해 관계자를 위한 실행 가능한 인사이트로 변환합니다.
5. 보고. 이 단계에서 보안 팀은 분석 결과를 SOC 내에서 또는 경영진과 공유합니다.
6. 피드백. 이 단계에서 피드백이 수집되면서 위협 인텔리전스 라이프사이클이 개선됩니다. 우선 순위가 변경되고 위협이 진화할 수 있으며, TI 프로그램의 효율성을 보장하기 위해 조정 및 변경이 이루어져야 합니다.

TI 라이프사이클은 위협 인텔리전스 분석가와 그들의 지식에 의존하지만, 위협 인텔리전스 보고처럼 시간이 많이 소요되는 일부 단계는 자동화할 수 있습니다. Elastic은 위협 인텔리전스 보고서 작성 프로세스를 돕기 위해 Elastic AI Assistant for Security를 사용해 간소화된 접근 방식을 제공합니다. 이 솔루션은 마크다운 템플릿과 Elastic AI Assistant의 지식 기반을 사용합니다.

Elastic AI Assistant를 사용하여 위협 인텔리전스 Elastic 보고를 간소화하는 방법 자세히 알아보기

위협 인텔리전스는 조직의 SecOps 워크플로우를 강화해야 합니다. TI는 팀의 보안 스택 내 도구와 통합할 때 가장 효과적입니다. 다양한 소스의 위협 데이터를 보안 플랫폼으로 직접 가져와 통합 분석 및 탐지 워크플로우를 위한 자동화된 시스템의 일부로 사용하는 것이 가장 좋습니다.

효과적인 보안 프로그램에는 도구 외에도 위협에 대응하고 관리하기 위한 워크플로우가 포함됩니다. 이러한 워크플로우는 보안 사고를 식별하고 대응하는 데 반드시 필요합니다. Elastic의 탐지 엔지니어링 행동 성숙도 모델(DEBMM)은 보안 팀이 프로세스와 행동을 일관되게 성숙시킬 수 있도록 구조화된 접근 방식을 제공하며, 위협 인텔리전스는 그 핵심 요소 중 하나입니다. 보안 팀이 탐지 규칙의 효과성과 정확성을 보장하려면 양질의 데이터 소스를 확보하는 것이 중요합니다. 여기에는 TI 워크플로우를 통합하여 원격 분석 데이터를 관련 위협 컨텍스트로 보강하고 전반적인 탐지 기능을 개선하는 것이 포함됩니다.

잘 통합된 위협 인텔리전스 프로그램은 위협 데이터를 조직의 보안 인프라로 더 쉽게 가져와 팀이 위협을 더 빠르게 탐지하고 대응하는 데 도움이 되는 더 많은 인사이트를 제공합니다.

보안 운영을 현대화하는 방법을 배우십시오

• Elastic Security for Threat Intelligence
• Elastic Security Labs의 위협 연구 살펴보기
• Elastic Security 솔루션
• SecOps란 무엇입니까?
• SIEM이란 무엇인가요?