>
블로그

위협 인텔리전스 수명 주기의 6단계가 팀에 미치는 영향

게시일: 2020년 1월 15일
작성자: 기록된 미래 팀

편집자 주: 앞으로 몇 주에 걸쳐 새로 출간된 인기 도서인 '위협 인텔리전스 핸드북'의 두 번째 버전에서 발췌한 내용을 공유할 예정입니다:보안 인텔리전스 프로그램을 향해 나아가기." 여기서는 2장, "위협 인텔리전스 수명 주기"를 살펴봅니다.

보안 인텔리전스를 향한 여정에서 보안 프로세스, 타사 위험 관리 프로그램, 브랜드 보호 전략에 포괄적인 실시간 인텔리전스를 긴밀하게 통합해야 합니다. 그렇다면 조직에 진정한 가치를 더하는 위협 인텔리전스를 개발하려면 어떻게 해야 할까요? 그리고 보안 기능 전반의 팀에서 제공하는 인텔리전스를 어떻게 실행 가능한 것으로 보장할 수 있을까요?

이러한 질문에 답하려면 위협 인텔리전스 생산을 특정 시점의 작업이 아닌 다단계의 주기적인 프로세스로 보는 것이 중요합니다.

첫째, 사이버 위협 인텔리전스 주기의 목표는 주요 이해관계자가 정의해야 합니다. 이러한 목표는 사용 사례, 우선순위 및 위험에 따라 조직마다 크게 다를 수 있습니다. 여기에서 내부, 기술, 인적 등 다양한 출처에서 데이터를 수집하여 잠재적 및 실제 사이버 위협에 대한 전체적인 상황을 파악해야 합니다. 그런 다음 이 데이터를 처리하여 SOC 인력 배치, 보안 사고 대응, 취약성 관리, 써드파티 위험 분석, 디지털 브랜드 보호, 높은 수준의 보안 의사 결정 등 모든 사람이 시기적절하고 명확하며 실행 가능한 실제 인텔리전스로 전환해야 합니다. 이렇게 완성된 인텔리전스 결과물은 주요 이해관계자에게 전달되며, 이해관계자는 이를 사용하여 향후 인텔리전스 주기를 지속적으로 개선하고 의사 결정 프로세스를 개선할 수 있습니다.

다음은 '위협 인텔리전스 핸드북'에서 발췌한 내용입니다:보안 인텔리전스 프로그램을 향해 나아가기"에서 발췌한 내용을 명확성을 위해 편집 및 압축했습니다. 이 문서에서는 위협 인텔리전스 수명 주기의 6가지 단계를 각각 살펴보고, 위협 인텔리전스의 출처를 검토하고, 위협 인텔리전스 도구와 인간 분석가의 역할을 살펴봅니다.

6단계로 살펴보는 위협 인텔리전스 수명 주기

위협 인텔리전스는 정부 및 군사 기관에서 수십 년 동안 연마한 분석 기술을 기반으로 구축됩니다. 기존의 인텔리전스는 '인텔리전스 주기'를 구성하는 6가지 단계, 즉 방향, 수집, 처리, 분석, 전파, 피드백에 중점을 둡니다.

사이버 위협 인텔리전스 수명 주기란 무엇인가요?

위협 인텔리전스 및 인텔리전스 수명 주기의 6단계.

1. 방향

라이프사이클의 방향 단계는 위협 인텔리전스 프로그램의 목표를 설정하는 단계입니다. 여기에는 이해와 표현이 포함됩니다:

  • 보호해야 하는 정보 자산 및 비즈니스 프로세스
  • 자산 손실 또는 프로세스 중단으로 인한 잠재적 영향
  • 보안 조직이 자산을 보호하고 새로운 위협에대응하는 데 필요한 위협 인텔리전스 유형
  • 보호해야 할 대상에 대한 우선 순위

높은 수준의 인텔리전스 요구 사항이 결정되면 조직은 정보에 대한 필요성을 개별 요구 사항으로 전환하는 질문을 공식화할 수 있습니다. 예를 들어, 공격 가능성을 파악하는 것이 목표라면 "지하 포럼에서 우리 조직에 관한 데이터를 적극적으로 요청하는 위협 행위자는 누구인가?"라는 논리적 질문을 던질 수 있습니다.

2. 컬렉션

수집은 가장 중요한 정보 요구 사항을 해결하기 위해 정보를 수집하는 프로세스입니다. 정보 수집은 다음과 같은 다양한 수단을 통해 유기적으로 이루어질 수 있습니다:

  • 내부 네트워크 및 보안 장치에서 메타데이터 및 로그 가져오기
  • 업계 조직 및 사이버 보안 공급업체의 위협 데이터 피드 구독하기
  • 지식이 풍부한 취재원과 대화 및 타겟 인터뷰 진행하기
  • 오픈 소스 뉴스 및 블로그 스캔(일반적인 OSINT 관행)
  • 웹사이트 및 포럼 스크래핑 및 수집
  • 다크 웹 포럼과같은 비공개 소스 침투

수집되는 데이터는 일반적으로 사이버 보안 전문가 및 공급업체의 인텔리전스 보고서와 같은 완성된 인텔리전스 정보와 악성코드 서명 또는 붙여넣기 사이트에서 유출된 자격 증명과 같은 원시 데이터의 조합입니다.

3. 처리

처리란 수집된 정보를 조직에서 사용할 수 있는 형식으로 변환하는 것을 말합니다. 수집된 거의 모든 원시 데이터는 사람이든 기계든 어떤 방식으로든 처리되어야 합니다. 수집 방법마다 다른 처리 수단이 필요한 경우가 많습니다. 사람의 신고를 상호 연관시키고 순위를 매기고, 충돌을 해소하고, 확인해야 할 수도 있습니다.

예를 들어 보안 벤더의 보고서에서 IP 주소를 추출하여 보안 정보 및 이벤트 관리(SIEM) 제품으로 가져오기 위해 CSV 파일에 추가할 수 있습니다. 보다 기술적인 영역에서는 이메일에서 지표를 추출하고 다른 정보로 보강한 다음 엔드포인트 보호 도구와 통신하여 자동 차단을 처리할 수 있습니다.

4. 분석

분석은 처리된 정보를 의사 결정에 정보를 제공할 수 있는 인텔리전스로 전환하는 인간의 프로세스입니다. 상황에 따라 잠재적인 신규 위협을 조사할지, 공격을 차단하기 위해 즉시 취할 조치, 보안 제어를 강화하는 방법, 추가 보안 리소스에 대한 투자 타당성 등을 결정해야 할 수도 있습니다.

정보가 표시되는 형식은 특히 중요합니다. 정보를 수집하고 처리한 다음 의사 결정권자가 이해하고 사용할 수 없는 형태로 전달하는 것은 쓸모없고 낭비적인 일입니다. 예를 들어, 비기술적인 리더와 소통하고 싶다면 보고서가 반드시 필요합니다:

  • 간결하게 작성(한 페이지짜리 메모 또는 몇 장의 슬라이드)
  • 혼란스럽고 지나치게 전문적인 용어와 전문 용어를 피하세요.
  • 비즈니스 측면에서 문제를 명확히 설명합니다(예: 직간접 비용 및 평판에 미치는 영향).
  • 권장 행동 방침 포함

일부 정보는 라이브 비디오 피드나 PowerPoint 프레젠테이션 등 다양한 대상에게 다양한 형식으로 전달해야 할 수도 있습니다. 모든 정보를 공식 보고서를 통해 소화할 필요는 없습니다. 성공적인 사이버 위협 인텔리전스 팀은 IOC, 멀웨어, 위협 행위자, 취약성 및 위협 동향에 대한 외부 컨텍스트를 다른 보안 팀에 지속적으로 기술 리포팅을 제공합니다.

5. 보급

배포에는 완성된 인텔리전스 결과물을 필요한 곳에 전달하는 것이 포함됩니다. 대부분의 사이버 보안 조직에는 위협 인텔리전스의 혜택을 받을 수 있는 최소 6개 팀이 있습니다.

이러한 각 대상에 대해 물어봐야 합니다:

  • 어떤 위협 인텔리전스가 필요하며, 외부 정보는 어떻게 이들의 활동을 지원할 수 있을까요?
  • 해당 청중이 쉽게 이해하고 실행할 수 있도록 인텔리전스를 어떻게 제공해야 할까요?
  • 업데이트 및 기타 정보를 얼마나 자주 제공해야 하나요?
  • 어떤 미디어를 통해 정보를 전파해야 하나요?
  • 질문이 있는 경우 어떻게 후속 조치를 취해야 하나요?

6. 피드백

전반적인 인텔리전스 우선순위와 위협 인텔리전스를 소비하게 될 보안 팀의 요구 사항을 이해하는 것이 매우 중요하다고 생각합니다. 위협 인텔리전스 라이프사이클의 모든 단계를 안내하고 요구 사항을 알려줍니다:

  • 수집할 데이터 유형
  • 데이터를 처리하고 보강하여 유용한 정보로 전환하는 방법
  • 정보를 분석하여 실행 가능한 위협 인텔리전스로 제시하는 방법
  • 각 유형의 인텔리전스를 누구에게 배포해야 하는지, 얼마나 빨리 배포해야 하는지, 질문에 얼마나 빨리 응답해야 하는지 결정합니다.

각 그룹의 요구 사항을 이해하고 요구 사항과 우선 순위가 변경됨에 따라 조정하려면 정기적인 피드백이 필요합니다.

사이버 위협 인텔리전스 주기 FAQ

보안 팀에게 사이버 위협 인텔리전스 주기가 중요한 이유는 무엇인가요?

사이버 위협 인텔리전스 주기는 위협 인텔리전스를 수집, 분석, 활용하는 체계적인 방법론을 제공하므로 보안 팀에게 매우 중요합니다. 이 주기는 위협 환경을 더 잘 이해하여 보안 위협에 효율적으로 대비하고 대응하는 데 도움이 됩니다. 이 주기를 통해 사이버 공격에 대한 조직의 보안 태세를 강화하기 위한 정보에 기반한 결정을 내리는 데 중요한 역할을 하는 실행 가능한 인텔리전스가 생성됩니다.

위협 인텔리전스 프로그램을 구현하면 어떤 주요 이점이 있나요?

위협 인텔리전스 프로그램을 구현하면 조직은 잠재적인 보안 위협을 예측, 대비, 완화할 수 있는 역량을 강화할 수 있습니다. 이 프로그램은 위협 인텔리전스 프로세스의 필수적인 부분으로, 위협 행위자와 그들의 전술을 더 깊이 이해할 수 있도록 도와줍니다. 이를 통해 위협 인텔리전스 팀은 사전 방어 조치에 필수적인 완성도 높은 위협 인텔리전스를 제공할 수 있습니다. 또한 위협 인텔리전스 프로그램은 사고 대응 전략을 강화하고 진화하는 위협 환경에 지속적으로 학습하고 적응하는 문화를 조성합니다.

사이버 위협 인텔리전스 주기를 통해 가장 큰 혜택을 받는 조직은 어디일까요?

금융, 의료, 정부 등 고부가가치 데이터를 보유한 분야에서 활동하는 조직은 위협 행위자의 주요 표적이 되는 경우가 많으므로 사이버 위협 인텔리전스 주기의 혜택을 크게 누릴 수 있습니다. 위협 인텔리전스 수명 주기 단계가 정의된 이 주기는 잠재적 위험을 이해하고 완화하는 데 중요한 인텔리전스 수집 및 위협 인텔리전스 분석을 지원합니다. 또한 온라인 인지도가 높은 조직, 가동 시간에 중점을 두는 기업 또는 규정 준수 대상 기업도 복잡한 보안 환경을 탐색하는 데 사이버 위협 인텔리전스 주기가 필수적이라는 사실을 알게 됩니다.

사이버 위협 인텔리전스 주기를 구현할 때 직면하는 일반적인 과제는 무엇인가요?

구현 과정에서 공통적으로 직면하는 과제는 강력한 위협 인텔리전스 플랫폼의 초기 설정, 지속적이고 관련성 있는 인텔리전스 수집 보장, 실행 가능한 인사이트를 생성하기 위한 정확한 데이터 분석 등입니다. 숙련된 인력이 부족하거나 리소스가 충분하지 않으면 위협 인텔리전스 보고서의 효율성이 저하될 수 있습니다. 또한 위협 인텔리전스 분석을 통해 얻은 인사이트를 기존 사고 대응 절차에 통합하고 원활한 정보 흐름을 보장하는 것도 중요한 과제가 될 수 있습니다.

'위협 인텔리전스 핸드북' 받기

이 책의 전체 장에는 유용한 다이어그램, 유용한 메모, 이러한 설명을 효과적인 위협 인텔리전스 프로그램에 적용하기 위한 팁, 위협 데이터에 대한 자세한 정보 등 더 많은 필수 콘텐츠가 포함되어 있습니다.

나머지 내용을 읽으려면 지금 바로 '위협 인텔리전스 핸드북 ' 전문(완전 무료)을 다운로드하세요 .

이 문서는 2020년 1월 15일에 처음 게시되었으며 2024년 2월 5일에 마지막으로 업데이트되었습니다.

관련