위협 인텔리전스란 무엇일까요?

위협 인텔리전스 또는 사이버 위협 인텔리전스(CTI)는 기업과 개인을 위해 디지털 보안에 대한 현재 및 새로운 위협에 대한 정보를 수집, 분석 및 배포하는 분야입니다. 위협 인텔리전스는 다양한 종류의 랜섬웨어, 멀웨어, 피싱 공격, APT(Advanced Persistent Threat), DoS 공격, 소프트웨어 악용 및 취약점, 내부자 위협, 제로데이 악용, 공급망 공격, 봇넷 등 전체 사이버 보안 위협 환경에 대한 인사이트를 제공합니다.

위협 인텔리전스는 공격 표면을 줄이고 멀티레이어 사이버 보안 방어 체계를 배포하기 위한 노력의 중요한 부분입니다. 기업이 위협의 리스크를 이해하는 데 도움이 되며, 사이버 공격이 발생하기 전에 보안팀이 예측, 식별 및 방어하는 데 도움이 됩니다.

위협 인텔리전스는 다양한 소스에서 수집된 정보를 기반으로 합니다.

• OSINT(오픈 소스 인텔리전스)는 새로운 위협을 식별하는 데 사용할 수 있는 공개된 데이터입니다.
• 다크 웹 포럼과 사이트는 공격자가 사이버 공격에 대한 데이터, 코드, 툴을 구매 및 판매하고 향후 악용에 대해 논의하는 곳입니다. 이러한 사이트를 모니터링하면 기업이 다음에 직면할 수 있는 위협을 식별하는 데 도움이 될 수 있습니다.
• 표면 웹의 소셜 미디어 사이트는 공격자의 활동을 모니터링하는 유익한 소스이기도 합니다.
• IOC(Indicator of Compromise)는 악성 URL, IP 주소, 멀웨어  시그니처와 같은 것으로, 보안 솔루션에 트래픽과 활동을 모니터링할 때 확인해야 할 사항을 알려줍니다.
• 인시던트 보고서 및 로그는 과거 공격, 잠재적 취약점, 의심스러운 활동에 대한 인사이트를 제공합니다.

위협 인텔리전스를 위한 원시 데이터 수집이 완료되면 머신 러닝과 자동화를 활용하는 사이버 보안 전문가가 정보를 분석해 관련성과 실행 가능성을 모두 보장합니다. 이 프로세스는 실제 위협을 식별하고 보안팀의 주의를 분산시키고 알림 피로를 유발할 수 있는 오탐률을 폐기하는 데 매우 중요합니다. 위협의 맥락과 정보의 신뢰성 및 신뢰성을 분석한 후에는 위협 인텔리전스를 기업과 보안팀에 배포해 의사 결정 및 사이버 보안 전략에 정보를 제공할 수 있습니다.

사이버 공격은 기업의 운영을 방해하고, 평판을 훼손하고, 생산성을 저해하고, 중요한 지적 재산을 유출하고, 비즈니스 기회와 수백만 달러의 손실을 초래할 수 있습니다. 위협 인텔리전스는 사이버 위협을 방어하는 데 중요한 역할을 합니다.

• 사전 예방적 보안 체계: 위협 인텔리전스는 기업이 강력한 위협 관리 프로그램과 사전 예방적 보안 체계를 유지하는 데 도움이 됩니다. 위협 인텔리전스는 팀이 DNS 보안을 개선하고, 랜섬웨어 방어를 강화하고, 취약점 악용에 대비하고, API 엔드포인트를 보호하는 데 도움이 됩니다. 사이버 위협이 진화함에 따라 보안 팀과 기업은 위협 인텔리전스를 통해 공격이 발생한 후에 단순히 대응하는 대신 새로운 공격 기법에 몇 단계 앞서 대응할 수 있습니다.
• 상황 인식 향상: 보안 팀은 위협 인텔리전스 툴을 통해 현재 사이버 위협 환경과 공격자가 사용하는 기법, 기술, 절차(TTP)에 대한 심층적인 이해를 얻을 수 있습니다.
• 향상된 인시던트 대응: 모든 공격을 방어하는 것은 불가능하기 때문에 기업은 위협을 신속하게 탐지하고, 해결을 가속하고, 피해를 최소화하고, 데이터와 시스템을 최대한 빨리 온라인으로 되돌릴 수 있는 우수한 인시던트 대응 계획을 마련해야 합니다.
• 개선된 리스크 관리: 위협 인텔리전스는 기업의 리더들이 리스크 관리에 관한 보다 스마트한 전략을 개발할 수 있도록 지원합니다.
• 개선된 규제 컴플라이언스: 위협 인텔리전스 프로그램은 기업이 특정 수준의 보안 보호 및 대비를 의무화하는 규제 프레임워크를 준수할 수 있도록 지원합니다.
• 더욱 스마트한 보안 프로그램: 위협 인텔리전스 서비스를 통해 기업은 IT 환경에 영향을 미칠 가능성이 가장 높은 위협에 맞춰 보안 조치를 조정할 수 있습니다. 우수한 인텔리전스는 보안 제어의 우선순위를 지정하고, 인시던트 대응 계획을 안내하며, 위협 탐색 활동을 표적으로 삼습니다.
• 정보에 입각한 투자: 경영진, 이사회, CISO, CIO와 같은 이해관계자와 의사 결정권자는 보안 솔루션에 대한 투자를 안내하기 위해 위협 인텔리전스를 활용합니다.

위협 인텔리전스는 다양한 채널을 통해 배포됩니다.

• 위협 인텔리전스 플랫폼은 인텔리전스를 실시간으로 통합하고 이해관계자와 보안관제센터(SOC)에 배포합니다. 위협 인텔리전스 플랫폼은 인텔리전스의 수명주기를 관리하고 기업에 중요한 위협, 취약점, IOC에 대한 통합 보기를 제공할 수 있습니다. 위협 인텔리전스 플랫폼은 일반적으로 보안팀이 가장 관련성 높은 데이터를 확보할 수 있도록 인텔리전스를 필터링하고 우선순위를 지정하는 툴을 제공합니다. SIEM(보안 정보 및 이벤트 관리), EDR(엔드포인트 탐지 및 대응), 방화벽과 같은 다른 보안 시스템과의 통합을 통해 기업의 모든 사람이 시기적절하고 포괄적인 위협 정보에 접속할 수 있습니다.
• 사이버 보안 전문가가 게시한 이메일 알림과 게시판은 중요한 취약점이나 지속적인 공격에 대한 최신 인텔리전스에 대한 유용한 인사이트를 제공합니다.
• 자동화된 위협 인텔리전스 피드는 보안 툴과 시스템에 직접 인풋을 제공할 수 있습니다. 위협 데이터 피드를 통해 탐지 방법과 새로운 위협에 대한 대응을 실시간으로 업데이트할 수 있습니다.
• 웹 포털과 대시보드는 실시간 위협 인텔리전스를 볼 수 있는 인터페이스를 제공합니다. 대시보드는 일반적으로 사용자 지정이 가능하기 때문에 보안팀은 기업의 요구사항에 가장 부합하는 인텔리전스 유형에 집중할 수 있습니다.
• 보안 분석가가 작성한 보고서와 백서는 보안 팀이 복잡한 위협을 이해하고 장기적인 전략을 개발하는 데 도움이 되는 심층적인 인텔리전스를 제공합니다.

위협 인텔리전스는 네 가지 주요 범주로 나뉩니다.

• 전술적 위협 인텔리전스는 위협의 즉각적인 기술적 지표에 초점을 맞춥니다. 멀웨어 서명 및 악성 IP 주소와 같은 지표는 보안팀이 방화벽, 엔드포인트 보호 및 기타 보안 솔루션을 설정하는 데 도움이 될 수 있습니다.
• 운영 위협 인텔리전스는 사이버 공격과 악성 캠페인의 세부 사항과 공격자의 TTP를 파악해 인시던트 대응 계획을 알려줍니다.
• 전략적 위협 인텔리전스는 사이버 위협 환경에 대한 높은 수준의 이해를 제공해 장기적인 의사 결정 및 리스크 관리에 유용한 인사이트를 제공합니다.
• 기술 위협 인텔리전스는 진행 중인 공격에 대한 구체적인 증거를 제공합니다. 여기에는 이메일 콘텐츠 및 피싱 캠페인, 명령 및 제어 서버의 IP 주소 또는 IT 환경 내 미디어에서 발견된 알려진 멀웨어의 코드가 포함될 수 있습니다.

Akamai Security Intelligence Group은 광범위한 전문 지식과 보안 분야를 보유한 세계적인 수준의 연구원, 엔지니어, 전략가, 데이터 과학자로 구성된 글로벌 팀입니다. Akamai의 데이터 소스에는 방대한 Akamai Connected Cloud, 오픈 소스, 써드파티와의 협업, 다크 웹 인텔리전스가 포함됩니다. 또한 리서치 결과를 제공하고 Akamai 보안 솔루션을 최신 상태로 유지하는 데 도움이 되는 자체 알고리즘과 툴을 개발했습니다.