제공
SANS Webcast, SANS DFIR (Digital Forensics & Incident Response), 22.01.20
사이버 위협 인텔리전스란?
- 인텔리전스
정보를 통보하는데(?), 도와주는 분석된 정보
- 사이버 위협 인텔리전스 (Cyber Threat Intelligence)
관계자로부터 정의된 특정 요구사항을 충족하는 공격자의 의도, 기회, 역량에 대한 분석된 정보
(ex. 정부, 기업 등 각 집단이 요구하는 항목 혹은 질문에 CTI가 답이 될 수 있어야 함)
- 위협의 구성요소
- 의도(Intent)
- 기회(Opportunity)
- 역량(Capability)
사이버 위협 인텔리전스를 어떻게 시작할 수 있을까?
발표자의 블로그를 참고하라고 함 (권장하는 리딩 리스트)
https://medium.com/katies-five-cents/a-top-10-reading-list-if-youre-getting-started-in-cyber-threat-intelligence-c11a18fc9798
더 유명한 CTI 리딩 리스트
https://sroberts.medium.com/cti-reading-list-a93ccdd7469c
발표자 블로그에서 가져온 10가지 리딩 리스트
- https://www.dragos.com/wp-content/uploads/Industrial-Control-Threat-Intelligence-Whitepaper.pdf (Dragos에서 제공하는 CTI 백서)
- http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf (침입 분석의 다이아몬드 모델)
- https://www.youtube.com/watch?v=3CUNlgQBwc4 (CTI 명명 규칙)
- https://sector.ca/wp-content/uploads/presentations17/Toni-Gidwani-Does-a-BEAR-Leak-in-the-Woods_14-Nov.pdf (CTI 분석가가 알아야 할 핵심 사항)
- https://github.com/aptnotes/ (APT 그룹 분석 자료 ⇒ 매우 좋은 듯)
- Psychology of Intelligence Analysis by Heuer
- Threat Intelligence: Collecting, Analysing, Evaluating
권장 도서 (한글로 출판된 도서는 한글명으로 작성함)
- 인텔리전스 기반 사고대응 (Intelligence-Driven Incident Response: Outwitting the Adversary 1st Edition) (CTI 교과서, 처음 시작하는 사람이 읽기 좋음)
- Structured Analytic Techniques for Intelligence Analysis; 2nd Edition (지능 분석 심리학 + 구조적 분석 기법)
- The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage (Cliff Stoll : 최초의 CTI 분석가) [반드시 읽어야 한다!]
- Secrets and Lies: Digital Security in a Networked World
- Incident Response & Computer Forensics (이거 3판 구글에 돌아다녀요. CTI의 전체 프로세스)
- 실전 악성코드와 멀웨어 분석 (CTI 멀웨어 분석. 멀웨어 리버스 엔지니어링)
- Thwarting Enemies at Home and Abroad: How to Be a Counterintelligence Officer (CTI는 카운터 인텔리전스 분석가이다! 일반 정보 분석가가 아님)
- Dark Territory: The Secret History of Cyber War (미국의 사이버 전쟁 능력 개발의 역사)
CTI 분석 시, 생각하는 방법의 중요성
- CTI 분석과정에서 중요한 것은 세세하게 잘 살펴야한다는 것이다. 아는 것 같다, 많이 본 것 같다고 편견을 갖고 어물쩡 넘어가면 안됨.
- 해결하는 방법
- 인지적 편견을 아는 것
- 구조화된 분석 기술을 사용
- 다르게 생각하는 사람들을 주위에 두기
- 다양성이 중요해
- 다른 관점으로 보는 능력이 필요함
인텔리전스 사이클
- 계획 수립 및 방향
- 수집
- 처리 및 이용(Exploitation)
- 분석 및 생성
- 보급 (Dissemination)
사이클을 통한 피드백
Dissemination ⇒ Planning and Direction
CTI 활용하기
CTI가 어떻게 도움이 될 수 있는건가?
- 다른 팀이 더 나은 결정을 할 수 있도록 도와줌
- Security Operation Center (SOC, 보안운영센터)가 alert 우선순위 하도록 도움
- 어떤 취약점을 패치해야하는지 취약점 관리 팀에게 안내
- 조직이 마주하는 위협들에 대해 리더십을 학습
- 레드팀이 실제 위협 같이 움직이도록 도움
통합된 인텔리전스
- 어떻게 위협 인텔리전스를 부서들과 통합할 수 있을지 배워라
- 비즈니스 보안 책임자, GRC, 3rd party, 아키텍쳐와 함께 통합하려는 영감을 받아라
'3. 위협인텔리전스 및 APT' 카테고리의 다른 글
보안 트렌드 정보 자원 목록 (22.02.24) (0) | 2022.02.24 |
---|---|
여러 가지 색깔의 보안팀 (INFOSEC WHEEL) (0) | 2022.01.20 |
러시아 공격 그룹 인텔리전스 (by NIST) (0) | 2022.01.13 |
ATT&CK D3FEND ENGAGE (0) | 2021.12.20 |
Playbook 모음 (0) | 2021.12.16 |
Uploaded by Notion2Tistory v1.1.0