사이버 보안 환경에 대한 주요 이해 중 하나는
- 대부분의 공격자가 정교하지 않음
- 자동화된 취약성 스캐너 및 악용 도구를 사용하고 있다는 점.
따라서, 대다수는 전문 해커라기보다는 스크립트 키디일 가능성이 높다.
[최근의 사이버 보안 환경 상태]
* 코인 채굴 소프트웨어
* 탐지 자동화
전문가가 이벤트 로그 봐서 찾아내야 했던 공격의 탐지가 쉬워진다. (노가다를 줄일 수 있다)
과거에는
- SIEM 시스템이 정보분석 / 의심 행위 탐지 수행
- 벤더에 의해 개발된 휴리스틱에 의존
ㄴ 의심스러운 활동 탐지에 효과적
ㄴ 벤더가 의심스러운 활동의 특징을 인지했을 때, 탐지할 수 있는 시스템.
ㄴ 즉, 새로운 활동의 특징을 인지하기 위해서 SIEM 시스템이 새로운 시그니처(벤더에 의해 제공된)를 매번 인식해야 함.
'3. 위협인텔리전스 및 APT' 카테고리의 다른 글
| 러시아 공격 그룹 인텔리전스 (by NIST) (0) | 2022.01.13 |
|---|---|
| ATT&CK D3FEND ENGAGE (0) | 2021.12.20 |
| Playbook 모음 (0) | 2021.12.16 |
| # 아누비스(anubis) : 트로이목마 (0) | 2021.12.16 |
| [MS강의] 1. 기업 보안의 기초 - 레드팀 VS 블루팀 (0) | 2021.03.17 |
