인텔리전스

인텔리전스 basic

인텔리전스

• 수집한 데이터를 정제하고 분석해 실행할 수 있도록 만든 첩보

인텔리전스 활용 대상

• 사고 관리자, 악성코드 분석가, 리버싱 전문가, 디지털포렌식 전문가 등 사이버보안 관련한 직업을 가진 자

인텔리전스 기반 사고 대응

인텔리전스 기반 사고대응 정의 :

• 첩보를 다양한 방법으로 수집하고 분석해 만든 인텔리전스로 이루어짐
  • → 이 과정에서 사이버위협 인텔리전스가 만들어짐
• 사고의 즉각적 대응 뿐만 아니라, 사후 분석 및 공유를 통한 예비 대응 절차를 수립하는 일임
• 기본적인 인텔리전스 기반 사고 대응 사례 :
  • 침입탐지, 사고 대응 절차 수립하는 일

특징 :

• 도구보다 사고대응 절차에 접근하는 방식의 변화가 더 중요함
  • → 인텔리전스 사고 대응은 네트워크 상의 위협을 근절하는 데 도움이 될 뿐 아니라 향후 이러한 대응을 개선하기위해 전체 정보보호 절차를 강화하는 데도 도움이 됨

사이버위협 인텔리전스(CTI)

• 사이버위협 인텔리전스는 공격자를 이해하기 위한 목적으로 쳬계화된 분석 절차를 적용하는 것이다.
• 기존 인텔리전스 절차와 개념을 적용해 전반적인 정보보호 절차를 만드는 일을 포함한다.

최초의 사이버위협 인텔리전스

• 구 소련 KGB 의 자금 지원을 받는 서독 해커들이 전 세계 300여 기관에 불법적인 접근을 시도해 군사기밀을 탈취한 사건
• 공격 징후 프로파일을 통해 공격자가 사용한 명령어, 공격 시간대 및 활동 패턴 학습 → 공격자가 GNU Emacs의 취약점을 이용했음을 알아냄
• 시사점
  • 공격자를 이해한다는 것은 네트워크를 보호하거나 다음 목표를 확인하고 대응할 수 있다는 것을 의미함

현대의 사이버위협 인텔리전스

• 공격자를 파악하는 것이 사고 대응의 중요 요소임
• 위협 인텔리전스는 공격자의 능력, 동기, 목표를 분석하는 것
• 공격자 데이터 뿐만 아니라, 해당 분석 결과를 의미 있게 보고 및 전달하여 사고 행동을 규격화 하는 것도 포함

사이버 위협 인텔리전스 사례

SMN 작전

• Axiom으로 알려진 해커집단이 6년 여 가량 포춘지가 선정한 500대 기업과 언론인, 비정부 기구 등 다양한 조직의 기밀 정보를 탈취
• 피해를 본 조직은 일종을 사이버 위협 인텔리전스 체계를 구축하여, 악성코드를 탐지하고 사고 대응 절차를 수립하여 연구 → 정보 교환을 통해 해커 그룹의 행동을 패턴화하여 인텔리전스를 구축하고 추가 피해를 최소화

오로라 작전

• Axiom 그룹이 밝혀지기 몇 년 전의 유사한 사례
• 첨단 기술 분야 뿐만 아니라 방위산업체, 화학분야 및 중국의 반체제인사들에 영향을 미침
• 패턴과 동기는 SMN과 유사
• 30 여개의 회사가 연대하여 사이버위협 인텔리전스를 구축함

사이버 위협 사례

TV5Mond

• 2015년 4월 프랑스 TV5Mond에 대한 테러리스트의 사이버 공격
• 11개 TV채널 장애, 소설 미디어 사이트 장악

Primera Blue Cross

• 2015년 3월 미국 건강 보험사 Primera Blue Cross 데이터 침해
• 공격을 발견하지 못한 사례
  • 해커는 2014년 5월에 공격
  • 공격 사실은 2015년 1월까지 발견하지 못함
• 1,100만 명의 개인정보 및 건강 데이터 노출
• 2015년 2월 Anthem에도 유사한 공격 발생

사이버 위협 인텔리전스 사례를 통한 시사점

• 공격자는 계속 진화하고 있음
• 탐지되지 않고 장기간 활동한 사례 발견
• 인텔리전스 기반 사고 대응을 통해 공격자의 동기와 절차 및 행위를 파악해야 함 → 공격자를 더 많이 알수록 공격자의 행위를 탐지하거나 대응할 수 있음
• 모든 경우에 적용할 수 있는 인텔리전스는 없음 → 조직 스스로 어떤 모델과 접근 방식이 가장 잘 맞는지 결정 → 조직에 적합한 인텔리전스 기반 사고 대응 절차 개발 필요

인텔리전스 기본 원리

인텔리전스의 기본 전제

• 의사 결정에 영향을 미칠 평가 분석 결과를 제공하기 위하여 외부 첩보를 입수하여 기존의 요구사항(시스템)과 비교 분석하는 것이 전제로 필요함
• 개인 뿐 만 아니라 더 높은 차원의 단체나 조직, 정부 차원의 검토 필요

데이터 vs 인텔리전스 차이

• 데이터 :
  • 첩보, 사실, 통계 등으로 무언가를 설명하는 것
• 인텔리전스 :
  • 다양한 데이터를 수집하여 분석함으로써 도출된 결과

ex) 기상 예보에서 온도 정보는 데이터로 분류되며 온도, 활동 시간, 전후 사정 등의 추가 분석 결과를 착용해야하는 겉옷의 종류 등을 예측한 결과는 인텔리전스로 분류

침해 지표(IOC : Indicator of Compromise)

• 침해 지표는 시스템이나 네트워크 로그에서 침해가 발생했다는 사실을 알려주기 위한 지표
• 가장 일반적인 유형의 기술 인텔리전스 중 하나이다
• 위협 인텔리전스의 하위 범주
  • • IOC, 공격자의 TTP(Tactics, Techniques, Processes)ref. 위협 인텔리전스의 핵심 요소