최근 기술 발달로 인해 사이버 공격의 진입 장벽이 낮아지고, 서비스형 랜섬웨어(RaaS) 모델이 확산되면서 위협 행위자들은 더욱 다양한 공격 방식(TTP, 전술, 기법 및 절차)을 사용하고 있습니다. 이러한 변화에 발맞춰 조직은 사이버 위협 인텔리전스를 강화해야 합니다. 위협 인텔리전스는 현재 위협에 대한 실질적인 정보를 제공하고 악의적인 공격으로부터 기업을 보호하는 데 필수적입니다.
위협 인텔리전스 플랫폼이란?
위협 인텔리전스 플랫폼(TIP)은 다양한 출처에서 위협 정보를 수집, 분석 및 통합하는 기술입니다. 이 플랫폼은 조직이 잠재적인 보안 위험을 사전에 파악하고 완화하여 미래의 공격에 대비할 수 있도록 돕습니다. 사이버 위협 인텔리전스는 기업 보안의 핵심 요소로, 최신 사이버 위협 및 취약성을 지속적으로 모니터링함으로써 IT 자산이 손상되기 전에 잠재적인 보안 침해를 감지하고 대응할 수 있도록 합니다.
위협 인텔리전스 플랫폼의 작동 원리
위협 인텔리전스 플랫폼은 오픈 소스 인텔리전스(OSINT), 딥 웹 및 다크 웹, 독점 위협 정보 피드 등 다양한 출처에서 위협 데이터를 수집합니다. 이러한 데이터를 분석하여 패턴, 추세 및 잠재적인 위협을 식별하고, 이를 보안 운영 센터(SOC) 팀 및 기타 보안 시스템과 공유하여 IT 인프라를 보호합니다. 예를 들어, 방화벽, 침입 탐지 시스템(IDS) 및 보안 정보 및 이벤트 관리(SIEM) 시스템 등이 해당됩니다.
위협 인텔리전스 플랫폼의 장점
위협 인텔리전스 플랫폼은 조직에 다양한 이점을 제공합니다.
- 사전 예방적 위협 탐지
- 강화된 보안 태세
- 효율적인 자원 할당
- 간소화된 보안 운영
또한 자동화된 위협 대응, 비용 절감 및 가시성 향상과 같은 추가적인 이점도 제공합니다.
위협 인텔리전스 플랫폼의 주요 기능
위협 인텔리전스 플랫폼의 주요 기능은 다음과 같습니다.
- 다양한 데이터 소스에서 정보를 수집하는 능력
- 실시간 위협 우선순위 지정
- 정밀한 위협 분석
- 딥 웹 및 다크 웹 모니터링
- 공격 및 위협 시각화를 위한 풍부한 그래프 라이브러리 및 데이터베이스
- 기존 보안 도구 및 시스템과의 원활한 통합
- 악성 코드, 피싱 사기 및 악의적 행위자에 대한 심층 조사
최고의 TIP는 다양한 소스와 형식의 위협 정보를 수집, 정규화, 통합 및 구성할 수 있는 능력을 갖추고 있습니다.
자동 초점(AutoFocus)
Palo Alto Networks의 AutoFocus는 클라우드 기반 위협 인텔리전스 플랫폼으로, 추가적인 IT 자원 없이도 중요한 공격을 식별하고, 예비 분석을 수행하며, 상황 개선을 위한 조치를 취할 수 있도록 지원합니다. 이 플랫폼은 회사 네트워크, 산업 전반 및 글로벌 인텔리전스 피드에서 위협 데이터를 수집합니다.
AutoFocus는 Palo Alto Networks의 위협 연구팀인 Unit 42에서 최신 악성 코드 캠페인에 대한 정보를 제공합니다. 위협 보고서는 대시보드를 통해 제공되어 악의적 행위자의 기술, 전술 및 절차(TTP)에 대한 추가적인 가시성을 제공합니다.
주요 특징
- Unit 42 연구 피드는 최신 악성 코드에 대한 정보와 함께 공격자의 전술, 기술 및 절차에 대한 심층적인 가시성을 제공합니다.
- 매일 4,600만 건 이상의 실제 DNS 쿼리를 처리합니다.
- Cisco, Fortinet, CheckPoint 등 타사 소스에서 정보를 수집합니다.
- 개방적이고 유연한 RESTful API를 통해 보안 정보 및 이벤트 관리(SIEM) 도구, 사내 시스템 및 기타 타사 도구에 위협 인텔리전스를 제공합니다.
- 랜섬웨어, 뱅킹 트로이 목마 및 해킹 도구에 대한 사전 구축된 태그 그룹을 제공합니다.
- 사용자 지정 태그를 검색 기준에 따라 생성할 수 있습니다.
- STIX, JSON, TXT, CSV 등 다양한 표준 데이터 형식을 지원합니다.
AutoFocus의 가격은 Palo Alto Networks 웹사이트에 공개되어 있지 않습니다. 견적을 받으려면 회사의 영업팀에 문의해야 합니다. 또한 제품 데모를 요청하여 솔루션의 기능과 기업에 어떻게 활용할 수 있는지 자세히 알아볼 수 있습니다.
ManageEngine Log360
ManageEngine Log360은 네트워크 보안 가시성을 제공하고, Active Directory 변경 사항을 감사하며, Exchange 서버 및 퍼블릭 클라우드 설정을 모니터링하고, 로그 관리를 자동화하는 로그 관리 및 SIEM 도구입니다. Log360은 ADAudit Plus, Event Log Analyzer, M365 Manager Plus, Exchange Reporter Plus 및 Cloud Security Plus를 포함한 5가지 ManageEngine 도구의 기능을 결합했습니다.
Log360 위협 인텔리전스 모듈은 전 세계 악성 IP 데이터베이스와 STIX/TAXII 위협 피드 프로세서를 포함하고 있어, 글로벌 위협 피드에서 데이터를 정기적으로 검색하고 업데이트합니다.
주요 특징
- 클라우드 접근 보안 중개(CASB) 기능 통합으로 클라우드 데이터를 모니터링하고, 섀도우 IT 애플리케이션을 감지하며, 승인된 및 승인되지 않은 애플리케이션을 추적할 수 있습니다.
- 엔터프라이즈 네트워크, 엔드포인트, 방화벽, 웹 서버, 데이터베이스, 스위치, 라우터 및 기타 클라우드 소스에서 위협을 탐지합니다.
- 실시간 사고 감지 및 파일 무결성 모니터링
- MITRE ATT&CK 프레임워크를 사용하여 공격 체인에서 발생하는 위협의 우선순위를 지정합니다.
- 규칙 기반 실시간 상관 관계, 행동 기반 ML 기반 사용자 및 엔티티 행동 분석(UEBA), 서명 기반 MITRE ATT&CK를 포함한 다양한 공격 탐지 방법을 제공합니다.
- eDiscovery, 데이터 위험 평가, 콘텐츠 인식 보호 및 파일 무결성 모니터링을 위한 통합 데이터 손실 방지(DLP) 기능을 제공합니다.
- 실시간 보안 분석
- 통합 규정 준수 관리
Log360은 무료 버전과 전문가 버전의 두 가지 버전으로 제공되며, 하나의 파일로 다운로드할 수 있습니다. 사용자는 30일 평가 기간 동안 프로페셔널 에디션의 고급 기능을 경험할 수 있으며, 평가 기간이 종료되면 무료 에디션으로 전환됩니다.
AlienVault USM
AT&T에서 개발한 AlienVault USM 플랫폼은 위협 탐지, 평가, 사고 대응 및 규정 준수 관리를 하나의 통합 플랫폼에서 제공합니다. 이 솔루션은 전체 위협 환경에서 발견된 다양한 유형의 공격, 새로운 위협, 의심스러운 동작, 취약성 및 익스플로잇에 대해 30분마다 AlienVault Labs로부터 업데이트를 받습니다.
AlienVault USM은 기업 보안 아키텍처에 대한 통합 뷰를 제공하여 온프레미스 또는 원격 위치에서 네트워크 및 장치를 모니터링할 수 있도록 합니다. 또한 SIEM 기능, AWS, Azure 및 GCP용 클라우드 침입 감지, 네트워크 침입 감지(NIDS), 호스트 침입 감지(HIDS), 엔드포인트 감지 및 응답(EDR) 등의 기능을 제공합니다.
주요 특징
- 실시간 봇넷 탐지
- 명령 및 제어(C&C) 트래픽 식별
- 지속적 위협(APT) 탐지
- GDPR, PCI DSS, HIPAA, SOC 2 및 ISO 27001과 같은 다양한 산업 표준을 준수합니다.
- 네트워크 및 호스트 IDS 서명 제공
- 중앙 집중식 이벤트 및 로그 데이터 수집
- 데이터 유출 감지
- AWS, Microsoft Azure, Microsoft Hyper-V 및 VMWare를 포함한 단일 창에서 클라우드 및 온프레미스 환경을 모니터링합니다.
이 솔루션의 가격은 필수 플랜의 경우 월 $1,075부터 시작합니다. 잠재 구매자는 14일 무료 평가판에 등록하여 도구의 기능에 대해 자세히 알아볼 수 있습니다.
Qualys 위협 보호
Qualys Threat Protection은 고급 위협 보호 및 대응 기능을 제공하는 클라우드 기반 서비스입니다. 이 서비스는 취약점에 대한 실시간 위협 지표를 제공하며, Qualys 및 외부 소스에서 발견한 결과를 매핑하고 외부 위협 정보를 취약점 및 IT 자산 인벤토리와 지속적으로 연결시킵니다.
Qualys 위협 보호를 사용하면 위젯 및 검색 쿼리를 기반으로 사용자 정의 대시보드를 수동으로 생성하고, 검색 결과를 정렬, 필터링 및 세분화할 수 있습니다.
주요 특징
- 중앙 집중식 제어 및 시각화 패널 제공
- 취약점 공개 라이브 피드를 제공합니다.
- 제로데이 공격, 공개된 익스플로잇, 활성 공격, 높은 측면 이동, 대규모 데이터 손실, 서비스 거부(DoS) 공격, 악성 코드, 패치 부족, 익스플로잇 키트 및 쉬운 익스플로잇에 대한 실시간 위협 지표(RTI)를 제공합니다.
- 특정 자산 및 취약점을 찾기 위한 임시 쿼리를 생성할 수 있는 검색 엔진을 포함합니다.
- 외부 위협 정보를 취약성 및 IT 자산 인벤토리와 지속적으로 연결시킵니다.
Qualys는 구매자가 구매 결정을 내리기 전에 도구의 기능을 탐색할 수 있도록 30일 무료 평가판을 제공합니다.
SOCRadar
SOCRadar는 외부 공격 표면 관리(EASM), 디지털 위험 보호 서비스(DRPS) 및 사이버 위협 인텔리전스(CTI)를 결합한 SaaS 기반 확장 위협 인텔리전스(XTI) 플랫폼이라고 설명합니다. 이 플랫폼은 인프라, 네트워크 및 데이터 자산에 대한 가시성을 제공하여 회사의 보안 상태를 개선합니다.
SOCRadar의 기능에는 실시간 위협 인텔리전스, 자동화된 딥 웹 및 다크 웹 스캔, 통합 사고 대응이 포함됩니다.
주요 특징
- 기존 보안 스택 및 SIEM 솔루션(SOAR, EDR, MDR, XDR 등)과 통합됩니다.
- 150개 이상의 피드 소스를 제공합니다.
- 악성 코드, 봇넷, 랜섬웨어, 피싱, 나쁜 평판, 해킹된 웹 사이트, 분산 서비스 거부(DDoS) 공격, 허니팟 및 공격자와 같은 다양한 보안 위험에 대한 정보를 제공합니다.
- 산업 및 지역 기반 모니터링 기능 제공
- MITRE ATT&CK 매핑
- 6,000개 이상의 콤보 목록(자격 증명 및 신용 카드)에 대한 접근을 제공합니다.
- 딥 웹 및 다크 웹 모니터링
- 손상된 자격 증명 탐지
SOCRadar는 SOC 팀용 사이버 위협 인텔리전스(CTI4SOC)와 확장 위협 인텔리전스(XTI)의 두 가지 버전을 제공합니다. 두 가지 플랜 모두 무료 및 유료 버전으로 제공됩니다. CTI4SOC 플랜은 연간 $9,999부터 시작합니다.
SolarWinds 보안 이벤트 관리자
SolarWinds Security Event Manager(SEM)는 네트워크 장치 및 애플리케이션을 포함하여 사전 구축된 100개 이상의 커넥터에서 이벤트 로그 데이터를 수집, 정규화 및 연결하는 SIEM 플랫폼입니다.
SEM을 사용하면 보안 정책을 효과적으로 관리, 제어 및 모니터링하고 네트워크를 보호할 수 있습니다. 수집된 로그를 실시간으로 분석하고 수집된 정보를 사용하여 기업 인프라에 심각한 피해가 발생하기 전에 문제를 알립니다.
주요 특징
- 24시간 365일 인프라 모니터링
- Atlassian JIRA, Cisco, Microsoft, IBM, Juniper Sophos, Linux 등을 포함한 100개의 사전 구축된 커넥터를 제공합니다.
- 규정 준수 위험 관리 자동화
- 파일 무결성 모니터링을 제공합니다.
- 단일 창에서 로그를 수집하고, 이벤트를 연결하고, 위협 데이터 목록을 모니터링합니다.
- 700개 이상의 상관 관계 규칙이 내장되어 있습니다.
- 보고서를 PDF 또는 CSV 형식으로 내보낼 수 있습니다.
SolarWinds Security Event Manager는 $2,877부터 시작하는 구독 라이선스와 $5,607부터 시작하는 영구 라이선스의 두 가지 옵션이 포함된 30일 무료 평가판을 제공합니다. 이 도구는 로그 및 이벤트 정보를 전송하는 노드 수에 따라 라이선스가 부여됩니다.
Tenable.sc
Nessus Technology를 기반으로 구축된 Tenable.sc는 조직의 보안 태세 및 IT 인프라에 대한 심층적인 통찰력을 제공하는 취약성 관리 플랫폼입니다. IT 환경 전체에서 취약성 데이터를 수집하고 평가하여 시간 경과에 따른 취약성 추세를 분석하고 우선순위를 정하여 시정 조치를 취할 수 있도록 합니다.
Tenable.sc 제품군(Tenable.sc 및 Tenable.sc+)을 사용하면 취약점을 식별, 조사, 우선 순위 지정 및 수정하여 시스템과 데이터를 안전하게 보호할 수 있습니다.
주요 특징
- CERT, NIST, DISA STIG, DHS CDM, FISMA, PCI DSS 및 HIPAA/HITECH와 같은 산업 표준 준수를 간소화합니다.
- 패시브 자산 검색 기능을 통해 서버, 데스크톱, 랩톱, 네트워크 장치, 웹 앱, 가상 머신, 모바일 및 클라우드와 같은 네트워크의 IT 자산을 검색하고 식별할 수 있습니다.
- Tenable Research 팀은 조직을 보호하는 데 도움이 되는 최신 취약성 검사, 제로데이 연구 및 구성 벤치마크에 대한 업데이트를 자주 제공합니다.
- 67,000개 이상의 CVE(Common Vulnerabilities and Exposures) 라이브러리를 유지 관리합니다.
- 봇넷 및 명령 및 제어 트래픽의 실시간 탐지
- Tenable.sc 디렉터에는 모든 Tenable.sc 콘솔에서 네트워크를 보고 관리하는 데 도움이 되는 단일 창이 포함되어 있습니다.
Tenable.sc는 연간 라이선스가 부여되며 자산당 1년 라이선스는 $5,364.25부터 시작합니다. 다년 라이선스를 구매하면 비용을 절약할 수 있습니다.
결론
이 가이드에서는 7가지 위협 인텔리전스 플랫폼과 각 플랫폼의 뛰어난 기능에 대해 자세히 분석했습니다. 최적의 옵션은 각자의 위협 인텔리전스 요구 사항 및 선호도에 따라 달라집니다. 특정 도구를 선택하기 전에 제품 데모를 요청하거나 무료 평가판에 가입하여 도구를 테스트하고 회사 목적에 적합한지 확인할 수 있습니다. 마지막으로, 선택한 플랫폼이 고품질 지원을 제공하고 위협 피드 업데이트를 얼마나 자주 제공하는지 확인하는 것이 중요합니다.
다음 단계로는 사이버 공격 시뮬레이션 도구에 대해 알아보는 것이 유익할 수 있습니다.