2023년 최고의 위협 인텔리전스 플랫폼 7개

위협 행위자들은 기술 발전으로 진입 장벽이 낮아지고 RaaS(Ransomware as a Service)의 등장으로 문제가 악화되었기 때문에 새로운 공격 방법으로 TTP(수익화 기법, 전술 및 절차)를 다양화하고 있습니다.

조직이 이러한 수준의 정교함에 부합하려면 위협 인텔리전스가 현재 위협에 대한 실행 가능한 정보를 제공하고 악의적인 공격으로부터 기업을 보호하는 데 도움이 되므로 보안 태세의 중요한 부분이 되어야 합니다.

위협 인텔리전스 플랫폼이란 무엇입니까?

위협 인텔리전스 플랫폼(TIP)은 조직이 여러 소스에서 위협 인텔리전스 데이터를 수집, 분석 및 집계할 수 있도록 하는 기술입니다. 이 정보를 통해 기업은 잠재적인 보안 위험을 사전에 식별 및 완화하고 향후 공격을 방어할 수 있습니다.

사이버 위협 인텔리전스는 중요한 엔터프라이즈 보안 구성 요소입니다. 최신 사이버 위협 및 취약성을 모니터링함으로써 조직은 IT 자산이 손상되기 전에 잠재적인 보안 위반을 감지하고 대응할 수 있습니다.

위협 인텔리전스 플랫폼은 어떻게 작동합니까?

위협 인텔리전스 플랫폼은 오픈 소스 인텔리전스(OSINT), 딥 웹 및 다크 웹, 독점 위협 인텔리전스 피드를 비롯한 여러 소스에서 위협 인텔리전스 데이터를 수집하여 기업이 데이터 침해 위험을 완화하도록 지원합니다.

TIP는 데이터를 분석하고 패턴, 추세 및 잠재적 위협을 식별한 다음 이 정보를 SOC 팀 및 방화벽, 침입 탐지 시스템 및 SIEM(보안 정보 및 이벤트 관리) 시스템과 같은 기타 보안 시스템과 공유하여 당신의 IT 인프라.

위협 인텔리전스 플랫폼의 이점

위협 인텔리전스 플랫폼은 조직에 다음과 같은 다양한 이점을 제공합니다.

  • 선제적 위협 탐지
  • 향상된 보안 태세
  • 더 나은 자원 할당
  • 간소화된 보안 운영

TIP의 다른 장점으로는 자동화된 위협 대응, 비용 절감 및 향상된 가시성이 있습니다.

위협 인텔리전스 플랫폼의 주요 기능

위협 인텔리전스 플랫폼의 주요 기능은 다음과 같습니다.

  • 데이터 수집 기능
  • 실시간 위협 우선 순위 지정
  • 위협 분석
  • 딥 웹 및 다크 웹 모니터링 기능
  • 공격과 위협을 시각화하는 풍부한 그래프 라이브러리 및 데이터베이스
  • 기존 보안 도구 및 시스템과의 통합
  • 맬웨어, 피싱 사기, 악의적 행위자 조사

최고의 TIP는 여러 소스 및 형식에서 위협 인텔리전스 데이터를 수집, 정규화, 집계 및 구성할 수 있습니다.

자동 초점

Palo Alto Networks의 AutoFocus는 추가 IT 리소스 없이도 중요한 공격을 식별하고, 예비 평가를 수행하고, 상황을 개선하기 위한 조치를 취할 수 있는 클라우드 기반 위협 인텔리전스 플랫폼입니다. 이 서비스는 회사 네트워크, 산업 및 글로벌 인텔리전스 피드에서 위협 데이터를 수집합니다.

AutoFocus는 최신 맬웨어 캠페인에 대해 Unit 42(Palo Alto Network 위협 연구 팀)의 정보를 제공합니다. 위협 보고서는 대시보드에서 볼 수 있으므로 악의적인 행위자의 기술, 전술 및 절차(TTP)에 대한 추가적인 가시성을 제공합니다.

주요 특징들

  • 유닛 42 연구 피드는 전술, 기술 및 절차에 대한 정보와 함께 최신 맬웨어에 대한 가시성을 제공합니다.
  • 매일 4,600만 개의 실제 DNS 쿼리 처리
  • Cisco, Fortinet, CheckPoint와 같은 타사 소스에서 정보 수집
  • 이 도구는 개방적이고 민첩한 RESTful API를 통해 보안 정보 및 이벤트 관리(SIEM) 도구, 사내 시스템 및 기타 타사 도구에 위협 인텔리전스를 제공합니다.
  • 랜섬웨어, 뱅킹 트로이 목마 및 해킹 도구에 대한 사전 구축된 태그 그룹 포함
  • 사용자는 검색 기준에 따라 사용자 정의 태그를 생성할 수도 있습니다.
  • STIX, JSON, TXT, CSV 등 다양한 표준 데이터 형식과 호환

이 도구의 가격은 Palo Alto Network 웹사이트에 광고되지 않습니다. 구매자는 견적을 위해 회사 영업팀에 문의해야 하며, 제품 데모를 요청하여 솔루션 기능과 이를 기업에 활용할 수 있는 방법에 대해 자세히 알아볼 수도 있습니다.

ManageEngine Log360

ManageEngine Log360은 회사에 네트워크 보안에 대한 가시성을 제공하고, Active Directory 변경 사항을 감사하고, 교환 서버 및 퍼블릭 클라우드 설정을 모니터링하고, 로그 관리를 자동화하는 로그 관리 및 SIEM 도구입니다.

Log360은 ADAudit Plus, Event Log Analyzer, M365 Manager Plus, Exchange Reporter Plus 및 Cloud Security Plus를 포함한 5가지 ManageEngine 도구의 기능을 결합합니다.

Log360 위협 인텔리전스 모듈에는 글로벌 악성 IP가 포함된 데이터베이스와 글로벌 위협 피드에서 데이터를 자주 검색하고 업데이트하는 STIX/TAXII 위협 피드 프로세서가 포함되어 있습니다.

주요 특징들

  • 통합 CASB(Cloud Access Security Broker) 기능을 포함하여 클라우드의 데이터를 모니터링하고, 섀도우 IT 애플리케이션을 감지하고, 승인 및 승인되지 않은 애플리케이션을 추적할 수 있습니다.
  • 엔터프라이즈 네트워크, 엔드포인트, 방화벽, 웹 서버, 데이터베이스, 스위치, 라우터 및 기타 클라우드 소스에서 위협 탐지
  • 실시간 사고 감지 및 파일 무결성 모니터링
  • MITRE ATT&CK 프레임워크를 사용하여 공격 체인에서 발생하는 위협의 우선 순위 지정
  • 공격 탐지에는 규칙 기반 실시간 상관관계, 행동 기반 ML 기반 사용자 및 엔터티 행동 분석(UEBA), 서명 기반 MITRE ATT&CK가 포함됩니다.
  • eDiscovery, 데이터 위험 평가, 콘텐츠 인식 보호 및 파일 무결성 모니터링을 위한 통합 데이터 손실 방지(DLP) 포함
  • 실시간 보안 분석
  • 통합 컴플라이언스 관리

Log360은 하나의 파일로 다운로드할 수 있으며 무료 버전과 전문가 버전의 두 가지 버전으로 제공됩니다. 사용자는 30일 평가 기간 동안 프로페셔널 에디션의 고급 기능을 경험할 수 있으며, 그 후에 이러한 기능은 무료 에디션으로 전환됩니다.

AlienVault USM

AT&T에서 개발한 AlienVault USM 플랫폼. 이 솔루션은 하나의 통합 플랫폼에서 위협 탐지, 평가, 사고 대응 및 규정 준수 관리를 제공합니다.

AlienVault USM은 전체 위협 환경에서 발견한 다양한 유형의 공격, 새로운 위협, 의심스러운 동작, 취약성 및 익스플로잇에 대해 30분마다 AlienVault Labs로부터 업데이트를 받습니다.

AlienVault USM은 엔터프라이즈 보안 아키텍처에 대한 통합 보기를 제공하여 온프레미스 또는 원격 위치에서 네트워크 및 장치를 모니터링할 수 있도록 합니다. 또한 SIEM 기능, AWS, Azure 및 GCP용 클라우드 침입 감지, NIDS(네트워크 침입 감지), HIDS(호스트 침입 감지), EDR(엔드포인트 감지 및 응답)이 포함됩니다.

주요 특징들

  • 실시간 봇넷 탐지
  • 명령 및 제어(C&C) 트래픽 식별
  • APT(Advanced Persistent Threat) 탐지
  • GDPR, PCI DSS, HIPAA, SOC 2 및 ISO 27001과 같은 다양한 산업 표준을 준수합니다.
  • 네트워크 및 호스트 IDS 서명
  • 중앙 집중식 이벤트 및 로그 데이터 수집
  • 데이터 유출 감지
  • AlientVault는 AWS, Microsoft Azure, Microsoft Hyper-V 및 VMWare를 포함한 단일 창에서 클라우드 및 온프레미스 환경을 모니터링합니다.

이 솔루션의 가격은 필수 플랜의 경우 월 $1,075부터 시작합니다. 잠재 구매자는 14일 무료 평가판에 등록하여 도구의 기능에 대해 자세히 알아볼 수 있습니다.

Qualys 위협 보호

Qualys Threat Protection은 고급 위협 보호 및 대응 기능을 제공하는 클라우드 서비스입니다. 여기에는 취약점에 대한 실시간 위협 지표가 포함되어 있으며 Qualys 및 외부 소스에서 찾은 결과를 매핑하고 외부 위협 정보를 취약점 및 IT 자산 인벤토리와 지속적으로 연관시킵니다.

Qualys 위협 보호를 사용하면 위젯 및 검색 쿼리에서 사용자 지정 대시보드를 수동으로 생성하고 검색 결과를 정렬, 필터링 및 구체화할 수 있습니다.

주요 특징들

  • 중앙 집중식 제어 및 시각화 패널
  • 취약점 공개 라이브 피드 제공
  • 제로 데이 공격, 공개 익스플로잇, 능동적 공격, 높은 측면 이동, 높은 데이터 손실, 서비스 거부, 맬웨어, 패치 없음, 익스플로잇 키트 및 쉬운 익스플로잇에 대한 RTI
  • 임시 쿼리를 생성하여 특정 자산 및 취약점을 찾을 수 있는 검색 엔진을 포함합니다.
  • Qualys 위협 방지는 외부 위협 정보를 취약성 및 IT 자산 인벤토리와 지속적으로 연관시킵니다.

구매자가 구매 결정을 내리기 전에 도구의 기능을 탐색할 수 있도록 30일 무료 평가판을 제공합니다.

SOCRadar

SOCRadar는 외부 공격 표면 관리(EASM), 디지털 위험 보호 서비스(DRPS) 및 사이버 위협 인텔리전스(CTI)를 결합한 SaaS 기반 확장 위협 인텔리전스(XTI) 플랫폼이라고 설명합니다.

이 플랫폼은 인프라, 네트워크 및 데이터 자산에 대한 가시성을 제공하여 회사의 보안 상태를 개선합니다. SOCRadar의 기능에는 실시간 위협 인텔리전스, 자동화된 딥 웹 및 다크 웹 스캔, 통합 사고 대응이 포함됩니다.

주요 특징들

  • SOAR, EDR, MDR, XDR 등의 기존 보안 스택 및 SIEM 솔루션과 통합
  • 150개가 넘는 피드 소스가 있습니다.
  • 이 솔루션은 맬웨어, 봇넷, 랜섬웨어, 피싱, 나쁜 평판, 해킹된 웹 사이트, 분산 서비스 거부 공격(DDOS), 허니팟 및 공격자와 같은 다양한 보안 위험에 대한 정보를 제공합니다.
  • 산업 및 지역 기반 모니터링
  • MITRE ATT 및 CK 매핑
  • 6,000개 이상의 콤보 목록 액세스 권한(자격 증명 및 신용 카드)이 있습니다.
  • 딥 웹 및 다크 웹 모니터링
  • 손상된 자격 증명 탐지

SOCRadar에는 SOC 팀용 사이버 위협 인텔리전스(CTI4SOC)와 확장 위협 인텔리전스(XTI)의 두 가지 버전이 있습니다. 두 계획 모두 무료 및 유료의 두 가지 버전으로 제공됩니다. CTI4SOC 계획은 연간 $9,999부터 시작합니다.

Solarwinds 보안 이벤트 관리자

SolarWinds Security Event Manager는 네트워크 장치 및 애플리케이션을 포함하여 사전 구축된 100개 이상의 커넥터에서 이벤트 로그 데이터를 수집, 정규화 및 연관시키는 SIEM 플랫폼입니다.

SEM을 사용하면 보안 정책을 효과적으로 관리, 관리 및 모니터링하고 네트워크를 보호할 수 있습니다. 수집된 로그를 실시간으로 분석하고 수집된 정보를 사용하여 기업 인프라에 심각한 손상이 발생하기 전에 문제를 알려줍니다.

주요 특징들

  • 24/7 인프라 모니터링
  • SEM에는 Atlassian JIRA, Cisco, Microsoft, IBM, Juniper Sophos, Linux 등을 포함하여 100개의 사전 구축된 커넥터가 있습니다.
  • 규정 준수 위험 관리 자동화
  • SEM에는 파일 무결성 모니터링이 포함됩니다.
  • SEM은 단일 창에서 로그를 수집하고, 이벤트를 연관시키고, 위협 데이터 목록을 모니터링합니다.
  • 플랫폼에는 700개 이상의 상관관계 규칙이 내장되어 있습니다.
  • 사용자는 보고서를 PDF 또는 CSV 형식으로 내보낼 수 있습니다.

Solarwinds Security Event Manager는 $2,877부터 시작하는 구독과 $5,607부터 시작하는 영구 구독의 두 가지 라이선스 옵션이 포함된 30일 무료 평가판을 제공합니다. 이 도구는 로그 및 이벤트 정보를 전송하는 노드 수에 따라 라이센스가 부여됩니다.

Tenable.sc

Nessus Technology를 기반으로 구축된 Tenable.sc는 조직의 보안 태세 및 IT 인프라에 대한 통찰력을 제공하는 취약성 관리 플랫폼입니다. IT 환경 전체에서 취약성 데이터를 수집 및 평가하고, 시간 경과에 따른 취약성 경향을 분석하여 우선순위를 지정하고 시정 조치를 취할 수 있도록 합니다.

Tenable.sc 제품군(Tenanble.sc 및 Tenable.sc+)을 사용하면 취약점을 식별, 조사, 우선 순위 지정 및 수정할 수 있으므로 시스템과 데이터를 보호할 수 있습니다.

주요 특징들

  • CERT, NIST, DISA STIG, DHS CDM, FISMA, PCI DSS 및 HIPAA/HITECH와 같은 산업 표준 준수를 간소화했습니다.
  • 패시브 자산 검색 기능을 통해 서버, 데스크톱, 랩톱, 네트워크 장치, 웹 앱, 가상 머신, 모바일 및 클라우드와 같은 네트워크의 IT 자산을 검색하고 식별할 수 있습니다.
  • Tenable Research 팀은 조직을 보호하는 데 도움이 되는 최신 취약성 검사, 제로 데이 연구 및 구성 벤치마크에 대한 업데이트를 자주 제공합니다.
  • Tenable은 67,000개 이상의 CVE(Common Vulnerabilities and Exposures) 라이브러리를 유지 관리합니다.
  • 봇넷 및 명령 및 제어 트래픽의 실시간 탐지
  • Tenable.sc 디렉터에는 모든 Tenable.sc 콘솔에서 네트워크를 보고 관리하는 데 도움이 되는 단일 창이 포함되어 있습니다.

Tenable.sc는 연간 라이선스가 부여되며 자산당 1년 라이선스는 $5,364.25부터 시작합니다. 다년 라이센스를 구입하면 비용을 절약할 수 있습니다.

결론

이 가이드는 7가지 위협 인텔리전스 플랫폼과 이들의 뛰어난 기능을 분석했습니다. 가장 적합한 옵션은 위협 인텔리전스 요구 사항과 기본 설정에 따라 다릅니다. 특정 도구를 선택하기 전에 제품 데모를 요청하거나 무료 평가판에 가입할 수 있습니다.

이렇게 하면 테스트를 통해 회사의 목적에 도움이 되는지 확인할 수 있습니다. 마지막으로 품질 지원을 제공하고 위협 피드를 업데이트하는 빈도를 확인하십시오.

다음으로 사이버 공격 시뮬레이션 도구를 확인할 수 있습니다.