사이버 위협 인텔리전스는 조직의 시스템에 대한 현재 또는 미래의 사이버 공격을 식별하는 데 사용되는 정보입니다. 기업은 위협 인텔리전스 피드 및 서비스를 구독하여 현재 멀웨어 또는 위협 캠페인에 대해 자세히 알아보고 회사, 직원 및 고객에 대한 잠재적 위협을 식별하는 서비스를 활용할 수 있습니다.
사이버 위협 인텔리전스는 현재 위협 환경과 기업이 직면할 수 있는 잠재적인 사이버 공격에 대한 인사이트를 제공합니다. 또한 조직이 이미 경험한 침입 및 기타 보안 사고에 대한 정보도 포함할 수 있습니다.
위협 인텔리전스는 조직이 한정된 사이버 보안 리소스를 할당하여 조직의 잠재적 이익을 극대화하는 데 핵심적인 역할을 합니다.
기업은 현재 위협 캠페인에 대한 지식을 바탕으로 방어 체계를 조정하여 향후 사이버 공격을 식별하고 차단할 수 있는 잠재력을 극대화할 수 있습니다. 또한 위협 인텔리전스는 기업의 시스템에 대한 과거 침입을 식별하고 비즈니스와 고객에게 미칠 수 있는 잠재적 영향을 측정하는 데 유용합니다.
사이버 위협 인텔리전스에는 비즈니스가 직면한 잠재적인 사이버 위협과 이에 대처하는 방법을 알리는 데 도움이 될 수 있는 모든 정보가 포함됩니다. 대부분의 위협 인텔리전스는 최신 사이버 공격과 활성 멀웨어 변종을 다루고 있습니다.
그러나 조직은 브랜드에 대한 위험이나 과거 데이터 침해로 인해 유출된 데이터에 대한 정보를 제공하는 보다 타깃화된 유형의 위협 인텔리전스에 액세스할 수도 있습니다.
기술 위협 인텔리전스 데이터의 대부분은 다양한 위협 행위자가 사용하는 TTP와 관련이 있습니다. 새로운 멀웨어 또는 사이버 공격 캠페인이 탐지되면 보안 연구원들은 이러한 위협을 식별하는 데 사용할 수 있는 공격 지표(IoA)와 침해 지표 (IoC)를 수집하여 배포합니다.
예를 들어 전략적 위협 인텔리전스 피드에는 새로운 멀웨어 변종에 대한 파일 해시, 알려진 사이버 공격 캠페인과 관련된 IP 주소 및 도메인 이름이 포함될 수 있습니다.
조직은 전술적 위협 인텔리전스 피드를 구독하여 이 정보를 수집하고 보안 솔루션에 제공할 수 있습니다. 또한 이 데이터를 필터링하거나 개인화하여 조직이 직면할 가능성이 가장 높은 관련 위협을 식별할 수도 있습니다:
조직은 이 보다 타깃화된 위협 인텔리전스를 활용하여 직면할 가능성이 있는 위협의 유형과 이를 가장 효과적으로 방어할 수 있는 방법을 보다 정확하게 평가할 수 있습니다.
사이버 범죄자들은 일반적으로 피싱 공격에 유사한 이메일 주소와 웹사이트를 사용합니다. 이는 잠재적인 공격이 공격 대상에게 합법적인 것처럼 보이게 하고 브랜드에 대한 공격 대상의 신뢰를 이용하기 위해 고안되었습니다.
이러한 관행은 고객, 벤더, 공급업체 및 기타 파트너에 대한 조직의 평판을 크게 훼손할 수 있습니다.
아래 정보는 조직에 맞춤화된 실행 가능한 위협 인텔리전스로 수집할 수 있습니다:
그런 다음 조직은 이러한 위협으로부터 브랜드를 보호하기 위한 조치를 취할 수 있습니다.
회사에서 위반을 발견하더라도 이를 감지하는 데는 시간이 걸리는 경우가 많습니다.
데이터 유출 보고서 현황에서 IBM과 Ponemon은 빠른 유출 탐지의 비용과 영향을 비교할 때 200일 이내에 탐지된 유출과 200일 이상 소요된 유출을 구분합니다.
어떤 경우에는 회사, 직원 또는 고객 데이터가 다크웹에서 판매되고 나서야 유출 사실을 알게 되는 경우도 있습니다. 침해 모니터링 서비스에서 찾을 수 있는 대상은 다음과 같습니다:
위협 인텔리전스는 기업이 직면할 수 있는 잠재적인 사이버 위협이나 시스템 내에서 아직 파악하지 못한 침해에 대한 인사이트를 제공합니다.
이렇게 다양한 보안 정보는 조직 내에서 수많은 잠재적 활용 가능성을 가지고 있습니다.
전략적 위협 인텔리전스의 가장 일반적인 애플리케이션 중 하나는 지속적인 위협 탐지 및 위협 헌팅을 통해 잠재적인 보안 사고를 식별하는 것입니다. 위협 인텔리전스 피드는 일반적으로 조직이 임박한 공격을 식별 및 차단하거나 시스템 내에서 침입자의 존재를 감지하기 위해 시스템에서 찾을 수 있는 IoC를 제공합니다.
위협 인텔리전스 서비스는 Infinity Global Services의 Assess 필러와 Check Point Research (CPR) 조직의 공동 체크 포인트 팀에서 제공합니다. CPR은 150명 이상의 연구원과 분석가로 구성되어 있습니다. 또한 이 팀은 다른 보안 공급업체, 다양한 CERT 및 법 집행 기관을 포함한 타사와 긴밀하게 협력합니다.
CPR은 다양한 위치에서 위협 인텔리전스 및 기타 데이터를 수집합니다. 여기에는 공개적으로 액세스 가능한 소스, 체크포인트의 쓰렛클라우드(ThreatCloud) AI, 서비스 파트너가 제공하는 외부 솔루션 및 기술, 다크웹에서 수집한 인텔리전스가 포함됩니다.
내부적으로 보안팀은 기업이 진화하는 위협 환경에 발맞출 수 있도록 맞춤형 머신 러닝 모듈, 리버스 엔지니어링, 이상 징후 탐지, 캠페인 헌팅 기술을 개발했습니다.