위협 인텔리전스(TI, Threat Intelligence)

[개념]

• 데이터 기반의 사이버 보안 의사결정을 신속하고 정확하게 수행하기 위한 데이터 중심의 접근 방식
• 발생할 수 있는 사이버 위협을 사전에 예측하고 대응
• 계획 > 수집 > 처리 > 분석 > 배포 > 피드백의 프로세스에 따라 생성하고 활용
• 잠재적 위험 요소를 식별하고 데이터에 기반한 보안 의사결정을 지원
• 조직이 동적 위협 환경으로부터 보다 잘 방어해 줄 전략과 전술의 우선 순위를 지정하는 데 도움

[사용해야하는 이유]

• 탐지한 위협이나 이벤트(Event, 이상징후) 처리에 오탐(False Positive)과 다른 이벤트와의 상관관계 분석이 어렵운 문제
• 문제를 보완 하고자 통합 분석·관리 시스템(SIME, ESM)을 함께 운용
• SIEM/ESM 분석 방법 : 보안시스템에서 수집한 로그, 이벤트 등 다양한 데이터에서 가장 의심되는 이벤트를 트리거 포인트(Triiger Pint, 공격 행위 지점)하여 분석
• 지능형 공격은 보안시스템을 우회하여 트리거 포인트로 삼을 만한 이벤트가 없거나, 제한적 임
• 이벤트를 특정하기 위해서는 데이터의 속성을 밝히는 메타 데이터(Meta Data)를 활용해야 하지만 대량의 데이터이기 때문에 실질적으로 어려움
• '위협 인텔리전스(TI)' 활용시 메타 데이터(대량의 데이터)에서 위협으로 감지되는 이벤트를 생성후 분석, 판단하여 트리거 포인트를 다각화 가능

[사이버 킬 체인]

다각화 한다는 것은 '사이버 킬 체인 과정들 마다 위험 요소를 제거하여 공격의 연결고리를 차단'하여 방어 한다라는 뜻

 

[참고]

[EQST insight] 위협 인텔리전스(Threat Intelligence)를 말하다 : 네이버 블로그