사이버 위협 인텔리전스
: 기업을 대상으로 하는 사이버 위협을 방지하고 퇴치하는데 쓰이는 자세하고도 실행 가능한 위협 정보
위협 인텔리전스를 이용하면, 효과적인 데이터 기반 조치를 통해 사이버 공격을 사전에 방지, 진행 중인 공격을 효과적으로 탐지하고 대응함
CTI Lifecycle
- 방향 - CTI활동의 목표와 범위 설정
- 수집 - CTI활동을 위한 정보 수집
- 처리 - 수집한 정보를 분석하고 의미 있는 정보로 변환
- 분석 - 수집한 정보를 분석하여 위협을 식별하고 평가
- 배포 - 위협에 대한 정보를 조직 구성원에게 전파
- 피드백 - CTI활동의 효과를 평가하고 개선 사항을 식별
대표 공격 그룹
- Lazarus - 정찰총국 소속으로 알려진 북한 정부가 후원하는 사이버 위협 그룹
- APT42 - 사회공학적 기법을 사용하는 이란정부의 공격 그룹
- Kimsuky(APT43) - 최소 2012년부터 활동해 온 북한 기반의 사이버 간첩 그룹
다른 주목할만한 캠페인으로는 STOLEN PENCIL 작전(2018), Kabar Cobra 작전(2019), Smoke Screen 작전(2019) 등이 있다.
- Cozy Bear(APT29) - 러시아 해외 정보국(SVR)이 소속된 것으로 추정되는 위협 그룹
CTI 관련 조직 및 기관
- KISA, 국정원, 국방부, 금보원..
- 미국 국립안보국, 영국 정보통신보안국, 러시아 연방보안국..
- Mitre, NIST, FIRST, ISAC, CERT..
CTI 관련 기업 및 솔루션
- S2W, FireEye, IBM..
- MISP, OTX, C-TAS, FCTI..
OSINT
: 공개된 출처에서 수집된 정보
- GHDB(Google Hacking Database)
: 구글에서 site, inurl 등 명령어를 통해 검색하면 이를 막아놓지 않은 사이트는 관련된 내용이 검색된다.
- Shodan 사이트(https://www.shodan.io/)
: 시스템 배너 정보로 데이터를 이용해 정보 검색
- Criminal IP
: 기업용 서비스
플랫폼안의 IP 주소 중 인터넷에 노출되어 있는 호스트, 포트가 있는지 검색
딥웹 vs 다크웹
둘다 일반 검색으로 찾을 수 없다.
다크웹 : 보통 나쁜 목적 (tor 네트워크를 통해서 접근 가능)
딥웹 : 나쁜 목적이 아닌 경우도 많다. (ex)특정 대학생들만 이용할 수 있는 포털 시스템, 이메일..)
https://namu.wiki/w/%EB%94%A5%20%EC%9B%B9
C-TAS(Cyber Threat Analysis & Sharing)
: 사이버 위협정보 분석/공유 시스템
- KISA에서 2014년부터 운영하며 위협정보를 공유함
참고
https://www.ibm.com/kr-ko/topics/threat-intelligence
https://flare.io/learn/resources/blog/threat-intelligence-lifecycle/
https://attack.mitre.org/groups/G0032/
'교육 및 자격증 > KISA : CTI, Threat Hunting' 카테고리의 다른 글
| Threat Hunting (0) | 2023.10.27 |
|---|---|
| QUAXAR (0) | 2023.10.27 |
| 정보보호제품군 실습 훈련(활용2) (0) | 2023.10.26 |
