Fortinet 자격증 FCF - 위협 환경 모듈 파트 Part 2

A. 사이버 보안 위협 개요

1. 사이버 보안 위협(Cyber Security Threat)이란?

네트워크나 컴퓨터 시스템에 해를 끼치는 취약점을 이용하는 행위로 악의적인 행위자는 사아버 보안 위협의 선동자이다. 그들은 목표를 달성하기 위해 다양한 공격 벡터를 이용 사이버 보안 위협은 공격벡터의 하위 집합입니다.

 

공격벡터의 3가지 구성요소

- 취약점
- 취약점을 악용하는 메커니즘 또는 개체
- 취약점에 대한 경로

 

2. 사이버보안 위협의 4가지 범주

 

2-1. 사회 공학(Social Engineering)

심리적 조작을 사용하여 사람들을 속여 기밀 정보 공개와 같이 자신의 최선의 이익에 반하는 행동을 취하도록 하는 행위입니다. 

 

2-2. 악성 소프트웨어(Malware)

컴퓨터 시스템을 방해하거나 손상시키거나 무단으로 액세스하도록 설계된 소프트웨어입니다.

 

2-3. 물리적 장소나 컴퓨터 시스템에 대한 무단 액세스

승인되지 않은 물리적 접근은 승인된 사람이 문을 통과 할 때 따라가는 악의적 행위자가 될 수 있습니다. 이를 테일게이팅이라고 합니다. 승인되지 않은 디지털 액세스는 누군가가 자격 증명을 입력할 때 어깨 너머로 지켜보는 악의적인 행위자가 될 수 있습니다.

 

2-4. 시스템 설계 오류

악의적인 행위자가 컴퓨터 시스템에 액세스하기 위해 악용하는 컴퓨터 시스템이나 응용 프로그램의 보안 결함. 피싱(스피어피싱, 웨일피싱)과 같은 일부 공격 벡터는 약점을 악용하여 컴퓨터 시스템에 발판을 마련하는 데 사용되는 반면, DDoS, 랜섬웨어, 트로이 목마와 같은 다른 공격 벡터는 악용 후 공격에 사용됩니다.

 

 

B. 위협 인텔리전스 (Threat Inteligent) 개요

1. 위협 인텔리전스 (Threat Inteligent)이란? 

해당 위협이나 위험에 대한 주체의 대응에 관한 결정을 알리는 데 사용할수 있는 지식입니다.
이는 자산에 대한 기존 또는 새로운 위협이나 위험에 대한 상황, 메커니즘, 지표, 영향 및 실행 가능한 조언을 포함합니다.

 

2. 위협 인텔리전스의 3가지 특성

1. 관련성이 있고 실행 가능하며 상황에 맞는 정보입니다.
2. 내가 속해있는 조직과 관련이 있어야합니다.
-> 내가 속해 있는 조직에서 Win OS만을 사용한다 했을때 Mac OS관련 정보는 관련이 없습니다.
3. 실행 가능해야 합니다.

 

3. 위협 인테리전스 정보 소스

3-1. 내부소스

위협 인텔리전스는 외부 소스와 내부 소스 모두 무수히 많다. 위협 인텔리전스의 내부 소스는 조직의 자체 IT 보안팀이 수집한 정보로 서버 로그, 네트워크 장치 로그, 과거 사고 보고서, 캡처된 네트워크 트래픽, 침투 테스트 결과 등을 말합니다. 

 

3-2. 외부소스

외부적으로 위협 인텔리전스는 다양한 소스에서 나올 수 있으며 정보는 무료인 경우가 많습니다. 위협 인텔리전스의 일부 외부 소스는 국토안보부, FBI, 미국 국립표준기술연구소(NIST)와 같은 정부 사이트 일반적으로 개별 맬웨어에 대한 구체적인 정보를 제공하지는 않지만 랜섬웨어 등의 공격으로부터 자신을 보호하는 방법에 대한 유용한 조언, 최신 사기 및 공격 방법에 대한 정보를 제공합니다. 

 

3-3. CvSS

CvSS(Common Vulnerability Scoring System)도 있습니다. CVSS는 컴퓨터 시스템 취약성을 평가하는 데 사용되는 무료 개방형 산업 표준입니다. CVSS 평가는 심각도를 평가하기 위해 숫자 점수를 생성합니다. 취약성을 0에서 10까지(10이 가장 심각한 수준) 등급으로 평가하는 점수는 다양한 측정항목 세트를 사용하여 계산됩니다. 지표에는 취약점이 얼마나 악용될 수 있는지, 취약점이 시스템에 미치는 영향, 캠페인이 진행됨에 따라 새로운 악용에 대한 완화 노력이 얼마나 효과적인지 등의 요소가 포함됩니다.

 

3-4. MITRE ATT&CK

사이버 위험 인텔리전스에 대한 또 다른 귀중한 공개 소스는 MITRE ATT&CK입니다. MITRE ATT&CK는 적의 전술과 기술에 대한 지식 기반을 자유롭게 공유합니다. 

 

4. 위협 인텔리전스 공유

Maltego 및 MISP 프로젝트와 같은 오픈 소스 인텔리전스를 포함한 위험 인텔리전스 서비스 및 도구도 있습니다. 사이버 인텔리전스 커뮤니티가 이해할 수 있는 언어로 사이버 위협을 공유하고 설명하는 데 도입이 되는 몇 가지 인정된 표준도 있습니다. 한 가지 표준은 STIX(구조적 위협 정보 표현)라고 합니다. 또 다른 방법은 TAXII (신뢰할 수 있는 지표 정보 교환)입니다.

 

4-1. STIX

STIX는 사이버 위협 정보를 표현하기 위해 구조화된 언어를 정의하고 개발하기 위한 커뮤니티 중심의 공동 노력으로 정의됩니다. 이는 악의적인 행위자, 발생한 사건, 침해 지표(IoC), 공격 수행에 사용된 전술 및 익스플로잇에 대한 정보를 제공합니다. STIX는 또한 보고되는 사고를 완화하기 위한 조치를 권장합니다.

 

4-2. TAXII

TAXII는 HTTPS를 통해 CTI(사이버 위협 인텔리전스)를 교환하기 위한 애플리케이션 프로토콜입니다. 이는 RESTful API와 TAXII 클라이언트 및 서버에 대한 요구 사항 집합을 정의합니다. 표준화된 서비스, 메시지 및 메시지 교환을 사용함으로써 TAXII 는 맞춤형 지점 간 교환 구현의 필요성을 없애고 중요한 CTI 공유를 촉진합니다. TAXII 클라이언트인 조직은 정보를 요청하고 새로운 위협 인텔리전스를 TAXII 서버에 게시한 다음 다른 가입자와 공유할 수 있습니다.

 

5. 위협 인텔리전스 변환 프로세스

1. 네트워크에 대한 주요 위협을 식별
->  중지해야 할 가장 중요한 위협
-> 사이버 위협의 양은 끝이 없기 때문에 이를 모두 막는 것은 불가능
2. 내부 및 외부 소스로부터 위협 정보를 수집
3. 정보를 처리
4. 정보를 분석하고 손상 지표(loC)를 찾기
5. 새로운 정보와 함께 귀하의 분석을 친구와 파트너에게 전파
6. 그과정에서 배운 교훈을 실천