위협 인텔리전스 피드란?

위협 인텔리전스 피드는 보안팀이 위협을 식별하는 데 도움이 되는 외부 데이터 스트림입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 위협 인텔리전스 피드에 포함된 정보의 종류를 설명하세요.
  • 위협 인텔리전스 피드 사용의 이점에 대해 토론하세요.
  • 위협 인텔리전스 소스 이해

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

위협 인텔리전스 피드란?

위협 인텔리전스 피드는 외부 소스로부터 잠재적 공격에 대한 데이터 스트림( "위협 인텔리전스" )입니다. 조직은 위협 인텔리전스 피드를 사용하여 보안 방어를 업데이트하고 최신 공격에 대비할 수 있습니다.

저널리즘 웹사이트의 뉴스 피드나 소셜 미디어 플랫폼의 피드 모두 새로운 콘텐츠, 새로운 뉴스, 진행 중인 스토리의 변경 사항 등 지속적인 업데이트를 표시합니다. 마찬가지로 위협 인텔리전스 피드는 지속적으로 업데이트되는 위협 데이터 소스입니다. 침해 지표(IoC), 의심스러운 도메인, 알려진 멀웨어 시그니처 등이 있습니다.

위협 인텔리전스 피드는 군사 정찰에 비유할 수도 있습니다. 군대는 적군이 무엇을 하고 있는지에 대한 정보를 사용하여 방어 체계 구축에 대한 결정을 내릴 수 있습니다. 마찬가지로 위협 인텔리전스 피드는 보안팀이 현재와 미래의 사이버 공격에 더 잘 대비할 수 있도록 도와줍니다.

일부 위협 인텔리전스 피드는 기계 판독이 가능하며, 이러한 피드는 보안 정보 및 이벤트 관리(SIEM) 시스템 및 기타 보안 도구에서 직접 사용할 수 있습니다. 다른 것들은 보안 팀이 조치를 취하고 의사 결정을 내릴 수 있도록 사람이 사용하기 위한 것입니다.

광범위한 위협 예방을 촉진하기 위해 많은 위협 인텔리전스 피드가 무료 오픈 소스로 제공됩니다. 일부 위협 인텔리전스 피드는 유료 고객만 이용할 수 있는 독점 정보입니다.

사이버 위협이란 무엇인가요?

"위협" 무단으로 데이터를 도난, 분실, 이동 또는 변경할 수 있는 행위로 정의할 수 있습니다. 이 용어는 가능한 작업과 실제 작업을 모두 나타낼 수 있습니다.

척이 앨리스의 이메일 비밀번호를 훔쳐서 받은 편지함을 점령했지만 아직 밥에게는 그렇게 하지 않은 경우에도 척은 여전히 밥에게 위협이 됩니다. 앨리스는 밥에게 척이 한 일을 알려서 밥이 척으로부터 자신을 보호하기 위한 조치를 취할 수 있도록 하고 싶을 수 있습니다. 앨리스가 밥에게 간단한 형태의 위협 인텔리전스를 제공했습니다: "척을 조심하세요!"

하지만 보안 도구와 팀에 유용하려면 위협 인텔리전스가 단순히 "보다 더 상세해야 합니다." 척을 찾아보세요. 잠재적인 외부 위협에 대한 인텔리전스는 여러 가지 형태로 나타날 수 있습니다.

  • 전술, 기법 및 절차(TTP): TTP는 공격 행동에 대한 자세한 설명입니다.
  • 멀웨어 시그니처: 시그니처는 파일을 식별할 수 있는 고유한 패턴 또는 바이트 시퀀스입니다. 보안 도구는 알려진 멀웨어와 일치하는 서명이 있는 파일을 찾을 수 있습니다.
  • 침해 지표(IoC): 공격이 발생했는지 또는 공격이 진행 중인지 여부를 식별하는 데 도움이 되는 데이터입니다.
  • 의심스러운 IP 주소 및 도메인: 네트워크의 모든 트래픽은 어딘가에서 시작됩니다. 특정 도메인 또는 IP 주소에서 공격이 관찰되는 경우 방화벽 에서 이 소스로부터의 트래픽을 차단하여 향후 발생할 수 있는 공격을 방지할 수 있습니다.

피드의 위협 인텔리전스 출처는 어디인가요?

위협 인텔리전스 피드의 정보는 다음과 같은 다양한 출처에서 제공될 수 있습니다:

  • 공격 및 데이터 유출을 위한 인터넷 트래픽 분석
  • 보안 전문가의 심층 연구
  • 휴리스틱 분석, 샌드박싱 또는 기타 멀웨어 탐지를 사용한 직접 멀웨어 분석
  • 보안 커뮤니티 내에서 널리 사용되는 오픈 소스 데이터 공유
  • 공격과 공격 인프라를 식별하는 데 사용되는 웹 크롤링(예를 들어, Cloudflare Cloud Email Security는 이 기술을 사용하여 피싱 공격을 사전에 식별합니다)
  • 보안 회사의 고객으로부터 수집된 분석 및 원격 분석 데이터

위협 인텔리전스 피드 공급업체는 이 정보를 컴파일하여 피드에 추가하고 배포합니다.

위협 인텔리전스 피드를 사용하는 이유는?

최신 정보: 사이버 범죄자들은 공격이 성공하기를 원합니다. 이러한 이유로 그들은 수비를 우회하기 위해 끊임없이 전술을 바꾸고 확장하고 있습니다. 작년의 공격을 차단하도록 설정된 조직은 올해의 공격 전술에 의해 손상될 수 있습니다. 따라서 보안팀은 방어에 필요한 정보를 얻고 최신 공격을 차단할 수 있도록 최신 데이터를 원합니다.

더 폭넓은 정보: 위협 인텔리전스 피드는 광범위한 데이터를 제공합니다. 예로 돌아가서, 밥은 과거에 척이 자신의 이메일 받은 편지함을 훔치는 것을 막았을지 모르지만, 앨리스가 척의 최근 공격에 대해 알려주면 밥은 이전에 받은 공격과 앨리스를 향한 공격을 모두 차단하는 방법을 알 수 있습니다. 마찬가지로 위협 인텔리전스를 통해 조직은 더욱 다양한 위협을 완화할 수 있습니다.

효율성 향상: 외부 소스에서 위협 인텔리전스를 확보하면 보안팀은 데이터 수집이 아닌 공격 차단에 더 많은 시간을 할애할 수 있습니다. 보안 전문가는 의사 결정에 필요한 정보를 수집하는 대신 의사 결정을 내리고 완화 조치를 배포할 수 있습니다. 또한 WAF 와 같은 보안 도구는 실제로 공격에 직면하기 전에 공격을 인식하는 방법을 학습할 수 있습니다.

위협 인텔리전스 피드는 STIX/TAXII를 어떻게 사용하나요?

STIX와 TAXII 는 위협 인텔리전스 공유를 위해 함께 사용되는 두 가지 표준입니다. STIX는 위협 인텔리전스의 형식을 지정하는 구문이며, TAXII는 이 데이터를 배포하기 위한 표준화된 프로토콜 (예: HTTP)입니다. 많은 위협 인텔리전스 피드는 다양한 보안 도구에서 데이터를 폭넓게 해석하고 활용할 수 있도록 STIX/TAXII를 사용합니다.

Cloudflare는 위협 인텔리전스 피드를 어떻게 배포하나요?

Cloudflare는 전 세계 웹사이트의 상당 부분을 보호하며(초당 57 만 건의 HTTP 요청을 처리), 이를 통해 네트워크 트래픽과 공격 패턴에 대한 방대한 양의 데이터를 분석할 수 있습니다. 이 데이터는 실행 가능한 완성된 위협 인텔리전스로 변환되어 보안 도구로 수집할 수 있습니다(STIX/TAXII를 통해).

Cloudflare는 이 위협 인텔리전스 피드를 클라우드포스 원 서비스를 통해 제공합니다. 숙련된 연구팀이 이끄는 클라우드포스 원은 전 세계 사이버 공격자를 차단합니다. 클라우드포스 원에 대해 자세히 알아보기.