조직 내부에 TI(Threat Intelligence) 환경 구축 및 운영으로 보안수준 향상

ETIP: An Enriched Threat Intelligence Platform for improving OSINT correlation, analysis, visualization and sharing capabilities - ScienceDirect

TI (Threat Intelligence) 환경을 내부에서 구축하고 운영하는 것은 조직의 보안 수준을 향상시키는 데 큰 도움이 될 수 있습니다. 여기에는 몇 가지 일반적이고 표준적인 방법들이 있습니다.

1. TI 플랫폼 선정: 먼저, 조직에 맞는 TI 플랫폼을 선정해야 합니다. 시중에는 MISP (Malware Information Sharing Platform), ThreatConnect, Anomali ThreatStream 등 다양한 TI 플랫폼이 있습니다. 각 플랫폼의 기능, 비용, 호환성 등을 고려하여 선택하세요.
2. 데이터 수집: TI 환경의 핵심은 다양한 출처에서 정보를 수집하는 것입니다. 이는 공개 소스(OSINT), 사이버 범죄 포럼, 다크웹, 정부 보고서, 상업적 피드 등을 포함할 수 있습니다. 이 데이터는 자동화 도구를 사용하여 수집되며, 수집된 정보는 보안 사고 대응 및 예방에 사용됩니다.
3. 데이터 처리 및 통합: 수집된 데이터는 가공하여 유용한 정보로 변환해야 합니다. 이 과정에서 데이터 정제, 분류, 관련성 평가가 이루어집니다. 또한, 조직의 기존 보안 시스템(SIEM, SOAR 등)과 통합하여 실시간으로 위협을 감지하고 대응할 수 있도록 설정합니다.
4. 분석 및 인텔리전스 생성: 분석가들은 수집된 데이터를 바탕으로 현재 및 미래의 위협을 분석합니다. 이 과정에서 탐지된 악성 행위나 취약점은 보고서로 작성되어 조직 내 다른 팀과 공유됩니다.
5. 피드백 및 지속적인 개선: TI 환경은 지속적인 모니터링과 피드백을 통해 개선됩니다. 실제 사고 대응에서 얻은 경험을 바탕으로 시스템을 업데이트하고, 새로운 정보 소스를 통합하여 보다 효과적으로 위협에 대응할 수 있도록 합니다.
6. 교육 및 훈련: 조직 내부의 보안 인식을 높이기 위해 정기적인 교육 및 훈련을 실시하는 것이 중요합니다. 이는 보안 팀 뿐만 아니라 일반 직원들에게도 필요하며, 최신 사이버 위협에 대한 인식과 대응 능력을 향상시키는 데 도움이 됩니다.

이러한 과정을 통해 내부 TI 환경을 구축하고 운영하는 것은 복잡하고 지속적인 노력이 필요하지만, 조직의 보안을 강화하고 사이버 위협으로부터 보호하는 데 크게 기여할 수 있습니다.

 

보안 솔루션에서 발생하는 알림(얼럿)의 수가 많고, 그 중에는 오진(False Positives)이나 과잉 탐지(False Negatives)도 포함되어 있는 경우가 많습니다. 이를 효과적으로 관리하기 위해 위협 인텔리전스(Threat Intelligence, TI)를 활용하여 알림을 필터링하고 우선 순위를 정하는 접근 방식을 고려할 수 있습니다. 다음은 이를 위한 몇 가지 접근 방법입니다.

1. 통합적 데이터 분석: TI 플랫폼은 다양한 소스에서 수집된 데이터를 통합하여 분석합니다. 이 데이터를 보안 솔루션에서 발생하는 알림 데이터와 비교·분석하여, 실제 위협과 관련 없는 알림을 걸러내는 데 사용할 수 있습니다.
2. 컨텍스트 기반 필터링: 알림의 컨텍스트를 평가하여 진위를 판단합니다. 예를 들어, 네트워크 트래픽 패턴, 사용자 행동, 최근 보안 사고 등의 정보를 종합적으로 고려하여 알림의 신뢰도를 평가할 수 있습니다.
3. 위협 피드 및 시그니처 업데이트: 신뢰할 수 있는 위협 피드와 업데이트된 시그니처를 통해 보안 솔루션의 탐지 능력을 향상시키고, 오진을 최소화할 수 있습니다. 이러한 정보는 보안 솔루션에 지속적으로 통합되어야 합니다.
4. 위협 우선 순위 지정: 모든 알림이 동일한 수준의 위협을 가지고 있는 것은 아닙니다. TI를 통해 수집된 정보를 바탕으로 알림에 대한 위협 우선 순위를 정하여 중요도가 낮은 알림은 자동으로 걸러내고, 실제 위협 가능성이 높은 알림에 집중할 수 있습니다.
5. 자동화된 대응: TI 플랫폼과 연동하여 자동화된 대응 메커니즘을 구축할 수 있습니다. 예를 들어, 특정 조건을 충족하는 알림이 발생할 때 자동으로 해당 트래픽을 차단하거나, 관련 사용자 계정을 임시로 비활성화하는 등의 조치를 취할 수 있습니다.
6. 지속적인 평가 및 개선: 위협 환경은 계속 변하므로, TI 시스템과 보안 솔루션 모두 정기적인 검토와 업데이트가 필요합니다. 효과적인 알림 필터링을 위해 어떤 점이 잘 작동하는지, 어떤 부분이 개선이 필요한지를 지속적으로 평가하고 개선해야 합니다.

이러한 방법들을 통해 조직의 보안 시스템에서 발생하는 얼럿을 효과적으로 관리하고, 실제 위협에 더 집중할 수 있는 시스템을 구축할 수 있습니다.

Electronics - Free Full-Text - A Shared Cyber Threat Intelligence Solution for SMEs

MISP (Malware Information Sharing Platform)를 사용하여 이벤트 알람에서 기본적인 필터링을 하는 환경을 구성하고 운영하는 과정은 여러 단계로 나뉩니다. MISP는 위협 인텔리전스 공유 및 관리를 위한 오픈 소스 플랫폼으로, 여러 출처에서 수집된 데이터를 분석하고 효과적으로 필터링할 수 있는 강력한 기능을 제공합니다. 다음은 MISP 환경을 설정하고 운영하는 데 필요한 주요 단계입니다.

1. MISP 설치 및 초기 설정

• 설치: MISP는 Linux 서버에 주로 설치되며, 공식 문서에 따라 의존성을 설치하고 구성합니다.
• 사용자 및 조직 관리: 초기 설정에서 관리자 계정을 생성하고, 조직 및 사용자를 추가합니다.
• 서버 설정: 시스템 설정 메뉴에서 서버의 보안 설정, 로그 설정, 싱크 설정 등을 조정합니다.

2. 데이터 피드 및 통합

• 피드 구독: MISP는 다양한 외부 피드와의 통합을 지원합니다. 알려진 위협 인텔리전스 피드를 구독하고 자동으로 업데이트하도록 설정합니다.
• 사내 데이터 연동: 기존 보안 시스템(예: IDS, IPS, SIEM)과 MISP를 연동하여 이벤트 데이터를 수집하고, MISP 내의 인텔리전스와 대조합니다.

3. 이벤트 및 속성 관리

• 이벤트 생성: 실시간으로 수집된 데이터나 인시던트를 기반으로 이벤트를 생성하고, 관련 정보(해시 값, IP 주소, 도메인 등)를 속성으로 추가합니다.
• 태그 및 분류: 이벤트나 속성에 태그를 할당하여 필터링과 검색을 용이하게 합니다. 예를 들어, '고위험', '중요도 높음'과 같은 태그를 사용할 수 있습니다.

4. 필터링 및 자동화

• 규칙 기반 필터링: MISP에서는 사용자가 정의한 규칙에 따라 자동으로 이벤트를 필터링하고 알람을 설정할 수 있습니다. 예를 들어, 특정 IP 범위나 해시 값에 대한 알람을 설정할 수 있습니다.
• API를 이용한 자동화: MISP API를 활용하여 외부 시스템과의 데이터 교환을 자동화합니다. 이를 통해 신속한 대응과 통합된 보안 운영이 가능합니다.

5. 보고 및 대응

• 보고서 작성: 이벤트 및 탐지된 위협에 대한 상세 보고서를 작성합니다. 이 보고서는 조직 내 다른 팀과 공유되어 위협 인식을 높이고 대응 전략을 수립하는 데 사용됩니다.
• 사고 대응: 필터링된 알람을 바탕으로 구체적인 사고 대응 조치를 시작합니다. 예를 들어, 특정 IP 주소로부터의 트래픽을 차단하거나, 악성 도메인에 대한 접근을 제한할 수 있습니다.

6. 유지보수 및 업데이트

• 정기적인 검토 및 업데이트: MISP 시스템과 통합된 피드 및 규칙을 정기적으로 검토하고 업데이트하여 최신 위협에 효과적으로 대응합니다.

 

MISP를 활용한 이벤트 알람 필터링은 조직의 보안 팀이 보다 효과적으로 위협을 관리하고, 중요한 알람에 집중할 수 있도록 도와줍니다. 이를 통해 보안 운영의 효율성을 크게 향상시킬 수 있습니다.

How 5G can leverage Cyber Threat Intelligence : CONCORDIA

MISP (Malware Information Sharing Platform)와 내부 보안 시스템(예: SIEM, IDS, IPS 등)을 연동하여 보안 이벤트를 처리하고 위협 인텔리전스를 활용하는 방법을 구체적으로 설명하겠습니다. 여기서는 MISP와 SIEM 시스템의 연동을 예로 들고, 실제 구현에 사용되는 명령어와 설정 등을 포함합니다.

MISP와 SIEM 연동 기본 개념

1. 목표: SIEM 시스템에서 발생하는 이벤트를 MISP로 전송하고, MISP에서 관리하는 위협 인텔리전스를 SIEM에 통합하여 보안 알림의 정확성을 향상시킵니다.
2. 도구: 대부분의 SIEM 시스템은 REST API를 지원하며, MISP 역시 API를 통해 외부 시스템과 데이터를 교환할 수 있습니다.

MISP 설정

1. API 키 생성
   • MISP 웹 인터페이스에서 '사용자 관리'로 이동하십시오.
   • API 키를 생성하려는 사용자의 프로필을 선택하고, 'API 키 관리'를 클릭하여 새 API 키를 생성합니다.
2. API 사용
   • MISP API는 주로 데이터를 가져오고 보내는 데 사용됩니다. 예를 들어, Python에서 requests 라이브러리를 사용하여 MISP로부터 위협 인텔리전스를 가져올 수 있습니다.

     import requests
     
     url = "https://your-misp-instance/attributes/restSearch/json"
     headers = {
         'Authorization': 'your_api_key',
         'Accept': 'application/json',
         'Content-Type': 'application/json'
     }
     response = requests.post(url, headers=headers)
     print(response.json())

SIEM 설정

1. MISP로 데이터 전송
   • 대부분의 SIEM 솔루션에서는 자체 스크립트 또는 외부 스크립트 실행 기능을 통해 외부 API와 통신할 수 있습니다.
   • SIEM 시스템에서 MISP로 이벤트 데이터를 전송하는 스크립트 예시

     # SIEM 시스템의 특정 로그 파일 또는 이벤트를 MISP로 전송
     curl -X POST -H "Authorization: your_api_key" -H "Content-Type: application/json" -d '{"Event":{"info":"Example event","distribution":0,"threat_level_id":2,"analysis":1,"Attribute":[{"type":"ip-src","value":"192.168.1.1"}]}}' "https://your-misp-instance/events"

데이터 통합 및 활용

1. 위협 인텔리전스 피드 구독
   • MISP 설정에서 여러 외부 피드를 구독하고, 이를 정기적으로 업데이트하여 최신 위협 정보를 유지합니다.
2. 이벤트 필터링 및 반응 자동화
   • SIEM 시스템에서 MISP의 정보를 활용하여 발생하는 이벤트의 위협 수준을 평가하고, 필요한 조치를 취합니다.
3. 보안 대시보드
   • MISP와 SIEM에서 수집한 데이터를 통합하여 보안 대시보드를 구성, 실시간 위협 모니터링 및 관리를 수행합니다.

MISP와 내부 보안 시스템의 연동은 조직의 보안 운영을 한층 강화할 수 있는 방법입니다. API를 통한 자동화된 데이터 교환, 위협 인텔리전스의 효과적인 활용은 사이버 보안 대응력을 크게 향상시키는 데 중요합니다. 이 과정에서 보안 정책 및 프로세스를 주기적으로 검토하고 업데이트하여 최신 위협에 대응할 수 있는 준비를 유지하는 것이 중요합니다.

 

Elastic Security (이전의 Elastic SIEM)는 Elastic Stack의 일부로, 로그 및 이벤트 데이터를 효율적으로 수집, 분석 및 시각화하여 사이버 위협을 관리하고 대응하는 데 사용됩니다. 위협 인텔리전스(TI) 정보를 Elastic Security에 통합하면 보안 분석의 정확성과 효율성을 크게 향상시킬 수 있습니다. 여기서는 MISP와 같은 TI 소스를 Elastic Security와 연동하는 방법을 자세히 설명하겠습니다.

1단계: Elastic Stack 설치 및 설정

1. Elasticsearch, Kibana, 그리고 Beats 설치
   • Elasticsearch는 데이터 저장 및 검색 엔진입니다.
   • Kibana는 데이터를 시각화하고 관리하는 사용자 인터페이스입니다.
   • Beats는 데이터 수집기로서, 여러 시스템과 디바이스에서 데이터를 Elasticsearch로 전송합니다.
2. Elastic Security 활성화
   • Kibana에서 Elastic Security 앱을 활성화하고, 보안 관련 기능을 설정합니다.

2단계: MISP 데이터 통합

1. MISP 데이터 가져오기
   • MISP에서 제공하는 위협 인텔리전스를 Elasticsearch로 수집하는 것은 Filebeat를 사용하여 진행할 수 있습니다.
   • Filebeat에는 MISP 모듈이 있어, MISP 인스턴스에서 직접 데이터를 가져올 수 있습니다.
2. Filebeat 설치 및 설정
   • Filebeat를 설치하고 MISP 모듈을 활성화합니다.

     filebeat.modules:
         module: misp
         threat:
             enabled: true
             var.api_key: "your_misp_api_key"
             var.url: "https://your-misp-instance"
             var.ssl.verification_mode: "none" # SSL 검증 설정에 따라 변경 필요

   • 이 설정은 Filebeat가 MISP 인스턴스에서 위협 정보를 정기적으로 가져오도록 구성합니다.
3. Filebeat 실행
   • Filebeat를 실행하여 MISP 데이터를 Elasticsearch로 전송합니다.

     sudo filebeat setup # 인덱스 템플릿과 Kibana 대시보드 설정
     sudo service filebeat start # Filebeat 시작

3단계: 데이터 분석 및 활용

1. Watcher 또는 SIEM Detection Rules 설정
   • Elasticsearch의 Watcher 기능 또는 Kibana의 SIEM Detection Rules를 사용하여 위협 탐지 자동화를 설정합니다.
   • 예를 들어, MISP에서 가져온 악성 IP 주소가 네트워크 트래픽 데이터에 등장할 경우 경고를 생성하도록 설정할 수 있습니다.
2. Elastic Security 대시보드 사용
   • Kibana에서 제공하는 Elastic Security 대시보드를 사용하여 위협 인텔리전스 데이터를 시각화하고 분석합니다.
   • MISP 데이터를 포함하여 다양한 보안 이벤트와 경고를 한 눈에 볼 수 있습니다.

4단계: 지속적인 모니터링 및 개선

1. 정기적인 업데이트 및 개선
   • TI 소스, 탐지 규칙, 그리고 시스템 구성을 정기적으로 검토하고 업데이트하여 보안 포스처를 지속적으로 개선합니다.
2. 사용자 교육 및 인식 향상
   • 조직 내 사용자들을 대상으로 사이버 보안 교육을 실시하여 위협에 대한 인식을 향상시키고, 보안 문화를 강화합니다.

MISP와 같은 TI 소스를 Elastic Security와 통합하는 것은 보안 운영의 효율성을 크게 향상시킬 수 있는 중요한 단계입니다. 위협 인텔리전스를 활용하여 보다 정확하고 신속하게 위협을 탐지하고 대응할 수 있게 됩니다.