효과적인 보안 관리와 대응을 위한 정보 수집 및 자동화 전략: IoC, MITRE ATT&CK, Tabletop 훈련

Linux Malware Mallox 관련 정보를 자동으로 수집하고, 내부 IoC(Indicators of Compromise)를 추가적으로 확인하여 슬랙 채널에 스레드로 등록하는 시스템을 구성하려면, 다음과 같은 단계로 구성할 수 있습니다.

1. 데이터 소스 선택

Mallox 관련 정보를 수집할 수 있는 데이터 소스를 선택해야 합니다.

• Malware Information Sharing Platform (MISP): Mallox와 같은 악성코드 정보를 공유하는 플랫폼
• VirusTotal: 다양한 악성코드 샘플과 관련 IoC 정보를 제공하는 서비스
• Threat Intelligence 피드: 외부 Threat Intelligence 피드를 통해 Mallox와 관련된 새로운 IoC를 자동으로 수집 가능

2. IoC 수집 스크립트 작성

해당 소스에서 Mallox 관련 정보를 수집하는 스크립트를 작성합니다. 예를 들어, MISP에서 Mallox 관련 정보를 API로 받아오는 Python 스크립트는 다음과 같습니다.

import requests

def get_mallox_iocs_from_misp(api_url, api_key, event_name="Mallox"):
    headers = {
        'Authorization': api_key,
        'Accept': 'application/json',
        'Content-Type': 'application/json',
    }
    response = requests.get(f"{api_url}/events/restSearch/json", headers=headers, params={"eventinfo": event_name})
    if response.status_code == 200:
        return response.json()
    else:
        print(f"Error: {response.status_code}")
        return None

• api_url은 MISP API 엔드포인트를 가리키며, api_key는 인증 토큰입니다.
• event_name 매개변수로 Mallox 관련 정보를 검색할 수 있습니다.

3. 내부 IoC 확인

수집된 IoC 정보를 내부 데이터베이스나 로그 시스템과 대조하여 추가적인 감염 여부를 확인하는 프로세스를 구성합니다. 예를 들어, Elasticsearch에 저장된 로그에서 해당 IoC를 확인할 수 있습니다.

from elasticsearch import Elasticsearch

def search_ioc_in_logs(elasticsearch_url, iocs):
    es = Elasticsearch([elasticsearch_url])
    found_iocs = []
    for ioc in iocs:
        query = {
            "query": {
                "match": {"message": ioc}
            }
        }
        response = es.search(index="logs-*", body=query)
        if response['hits']['total']['value'] > 0:
            found_iocs.append(ioc)
    return found_iocs

4. 슬랙 알림 스크립트

Slack에 IoC 감지 여부를 알리는 메시지를 전송하는 부분입니다. 슬랙 Webhook을 사용하여 스레드로 메시지를 전송할 수 있습니다.

import requests

def send_to_slack(webhook_url, message, thread_ts=None):
    payload = {
        "text": message
    }
    if thread_ts:
        payload["thread_ts"] = thread_ts
    response = requests.post(webhook_url, json=payload)
    if response.status_code != 200:
        raise Exception(f"Slack API returned {response.status_code}, {response.text}")

# Example usage
webhook_url = "https://hooks.slack.com/services/XXX/YYY/ZZZ"
message = "Mallox 관련 IoC를 확인하였습니다."
send_to_slack(webhook_url, message)

• thread_ts: 메시지를 스레드로 전송할 때는 해당 메시지의 타임스탬프를 활용하여 스레드 구조를 유지할 수 있습니다.

5. 전체 자동화 구성 (n8n 또는 cron job)

위의 모든 작업을 자동화하기 위해서는 n8n과 같은 자동화 도구나 cron을 사용할 수 있습니다.

• n8n 워크플로우: 데이터 수집, IoC 검색, 슬랙 전송을 자동화하는 워크플로우를 n8n에서 구성
• cron job: 스크립트를 주기적으로 실행하여 Mallox IoC 정보를 수집하고 내부 로그와 비교하는 작업을 수행

예시 작업 순서

1. MISP에서 Mallox 관련 IoC 정보를 수집
2. 수집한 IoC 정보를 내부 Elasticsearch와 비교하여 존재 여부 확인
3. 발견된 IoC가 있으면 Slack 채널에 경고 메시지와 스레드 등록
4. 모든 작업을 주기적으로 자동화하여 IoC 정보를 지속적으로 관리

추가 보안 지침

• IoC 수집 후 자동으로 차단 정책을 배포할 수 있는 보안 시스템과 연동 (예: Firewall, EDR)
• 추가적인 감시를 위해 SIEM 시스템에 이벤트 생성

 

이와 같은 시스템을 통해 악성코드 Mallox 관련 IoC 정보를 신속하게 수집하고, 내부 네트워크에서 이를 자동으로 탐지 및 경고할 수 있는 환경을 구축할 수 있습니다.

 

MITRE ATT&CK 정보와 악성코드 IoC(Indicators of Compromise) 수집 및 분석은 서로 다른 개념입니다. 둘 다 사이버 보안에서 중요한 역할을 하지만, 초점과 사용 목적이 다릅니다. 차이점을 명확히 하기 위해 두 개념을 비교합니다.

1. IoC(Indicators of Compromise)

IoC는 주로 보안 사건이 발생했을 때, 공격 흔적을 찾고 대응하는 데 사용됩니다. Mallox 같은 악성코드 IoC는 다음과 같은 정보를 포함할 수 있습니다.

• 해시(SHA256, MD5) 값
• 악성 도메인, IP 주소
• 공격에 사용된 파일 이름, 파일 경로
• 악성 코드가 시스템에 남기는 흔적 (레지스트리, 파일, 네트워크 통신 등)

목적: IoC는 공격이 일어난 후, 시스템이나 네트워크에서 악성 활동의 징후를 식별하고 차단하는 데 사용됩니다. 주로 탐지 및 대응(D&R)에 사용되며, SIEM 시스템이나 EDR, 방화벽과 같은 보안 도구에 통합하여 자동 차단, 탐지 규칙으로 활용합니다.

예시: "Mallox 관련 악성코드 파일 해시가 감지됨", "악성 IP 주소에서 네트워크 트래픽 발생"

2. MITRE ATT&CK Framework

MITRE ATT&CK는 공격자의 전술(Tactics), 기법(Techniques), 절차(Procedures)를 체계적으로 정리한 행동 기반의 위협 모델입니다. 이것은 특정 공격을 방어하는 것에만 초점을 맞추는 것이 아니라, 전반적인 공격 패턴을 분석하고 대응 전략을 세우는 데 사용됩니다.

 

목적: MITRE ATT&CK는 공격자가 어떤 방식으로 시스템을 침투하고, 권한을 상승시키며, 데이터를 탈취하는지를 단계별로 분석하는 데 도움을 줍니다. 이는 위협 사냥(Threat Hunting)이나 보안 전략 수립에 활용될 수 있으며, 특정 IoC가 아니라 공격자의 행동 패턴에 집중합니다.

구성 요소

• Tactics: 공격자가 목표를 달성하기 위한 주요 단계들 (예: 초기 접근, 권한 상승, 측면 이동)
• Techniques: 각 단계에서 공격자가 사용하는 방법 (예: 피싱, 윈도우 명령어 사용)
• Procedures: 구체적인 공격 사례와 절차 (예: 특정 공격 그룹의 공격 방법)

예시: "Mallox는 MITRE ATT&CK의 '파일 실행(F1134)' 기술을 사용하여 악성코드를 배포한다."

3. 비교

항목	IoC(Indicators of Compromise)	MITRE ATT&CK
초점	악성 활동의 구체적인 증거	공격자의 전술, 기법, 절차 (TTP)
사용 목적	탐지 및 대응 (D&R), 보안 시스템에 규칙 추가	위협 사냥(Threat Hunting), 보안 전략 수립, 공격 방어
내용	해시 값, IP, 도메인, 파일, 네트워크 흔적 등	공격 단계별 행동 분석 및 대응 방법
적용 범위	특정 사건 또는 위협에 대한 탐지	공격자의 전체 행위와 관련된 전반적인 대응
예시 도구	SIEM, EDR, 방화벽	MITRE ATT&CK Navigator, Threat Intelligence 시스템

4. 둘을 통합한 보안 활용

실제로는 IoC와 MITRE ATT&CK 프레임워크를 함께 사용하는 경우가 많습니다.

• IoC 수집 및 탐지: Mallox 관련 IoC를 수집하여 시스템 내에서 악성 활동을 감지
• MITRE ATT&CK 평가: Mallox가 어떤 TTP를 사용하는지 분석하고, 다른 위협 행위자와의 연관성을 파악하여 공격 경로에 대한 대비

IoC를 통해 악성 활동의 흔적을 빠르게 찾아내고, MITRE ATT&CK를 통해 해당 공격이 어디서 시작되고 어떻게 발전할 수 있는지를 파악하여 종합적인 방어 전략을 수립하는 것이 일반적인 보안 접근 방식입니다.

 

따라서 MITRE ATT&CK은 악성코드 Mallox와 같은 특정 IoC보다 더 큰 그림에서 공격자가 어떻게 시스템에 침입하고 공격하는지를 분석하는 데 초점을 맞춥니다. MITRE ATT&CK 정보를 자동으로 수집하고, 구글 시트에 저장한 후, 변화 관리 및 현황 모니터링을 자동화하는 방법은 다양한 도구와 API를 활용하여 구성할 수 있습니다. 이 과정에서 ATT&CK 정보를 주기적으로 업데이트하고, 변경 사항을 추적하며, 구글 시트에서 쉽게 모니터링할 수 있는 시스템을 구현할 수 있습니다.

1. MITRE ATT&CK 정보 수집

MITRE ATT&CK 데이터는 ATT&CK API를 통해 접근할 수 있습니다. 이 API는 STIX 형식으로 ATT&CK 데이터를 제공하며, 이를 이용하여 필요한 정보를 추출할 수 있습니다. Python 스크립트를 통해 해당 데이터를 주기적으로 수집할 수 있습니다.

 

Python 스크립트 예시 (STIX 2.0을 통해 정보 수집)

import requests

def fetch_mitre_attack_data():
    url = "https://cti-taxii.mitre.org/stix/collections"
    response = requests.get(url)
    if response.status_code == 200:
        attack_data = response.json()
        return attack_data
    else:
        print(f"Error: {response.status_code}")
        return None

# Example usage
attack_data = fetch_mitre_attack_data()
if attack_data:
    print("MITRE ATT&CK 데이터 수집 성공!")

2. 구글 시트 API를 이용한 데이터 저장

구글 시트 API를 통해 수집된 MITRE ATT&CK 정보를 구글 시트에 저장할 수 있습니다. 구글 시트 API는 Python으로 쉽게 사용할 수 있으며, 인증 과정이 필요합니다. Google Sheets API Documentation를 참조하여 API 키와 인증 설정을 완료한 후, 데이터를 시트에 기록할 수 있습니다.

 

구글 시트 API 설정 및 데이터 쓰기

1. 구글 클라우드 프로젝트 생성: Google Cloud Console에서 프로젝트를 생성한 후 Google Sheets API를 활성화합니다.
2. OAuth2 인증 파일 다운로드: OAuth 인증을 위해 클라이언트 ID를 설정하고 JSON 파일을 다운로드합니다.
3. Google Sheets API를 통해 데이터 쓰기: 다음은 구글 시트에 데이터를 쓰는 Python 코드입니다.

import gspread
from oauth2client.service_account import ServiceAccountCredentials

def write_to_google_sheet(data):
    # 구글 시트 API 인증 설정
    scope = ["https://spreadsheets.google.com/feeds", "https://www.googleapis.com/auth/drive"]
    creds = ServiceAccountCredentials.from_json_keyfile_name("path_to_your_credential_file.json", scope)
    client = gspread.authorize(creds)

    # 구글 시트 접근 및 데이터 쓰기
    sheet = client.open("MITRE ATT&CK 현황").sheet1
    for i, row in enumerate(data):
        sheet.insert_row(row, i+1)

# 예시 데이터
data = [["Tactic", "Technique", "ID"], ["Initial Access", "Phishing", "T1566"]]

# 구글 시트에 데이터 저장
write_to_google_sheet(data)

3. 변화 관리 및 현황 모니터링 자동화

수집한 MITRE ATT&CK 정보의 변화를 추적하고, 변경 사항을 구글 시트에 기록하여 변화 관리를 할 수 있습니다. 이를 자동화하기 위한 몇 가지 전략을 제시합니다.

 

(1) 주기적인 데이터 수집

• Python의 cron이나 서버에서 스케줄링 도구를 사용하여 MITRE ATT&CK 데이터를 주기적으로 수집합니다.
• fetch_mitre_attack_data() 함수를 주기적으로 실행하여 새로운 데이터를 가져옵니다.

 

(2) 변화 감지 및 기록

• 새로운 데이터를 수집한 후, 기존에 저장된 구글 시트 데이터를 불러와 비교합니다.
• 변경 사항이 발견되면, 해당 데이터를 구글 시트에 업데이트하고 변경 기록을 남깁니다.

def compare_and_update(sheet_data, new_data):
    # 구글 시트의 기존 데이터와 새로운 데이터를 비교하여 변경 사항을 감지
    changes = []
    for new_row in new_data:
        if new_row not in sheet_data:
            changes.append(new_row)

    # 변경 사항을 구글 시트에 기록
    if changes:
        print(f"변경 사항 발견: {changes}")
        write_to_google_sheet(changes)
    else:
        print("변경 사항 없음")

(3) 슬랙 통합 경고 시스템

변화 감지 시 슬랙에 경고 메시지를 보내어 실시간으로 변화 상황을 모니터링할 수 있도록 설정합니다. 이를 위해 슬랙 Webhook을 사용할 수 있습니다.

import requests

def send_slack_alert(message):
    webhook_url = "https://hooks.slack.com/services/XXX/YYY/ZZZ"
    payload = {"text": message}
    response = requests.post(webhook_url, json=payload)
    if response.status_code != 200:
        print(f"슬랙 알림 실패: {response.status_code}")

# 변화 감지 시 알림 보내기
if changes:
    send_slack_alert(f"MITRE ATT&CK 데이터에 변화가 발생했습니다: {changes}")

4. 전체 자동화 워크플로우

1. 주기적인 MITRE ATT&CK 정보 수집: Cron job 또는 스케줄링 도구를 통해 1일 또는 1주일 단위로 새로운 데이터를 수집.
2. 변화 감지 및 기록: 새로 수집된 데이터를 기존 구글 시트 데이터와 비교하여 변화가 있는지 확인하고, 변화가 있으면 이를 시트에 기록.
3. 슬랙 알림: 변화가 발생하면 슬랙에 실시간 알림을 보내어 즉시 인지할 수 있도록 구성.
4. 주기적인 모니터링: 구글 시트를 통해 모든 변경 사항을 지속적으로 모니터링할 수 있으며, 필요 시 Slack으로도 상황을 실시간으로 추적.

추가적인 보안 및 관리 방안

• 버전 관리: 구글 시트에서 데이터 변경이 있을 때마다 변경 사항을 별도의 시트나 파일에 기록하여 변화 이력을 추적.
• 다양한 시각화 도구 활용: 구글 시트의 데이터 시각화 기능을 활용하여 기술별, 전술별로 변화 상태를 차트로 표시.
• 추가 통합: MITRE ATT&CK 데이터 외에도 외부 Threat Intelligence 시스템과 연동하여 종합적인 변화 관리 및 추적 시스템을 구성.

 

이 방식을 통해 MITRE ATT&CK 정보를 자동으로 수집하고, 변화 관리를 위한 데이터를 구글 시트에서 추적할 수 있는 시스템을 구성할 수 있습니다. 멘디언트(Mandiant)에서 제공하는 Tabletop Exercise(테이블탑 훈련)는 사이버 공격에 대응하기 위한 준비 및 대응 절차를 시뮬레이션하는 훈련 프로그램으로, 실전 상황에서 보안 팀이나 기업의 반응을 테스트하는 목적을 가지고 있습니다.

Tabletop의 개념

Tabletop Exercise는 조직 내에서 실제 사이버 공격이 발생할 때 어떻게 대응해야 할지를 연습하는 모의 훈련입니다.

• 시나리오 기반 훈련: 실제로 발생할 수 있는 다양한 공격 시나리오를 설정하여, 보안팀이나 IT 팀이 해당 시나리오에 어떻게 대응할지 토론하고, 실행 가능한 계획을 수립하는 방식입니다.
• 비기술적 훈련: 실제 시스템을 공격하거나 실시간으로 공격을 시뮬레이션하는 것이 아니라, 주로 토론을 통해 각 팀의 역할과 대응 방안을 점검하는 방식입니다.
• 사전 계획 및 절차 검증: 조직의 보안 대응 계획이 얼마나 실효성이 있는지 평가하고, 개선해야 할 부분을 찾아내는 것이 목적입니다.

Tabletop 훈련의 구성 요소

1. 공격 시나리오 설정: 예를 들어, 랜섬웨어 공격, 피싱 캠페인, 데이터 유출 사고 등 실제로 발생할 수 있는 위협을 기반으로 시나리오를 구성합니다.
2. 참여자 선정: 보안팀뿐만 아니라, 경영진, 법률 팀, 홍보 팀 등 다양한 부서가 훈련에 참여합니다. 실제 사이버 공격에 대응할 때 각 부서가 어떻게 협력해야 하는지 미리 연습하는 것이 중요합니다.
3. 대응 프로세스 연습: 시나리오에 따라 각 부서가 취해야 할 조치와 역할을 명확히 하고, 사고 대응 절차가 적절하게 작동하는지 검토합니다.
4. 결과 분석 및 피드백: 훈련이 끝난 후 각 팀의 대응 방식을 분석하고, 개선해야 할 부분에 대한 피드백을 제공합니다.

MITRE ATT&CK, IoC 수집과의 차이점

Tabletop Exercise는 MITRE ATT&CK나 IoC 수집과는 전혀 다른 영역에서 활용됩니다.

• MITRE ATT&CK: 공격자의 행동 패턴을 분석하고, 그에 맞춰 기술적인 대응 전략을 수립하는 데 사용됩니다.
• IoC 수집: 주로 탐지 및 방어를 목적으로 악성코드나 침입의 흔적을 추적하고 차단하는 데 초점을 맞추고 있습니다.
• Tabletop Exercise: 사이버 공격이 실제로 발생했을 때 조직 내부의 대응 절차와 의사 결정 프로세스를 테스트하는 훈련입니다. 기술적인 요소뿐만 아니라 조직 내에서의 커뮤니케이션, 의사결정 체계를 점검하는 것이 주된 목적입니다.

Tabletop을 통한 보안 전략 강화

Tabletop Exercise를 통해 조직은 다음과 같은 이점을 얻을 수 있습니다.

1. 실전 대비 능력 향상: 실제 사이버 공격이 발생하기 전에 대응 계획을 미리 검토하고 개선할 수 있습니다.
2. 부서 간 협력 강화: 보안팀뿐만 아니라 다양한 부서가 사이버 공격에 대응하는 역할을 이해하고 협력하는 방법을 연습할 수 있습니다.
3. 정책 및 절차 개선: 훈련 중 발견된 문제점을 기반으로 보안 정책과 절차를 업데이트하고, 더 나은 대응 방안을 수립할 수 있습니다.

Tabletop과 MITRE ATT&CK의 연관성

Tabletop Exercise에서 MITRE ATT&CK을 활용할 수 있습니다. MITRE ATT&CK는 공격자들의 전술과 기법을 체계적으로 제공하므로, 이를 바탕으로 공격 시나리오를 구체적으로 만들고 조직의 대응을 평가할 수 있습니다. 예를 들어, 특정 MITRE ATT&CK 기술을 기반으로 공격 시나리오를 만들어서, 그에 대한 대응 능력을 테스트할 수 있습니다.

Tabletop Exercise 자동화

Tabletop은 일반적으로 비기술적 훈련이지만, 훈련 결과를 기록하고 모니터링하는 작업은 자동화할 수 있습니다.

• 시나리오 기록 및 보고서 작성: 훈련 중 논의된 내용을 구글 시트나 슬랙을 통해 기록하고, 후속 조치 사항을 문서화할 수 있습니다.
• 결과 분석 및 피드백 자동화: 훈련 결과를 시스템에 입력하여 주기적으로 분석하고, 조직 내 보안 대응 수준을 추적할 수 있습니다.

 

멘디언트의 Tabletop Exercise는 보안 사고가 발생했을 때 조직이 어떻게 대응할지를 훈련하는 방법으로, MITRE ATT&CK이나 IoC 수집과는 다른 개념입니다. 그러나 이를 함께 활용하면, 공격 패턴 분석(MITRE ATT&CK)과 실제 대응 훈련(Tabletop Exercise)을 모두 강화할 수 있습니다. 이를 통해 기술적 방어뿐만 아니라 조직의 대응 역량까지 강화하는 것이 가능해집니다.

 

보안을 관리하는 과정에서 다양한 유형의 정보를 수집하는 방법이 존재합니다. 각 정보 수집 유형은 그 목적과 역할이 다르며, 보안 체계를 강화하기 위해 필요한 요소들입니다. 여기에서는 보안 관리 시 주로 사용하는 정보 수집 유형들을 정리하고, 비교표를 통해 그 차이점을 알아봅니다.

1. IoC (Indicators of Compromise)

• 정의: 침해 사고가 발생한 후, 시스템에서 악성 활동의 징후를 식별하는 데 사용되는 데이터.
• 주요 정보: 악성 IP, 도메인, 해시값, 파일명, 네트워크 패턴 등.
• 목적: 보안 시스템에서 침해된 시스템을 신속하게 탐지하고 대응.

2. MITRE ATT&CK

• 정의: 공격자의 전술(Tactics), 기법(Techniques), 절차(Procedures)를 체계적으로 정리한 위협 인텔리전스 프레임워크.
• 주요 정보: 공격자가 사용하는 기술과 공격 단계(피싱, 권한 상승 등).
• 목적: 공격자가 어떤 방식으로 시스템을 침입하고 공격을 수행하는지 분석하고 대응 전략 수립.

3. Threat Intelligence (위협 인텔리전스)

• 정의: 사이버 위협에 대한 정보를 실시간으로 수집하고 분석하여 공격을 방지하는 데 사용.
• 주요 정보: 최신 공격 기법, 악성코드 샘플, 공격자 프로필, 취약점 정보.
• 목적: 공격이 발생하기 전에 예방적인 보안 조치를 강화하고, 실시간 대응 전략 마련.

4. Vulnerability Management (취약점 관리)

• 정의: 시스템과 애플리케이션의 취약점을 주기적으로 스캔하고 평가하여, 수정할 수 있는 프로세스를 관리.
• 주요 정보: 소프트웨어 취약점(CVE), 패치 필요 여부, 보안 권고 사항.
• 목적: 잠재적인 취약점을 파악하고, 이를 빠르게 수정하여 공격 가능성을 최소화.

5. Log and Event Monitoring (로그 및 이벤트 모니터링)

• 정의: 시스템, 네트워크, 애플리케이션에서 발생하는 로그 및 이벤트를 수집하고 분석하여 비정상적인 활동을 탐지.
• 주요 정보: 시스템 로그, 네트워크 트래픽, 사용자 인증 이벤트, 애플리케이션 이벤트.
• 목적: 침입 탐지, 이상 징후 탐지 및 실시간 모니터링을 통해 빠르게 보안 사고에 대응.

6. Penetration Testing (침투 테스트)

• 정의: 시스템, 네트워크, 애플리케이션에 대한 모의 공격을 수행하여 보안 취약점을 발견하고 이를 보완.
• 주요 정보: 취약한 네트워크 설정, 보안 정책 문제, 애플리케이션 코드 취약점.
• 목적: 실제 공격자가 시스템에 침투할 수 있는 경로를 파악하고 이를 방지하기 위한 보안 강화.

7. Tabletop Exercises

• 정의: 공격 시나리오를 설정하고, 각 팀이 어떻게 대응할지 모의 훈련을 통해 조직의 대응 능력을 점검.
• 주요 정보: 대응 절차, 책임자 지정, 부서 간 협력 체계.
• 목적: 사이버 공격 발생 시 조직의 대응 계획과 절차를 검증하고, 협력 체계를 강화.

8. Endpoint Detection and Response (EDR)

• 정의: 엔드포인트에서 발생하는 보안 위협을 실시간으로 탐지하고, 침해 사고에 대응하는 솔루션.
• 주요 정보: 엔드포인트에서 발생하는 모든 행동 로그, 비정상 활동 감지, 실시간 경고.
• 목적: 엔드포인트에서 발생하는 악성 활동을 신속하게 탐지하고, 사고 대응 및 복구를 수행.

9. Security Configuration Assessment (SCA)

• 정의: 시스템의 보안 구성 상태를 주기적으로 평가하고, 미비한 설정을 수정하는 프로세스.
• 주요 정보: 시스템 구성 설정 상태, 보안 정책 준수 여부.
• 목적: 잘못된 보안 설정을 사전에 찾아내고 수정하여, 시스템이 보안 정책을 준수하도록 관리.

10. Incident Response (사고 대응)

• 정의: 보안 사고가 발생했을 때 신속하게 대응하고, 사고 확산을 방지하기 위한 절차.
• 주요 정보: 사고 원인, 피해 범위, 대응 단계.
• 목적: 보안 사고 발생 시 신속하게 대응하고, 사고 확산을 방지하며, 재발 방지 조치를 취함.

---

보안 정보 수집 유형 비교표

유형	주요 정보	목적	활용 도구
IoC (Indicators of Compromise)	악성 IP, 도메인, 해시값, 파일명 등	침해 사고 탐지 및 대응	SIEM, EDR, 방화벽
MITRE ATT&CK	공격 전술, 기법, 절차	공격자의 행위 분석 및 대응 전략 수립	MITRE ATT&CK Navigator, Threat Intelligence 도구
Threat Intelligence	최신 공격 기법, 악성코드 샘플, 취약점 정보	실시간 위협 인텔리전스 제공, 공격 예방	Threat Intelligence 플랫폼 (MISP, VirusTotal 등)
Vulnerability Management	소프트웨어 취약점, CVE, 패치 정보	시스템 및 애플리케이션의 취약점 파악 및 수정	Nessus, Qualys, OpenVAS
Log and Event Monitoring	시스템 로그, 네트워크 트래픽, 이벤트 로그	실시간 모니터링, 비정상 활동 탐지	ELK Stack, Splunk, Wazuh
Penetration Testing	취약한 네트워크 설정, 보안 정책 문제	모의 공격을 통한 보안 취약점 탐지	Metasploit, Burp Suite, Kali Linux
Tabletop Exercises	대응 절차, 시나리오 분석, 협력 체계	조직의 대응 계획 점검 및 협력 체계 강화	Mentimeter, Zoom (훈련 도구)
Endpoint Detection and Response (EDR)	엔드포인트 활동 로그, 실시간 경고	엔드포인트 악성 활동 탐지 및 대응	CrowdStrike, Carbon Black, SentinelOne
Security Configuration Assessment (SCA)	시스템 구성 상태, 보안 정책 준수 여부	시스템 보안 설정 준수 여부 확인 및 수정	Wazuh, SCAP
Incident Response	사고 원인, 피해 범위, 대응 단계	보안 사고 확산 방지, 대응 및 복구 절차 수행	SIEM, EDR, IR 플랫폼

---

각 정보 수집 유형은 서로 다른 목적과 기능을 가지고 있으며, 보안 관리를 강화하기 위해서는 이들 유형을 적절히 통합하는 것이 중요합니다. 예를 들어, IoC는 사고 발생 후 신속한 대응에 사용되지만, MITRE ATT&CK는 장기적인 전략 수립에 도움이 됩니다. 또한, Threat Intelligence는 실시간 위협 예방에 필수적이고, Vulnerability Management는 취약점 수정에 중점을 둡니다.

 

이러한 정보 수집 유형들을 함께 활용하여 조직의 전반적인 보안 전략을 강화하고, 잠재적인 위협에 효과적으로 대응할 수 있습니다.