사고 대응에 위협 인텔리전스를 활용하고 계십니까?

우리가 그랬듯이 앞서 언급됨 이 블로그에서 볼 수 있듯이, 정보 보안 업계는 매우 훌륭한 탐지 솔루션을 많이 개발해 왔습니다. 이러한 도구들이 시장에 출시됨에 따라, 조직들은 이제 위협 인텔리전스, 즉 환경에 대한 기존 또는 잠재적 공격에 대한 정보에 집중할 수 있게 되었습니다.

위협 인텔리전스는 조직에 매우 중요하지만, 오늘날 보안 운영 관리에서 가장 시급한 문제 중 하나는 위협 인텔리전스가 사고 대응과 제대로 통합되지 않는 경우가 너무 많다는 것입니다. 다시 말해, 위협 인텔리전스를 통해 식별된 잠재적 위협에 대한 경고가 SOC(보안 운영 센터)로 전송되지만, 해당 경고를 더 자세히 분석하고 경고의 맥락에 대한 추가 정보를 파악하기 위해 위협 인텔리전스를 신속하게 활용할 방법이 없는 경우가 많습니다.

보안 팀이 탐지 도구를 통해 이미 수집하고 있는 정보를 최대한 활용하려면 호스트 이름이나 IP 주소와 같은 위협 인텔리전스 기반 정보를 분석하고 조직의 위협 인텔리전스 데이터 저장소에서 다음과 같은 질문에 대한 답을 찾을 수 있는 솔루션이 필요합니다.

• 이 공격은 무엇과 관련이 있습니까?

• 누가 이 공격을 자행하고 있는 것일까요?

• 그들이 다른 악의적인 작전을 수행하고 있습니까?

• 다음으로 제가 취해야 할 조치는 무엇인가요? 프로세스를 기반으로 팀 구성원이 과거에 유사한 공격을 완화하기 위해 사용했던 도구나 플랫폼이 포착된 적이 있습니까?

이러한 질문들, 특히 마지막 질문에 대한 답을 얻으면 정보 보안 담당자는 더 폭넓은 상황 인식을 바탕으로 위협에 종합적으로 대응할 수 있습니다.

위협 인텔리전스를 활용한 사고 대응 관리를 쉽게 이해하는 방법은 빅데이터라는 관점에서 바라보는 것입니다. 모든 분야의 조직들은 방대한 양의 정보를 수집하고 있으며, 거의 모든 조직들이 불필요한 정보를 걸러내고 실제로 프로세스 개선에 도움이 되는 데이터에 집중하는 가장 효율적인 방법을 찾고 있습니다. 보안 운영 관리도 마찬가지입니다. 가장 관련성이 높은 정보를 더 빨리 확보할수록, 공격 초기 단계에서 위협에 대응할 수 있습니다.