아래의 번역된 간략한 서두 내용을 확인하시고 자세한 내용은 첨부된 SANS 보고서를 참조하시기 바랍니다.
인텔리전스 중심이 되고자 하는 보안 조직의 핵심 전략은 외부 위협 데이터를 활용하여 사이버 방어에 선제적으로 대응하는 것입니다. 외부 위협을 알게 됨으로써 보안 팀은 조직을 대상으로 하는 활성 공격을 보다 효과적으로 예측, 차단 및 탐지할 수 있습니다. 그러나 위협 인텔리전스 볼륨과 분석 능력 간의 올바른 균형을 유지하려면 적합한 인력, 프로세스 및 기술을 보유하는 고도의 위협 인텔리전스 프로그램을 구축해야 합니다. 실행 가능한 데이터를 대규모로 통합하고, 분석가 연구를 자동화하고, 보안 제어를 통해 결과를 얻을 수 있는 통합 메커니즘의 위협 인텔리전스 플랫폼(TIP)을 제공하여 이러한 프로그램을 구축하는 데 크게 기여합니다.
컨텍스트, 메커니즘, 지표를 추가하고 기존 또는 새로운 위협에 대한 의미 및 실행 가능한 조언 등을 통해 위협 인텔리전스를 유용하게 만드는 것은 노동 집약적이고 시간이 많이 소모되는 일입니다. 불행히도 대부분 조직에 있어서 분석가 작업의 80%는 데이터 수집 및 정규화에 소요되며, 나머지 20%가 보안 문제를 이해하고 해결하는 데 집중할 시간입니다. 조직들은 이 비율을 뒤바꾸고자 끊임없이 노력하고 있으나 전문 인력이 충분하지 않거나 그들이 갖고 있는 이러한 심각한 미션을 수행할 가용 시간을 갖지 못합니다. 최근 ESG의 연구에 의하면 53% 이상의 조직에서 사이버 보안 능력이 심각하게 부족하다고 보고했습니다. 그러나 보안 전문가 부족이 마술처럼 해결되더라도 위협 인텔리전스 모범 사례는 인력 충원으로 해결할 수 없는 지능적인 자동화 수준을 요구하는 "빅 데이터" 게임이 되었습니다.
속도는 위협 인텔리전스를 유용하게 만드는 또 다른 과제입니다. 유능한 공격자가 귀중한 자산에 엑세스하고 유출하는 데에는 때때로 짧은 기간이 소요되므로 탐지 시간은 기업 방어의 중요한 요소가 됩니다. 더 심각한 것은, Verizon 보고에 의하면 침해의 56%는 발견하는 데 몇 달 또는 그 이상이 소요되며 이는 막대한 "체류 시간"을 의미합니다. 이것은 또한 데이터 처리에 더 적은 시간을 할애할 필요성을 말하고 있습니다. 사이버 보안 팀의 역량을 강화하기 위해 특별히 설계된 기술을 더 잘 이해하기 위해 방대한 사이버 인텔리전스를 활용하면서 더 스마트하고 빠르게 작업하기 위해 SANS 팀은 Anomali ThreatStream® 제품을 검토할 기회를 얻었습니다.
ThreatStream, TIP는 위협 인텔리전스 수집, 큐레이팅 및 배포를 위한 통합 솔루션을 제공합니다. 여러 위협 데이터 소스를 자동으로 정규화, 중복 제거 및 강화합니다. 또한 오탐을 제거하고 모든 관련된 위협 지표들을 연계하여 하나의 저장소에 유용한 상태로 저장합니다. 그런 다음 타협 지표(IoC) 점수를 매기기 위해 기계 학습 알고리즘을 적용하고 IOC를 이해하려는 보안 전문가에게 매우 필요한 컨텍스트를 제공하여 빠르게 평가하고 대응할 수 있게 함으로써 대부분의 기업에 영향을 미치는 데이터 과부하와 기술 격차를 극복하고 사이버 보안의 사후 대응에서 사전 예방으로의 전환 목표를 달성합니다.