위협 인텔리전스(Threat Intelligence, TI)는 가트너 정의에 따르면 ‘증거 데이타 지식으로, 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제시하는 정보’를 의미합니다. TTA 용어 사전에 의하면 ‘조직의 정보(information) 자산에 위협이 될 수 있는 취약 요소, 과거 공격 등 관련 정보를 기반으로 사이버 보안 위협에 효과적으로 대응하는 방법’이라고 정의하고 있습니다.
‘APT와 ‘제로데이 공격’ 시대, ‘위협인텔리전스’의 필요성
사이버 공격자들이 자동화된 스크립트로 작성된 공격을 사용하면서 사이버 위협은 더욱 정교화되고 있습니다. 공격의 속도는 기하 급수적으로 빨라지고 그 규모는 거대해지고 있습니다. 점점 고도화되고 지능화된 공격들을 일컬어 ‘APT’라고 합니다. 이런 공격들은 이미 기존의 보안 솔루션들을 우회하고 있으며, 사람의 힘으로 그 속도를 따라가기가 어려워졌습니다. 한마디로 ‘공격의 지능화 시대’입니다.
그중 현재 주목해야 할 부분은 ‘알려지지 않은 위협’이며, 기존의 수동적인 탐지와 대응만으론 알려지지 않은 위협의 존재 여부조차 알아내기 어렵습니다. 알려지지 않은 공격이기 때문에 방어책 또한 없어 보안솔루션이 있다고 하더라도 막아낼 수 없는 것이 ‘제로 데이 공격’입니다. 이러한 공격에 효과적으로 대응하기 위해서는 방어에도 지능화가 필요한 것입니다. 빠른 속도로 분석하고 결과를 반영해 실시간 위협에 대응할 수 있어야 합니다. 이것이 바로 ‘위협인텔리전스’입니다.
‘위협인텔리전스’는 클라우드 기반 머신러닝기술이 있기때문에 가능합니다. 매일 새롭게 생성되는 보안 이벤트 및 데이터의 정보가 클라우드상에서 실시간으로 취합되며, 머신러닝으로 대규모 데이터를 빠르게 분석해낼 수 있습니다. 기존의 보안 솔루션들이 위협을 탐지하고 차단하는 데에만 중점을 두었다면, AI기반 머신러닝 엔진이 적용된 ‘위협인텔리전스’와의 결합은 정교화된 위협의 식별과 분류를 통해 한층 더 강화된 위협 대응이 가능하게 합니다.
모니터랩 위협인텔리전스 플랫폼 ‘AILabs’
모니터랩의 위협인텔리전스를 소개합니다. 모니터랩이 자체 개발하고 운영하는 ‘AILabs’는 클라우드 기반의 위협인텔리전스 플랫폼으로, 공격자에 대한 정보와 공격 기술에 대한 실시간 위협 인텔리전스 혜택을 제공합니다. 모니터랩의 위협인텔리전스는 시그니처/평판 탐지, 전체 트래픽 검사, Profiling 뿐만 아니라, 실시간 정보 수집/공유, 서드파티와 연동, 데이터마이닝, 빅데이터 분석 등의 기술이 결합되어 있습니다.
수 많은 위협정보가 실시간으로 ‘AILabs’에 자동으로 모여지고 분석되고, 다양한 형태로 가공되어 다양한 보안솔루션과 연결됩니다. 모니터랩의 위협인텔리전스는 모니터랩의 웹보안 제품 관련 기술과 데이터가 포함된 상호적 인텔리전스 운영에서 도출한 것입니다. 머신러닝 엔진을 통한 프로파일링을 넘어 신종, 위변종 공격 정보까지 인지/분류해내 ‘ 알려지지 않은 공격’까지 방어할 수 있게 해줍니다. 이 같은 ‘수집-분석-처리-배포’ 과정은 실시간으로 진행되며 끊임없는 선순환 구조로 더욱 정확한 위협 인텔리전스를 만들어냅니다.
Collection
Analysis
Processing
Distribution
Malicious Code
Malicious URL
Landing Site
Distribute Site
Domain, IP
Malicious URL DB
Hash
Bad Crawler.bot
Various logs
3rd party Integration
API List
Others
Dynamic Analysis
URL visit analysis
API comparison analysis
Similarity Profiling Analysis
Static Analysis
Pattern comparison analysis
Category Analysis
Historical Analysis
Reputation Analysis
Machine leaming Analysis
Others
Data correction and mining
Big Data Analysis
Correlation Analysis
Others
Deploying with
Rest API
3rd party Integration
AI Product
1. 다양한 종류의 위협 인텔리전스 수집과 제공
악성코드 공격 프로파일(악성코드, 익스플로잇 URL, 그리고 인바운드 감염 및 공격을 유발하는 다른 출처 포함) 이메일 첨부 파일 및 URL에 대한 분석, 악성 웹사이트와 이메일 출처를 식별하는 악성코드 콜백 목적지(사용된 목적지 IP 주소, 프로토콜, 사용된 포트), 전송 세션을 인스턴스화하는데 사용하는 사용자 지정 명령과 같은 악성코드 통신 프로토콜의 특성 등 다양한 공격기술과 공격자에 대한 위협인텔리전스 정보를 제공합니다.
2. 방대한 웹 취약성 정보 기반의 빅데이터
모니터랩은 4000여 사이트에서 15년간 웹애플리케이션 방화벽(WAF)솔루션을 운영해왔습니다. 이로 부터 축적된 방대한 데이터를 바탕으로 포괄적인 웹 취약성 정보를 제공합니다.
웹 취약성 인텔리전스에는 위험 점수, 영향 받는 제품, 패치 가용성 및 활용을 비롯한 다양한 상황 속성이 포함됩니다. NVD (National Vulnerability Database) 와 다른 보안 솔루션, 크롤링 기술 등을 통해 위협 관련 빅데이터를 만들어냅니다.
3. 총체적인 상관관계 분석으로 유의미한 현재진행형 정보
‘AILabs’의 데이터는 서로 다른 것으로 보이는 다양한 지표들과의 인과관계 및 상관관계를 파악하기 위해 풍부하게 검증되고 분석됩니다. 수 많은 데이터들은 총체적으로 분석돼 현재에 활동중인 위협정보를 발견하고 현재에 유의미한 위협정보만을 선별해 냅니다.
4. 머신러닝 통한 빅데이터 분석으로 알려지지 않은 위협 방어
‘AILabs’의 머신러닝엔진은 ‘알려지지 않은 위협’까지 발견해 냅니다. 일반적인 프로파일링으로는 예측할 수 없는 변종 위협도 빅데이터 기반의 머신러닝을 통하면 미리 알 수 있기 때문입니다.
5. 실시간 자동화된 자료취합, Data feed, Virtual Patching
이 모든 데이타는 실시간으로 클라우드에 모입니다. 취합되고 분석된 정보는 다시 각 솔루션에 실시간으로 업데이트가 됩니다. 다시 말해 ‘AILabs’는 자동화된 데이타 피드 시스템을 갖추고 있습니다. 플랫폼에 데이타를 축적하고 정규화시킨 데이터는 필터링과 분석, 스코어링, 셀력션 등의 과정을 거친 후 적합한 데이타 형태로 가공됩니다. 다양한 형태로 완성된 인텔리전스 결과물은 restful API를 거쳐 보안 솔루션에 업데이트됩니다. 또한 위협 취약점에 대해 자동으로 가상패칭 (Virtual Patching)업데이트가 됩니다.
6. 자체 개발 / 운영 위협인텔리전스 플랫폼
‘AILabs’는 모니터랩이 자체 개발하고 운영하는 위협 인텔리전스 플랫폼입니다. 위협인텔리전스 서비스를 따로 구매하는 경우 연동의 문제, 추가 개발로 인한 불편함, 운영의 어려움 등이 있을 수 있습니다. 모니터랩의 보안 솔루션을 선택하면 AILabs를 통한 위협인텔리전스 서비스가 바로 적용됩니다. ‘AILabs’는 모니터랩 제품에 최적화된 형태로 지속적으로 개발하고, 효율적인 운영을 합니다.
