보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

이글루 CTI 활용하기 : How to use IGLOO CTI

2022.08.03

4,310

01. 사이버 위협 인텔리전스란

사이버 위협 인텔리전스 (CTI, Cyber Threat Intelligence)는 가트너에서는 "현존하거나 발생 가능한 위협에 대응을 결정에 사용할 수 있도록 해당 위협에 대한 맥락(context), 메커니즘, 지표, 예상 결과 및 실행 가능한 조언 등을 포함하는 증거 기반의 지식" 이라고 설명한다.

사이버 위협 인텔리전스란 전 세계에서 일어나는 모든 위협 정보를 수집하고 분석한 다음 여기서 얻은 지식을 활용해 사이버 위협에 대응하는 것을 뜻한다.

고도화되는 사이버위협에 대응하기 위해서는 위협의 공유와 공동 대응의 필요성이 대두 되었고, CTI를 활용해 새로운 위협 정보를 인지하고, 이를 통해 알려진 위협에 대해 선제적으로 대응할 수 있다.

위협 인텔리전스 플랫폼은 선제적 위협 대응을 위한 필수 요소이며, 위협 정보 공유를 통해 사이버 보안 사고를 신속하게 공유할 수 있으며, 가장 많이 활용되고 있는 TIP(Threat Intelligence Platforms)로는 사이버보안 룩셈부르크 컴퓨터 사고 대응 센터(CIRCL)의 MISP, 에일리언볼트(AlienVault)의 OTX, 국내에서는 한국인터넷진흥원(KISA), 금융보안원 FCTI 등이 있다.

이글루코퍼레이션은 이러한 위협 정보 공유서비스를 2016년에는 자사 보안정보이벤트관리(SIEM) 제품인 '스파이더 티엠(SPiDER TM)'과 연계를 하였으며, 2018년에는 자체적으로 '이글루 CTI 플랫폼(이글루 CTI)' 을 만들어 정식 서비스를 시작하였다.
이글루 CTI는 2022년 7월 13일 기준 8,233,005건의 IoC(Indicator Of Compromise)정보를 수집 및 배포 하였으며, 침해지표(IoC, Indicator Of Compromise)(IP, Domain, URL, SHA1, SHA256, MD5) 외에 국내외 위협정보, 취약점정보, 동향정보 등을 제공하고 있다.

이번호에서는 이글루 CTI에 대한 기능 및 정보를 소개하려 한다.

02. 대시보드

이글루 CTI 메뉴는 대시보드, 위협 정보, 인사이트 정보, ATT&CK 정보, 마이 페이지, REST API 로 구성되어 있다.

[그림 1] IGLOO CTI 대시보드(1)
[그림 2] IGLOO CTI 대시보드(2)

03. 위협 정보

위협 정보 메뉴에서는 IoC 정보, 수집 정보를 제공하고 있다.
IoC 정보에서는 수집하고 있는 침해지표(IoC:Indicator Of Compromise)를 표현하고 있으며, IGLOO CTI는 6가지 침해지표로 분류하고, 수집한 지표를 “스코어링 기법”을 적용하여 4단계 점수로 분류한다.
분류되는 점수 분류는(Critical, High, Medium, low)이다.

[그림 3] IGLOO CTI 위협 정보_IoC 정보

좌측 검색 창을 통해 수집정보, 분류, 점수, 국가, 태그 및 날짜로 검색할 수 있으며, 검색 결과는 우측 상단에 파일 저장 기능을 이용할 수 있으며 파일 형식은 JSON, CSV, STIXv1 이다.
또한, 수집 정보를 클릭 시 더 자세한 내용을 확인할 수 있다.

[그림 4] IGLOO CTI 위협 정보_IoC 정보 상세내용

수집 정보는 IoC 정보에 수집 근거(수집 처, 수집일)에 대한 정보를 포함 하고있으며 수집 정보 클릭 시, 자세한 내용을 확인할 수 있다.

[그림 5] IGLOO CTI 위협 정보 수집 정보
[그림 6] IGLOO CTI 위협 정보 수집 정보 상세정보

04. 인사이트 정보

인사이트 정보 메뉴는 CVE, Exploit, Google Hacking, 동향 정보를 제공하고 있다.

취약점 정보를 나타내는 CVE 정보, 공격 코드를 나타내는 Exploit, 구글 해킹에 사용되는 Google Hacking DB, 동향 정보 등을 검색 활용할 수 있다.

[그림 7] IGLOO CTI 인사이트 정보

05. ATT&CK

ATT&CK 메뉴는 MITRE ATT&CK 정보를 확인할 수 있다. (v10.1 기준 정보)

[그림 8] IGLOO CTI ATT&CK 정보 Matrices

그 외 메뉴는 아래와 같이 구성되어 있다.

[표 1] IGLOO CTI ATT&CK 메뉴 구성

Matrices에서는 전술(Tactic)과 기술(Techniques)을 표현하고 있으며, 태그나 Matrices 클릭 시 상세 정보를 확인 할 수 있다.

[그림 9] IGLOO CTI ATT&CK 정보 Matrices 상세 정보

06. 마이페이지

마이페이지 메뉴에서는 전체 피드와 내 피드를 확인할 수 있다.

IGLOO CTI는 해외 위협 정보, 국내 위협 정보, 인사이트(해외), 인사이트(국내)로 구성되어 있으며, 전체 47건의 피드에서 데이터를 수집하고 있다.

[그림 10] IGLOO CTI 마이페이지

07. REST API

REST API 메뉴는 데이터 연동을 위한 API 설명 페이지이다.

이글루 CTI에서 수집하는 모든 정보를 API 기능으로 제공하고 있으며, 자사 제품(API) 및 타사 제품(STIX/TAXII)에 대한 데이터 연동을 지원한다.

[그림 11] IGLOO CTI REST API

08. 결론

IGLOO CTI는 사이버 공격을 사전에 예방하고, 공격을 탐지하며 공격자를 신속하게 식별하는 데 도움을 주기 위해 국내외 기업·기관에서 수집한 보안 위협 정보를 지속적으로 공유하고 있다.

기업 및 기관을 노리는 보안 위협에 맞서 공격의 맥락과 목적 등을 간파해 선제적인 대응이 가능하도록 수집한 위협 정보 중 고객사와 연관이 있는 상세 정보를 선별하여 제공하며 이를 보안관제시스템과 연계함으로써 최신 보안 위협 예방 체계를 구축하고 관제 프로세스를 개선할 수 있다.

[그림 11] IGLOO CTI REST API