위협이란 무엇인가?
정의상 위협은 이러한 시스템을 해칠 수 있는 기업 자산에 대한 잠재적 위험이다. 많은 경우에 위협, 취약성 및 위험이라는 세 가지 용어 사이에 혼동이 있다. 앞에서 설명한 것처럼 첫 번째 용어는 잠재적 위험인 반면 취약성은 알려진 약점 또는 자산의 격차다. 위험은 취약성을 이용하는 위협의 결과물이다. 즉 앞의 두 용어 사이의 교차점이라고 볼 수 있다. 자산을 공격하는 데 사용되는 방법을 위협 벡터라고 한다.
위협에는 크게 세 가지 유형이 있다. * 자연적 위협 * 의도하지 않은 위협 * 의도적인 위협
고급 지속적 위협(APT)이란?
위키피디아는 "고급 지속적 위협"을 다음과 같이 정의한다.
"첨단 지속적 위협은 은밀한 컴퓨터 네트워크 위협 행위자, 전형적으로 국가 또는 국가가 후원하는 단체로, 컴퓨터 네트워크에 대한 무단 액세스를 얻고 장기간 탐지되지 않은 채로 남아 있다."
APT를 탐색하려면 다음을 통해 이 훌륭한 리소스를 확인하십시오.FireEye
위협 인텔리전스란?
"사이버 위협 인텔리전스는 사이버 공간의 유해한 사건들을 완화시키는 데 도움을 주는 위협과 위협 행위자들에 대한 정보다. 사이버 위협 정보 출처에는 오픈 소스 인텔리전스, 소셜 미디어 인텔리전스, 휴먼 인텔리전스, 기술 인텔리전스 또는 깊고 어두운 웹의 인텔리전스가 포함된다.[출처: 위키백과]
즉, 전체 그림을 완성함에 따라 인텔리전스가 데이터나 정보와 차이가 있다는 것이다.
Threat Intelligence는 다음 단계를 거친다.
- 계획 및 방향
- 컬렉션
- 처리 및 공격
- 분석 및 생산
- 보급 및 통합
타협 지표(IOCs)란 무엇인가?
타협 지표는 MD5 해시, URL, IP 주소 등과 같은 침입을 탐지하는 데 사용할 수 있는 위협에 대한 정보 조각이다.
이 작품들은 다음과 같은 단체들 덕분에 서로 다른 단체에서 공유될 수 있다. * 정보 공유 및 분석 센터(ISAC) * 컴퓨터 긴급대응팀(CERTs) * 멀웨어 정보 공유 플랫폼(MISP)
이러한 IOC는 공유/수집/분석 프로세스를 용이하게 하기 위해 일반적으로 다음과 같은 특정 형식과 프로토콜을 준수한다.
- OpenIOC
- STIX(Structured Threat Information eXpression)
- 신뢰할 수 있는 자동화된 지능 정보 교환(TAX)II)
예를 들어, 다음은 IOC STIX의 Wannacry 랜섬웨어 대표다.
타협 지표를 만들고 편집하는 데 도움을 주기 위해 파이어아이(Fireeye)의 IOC 편집기를 rxample에 사용할 수 있다. 여기서 찾을 수 있다. 다음은 사용자 안내서:
그래픽 인터페이스를 사용하여 타협 지표를 작성하기만 하면 된다.
IOC를 비교할 수 있는 능력도 제공한다.
Threat Intelligence Fundamentals
What is a threat?
By definition, a threat is a potential danger for the enterprise assets that could harm these systems. In many cases, there is confusion between the three terms Threat, Vulnerability and Risk; the first term, as I explained before, is a potential danger while a Vulnerability is a known weakness or a gap in an asset. A risk is a result of a threat exploiting a vulnerability. In other words, you can see it as an intersection between the two previous terms. The method used to attack an asset is called a Threat Vector.
There are three main types of threats: * Natural threats * Unintentional threats * Intentional threats
What is an advanced Persistent Threat (APT)?
Wikipedia defines an "Advanced Persistent Threat" as follows:
"An advanced persistent threat is a stealthy computer network threat actor, typically a nation-state or state-sponsored group, which gains unauthorized access to a computer network and remains undetected for an extended period"
To explore some APTs Check this great resource by: FireEye
What is Threat Intelligence?
“Cyber threat intelligence is information about threats and threat actors that helps mitigate harmful events in cyberspace. Cyber threat intelligence sources include open source intelligence, social media intelligence, human Intelligence, technical intelligence or intelligence from the deep and dark web "[Source: Wikipedia]
In other words, intelligence differs from data and information as completing the full picture.
Threat Intelligence goes through the following steps:
- Planning and direction
- Collection
- Processing and exploitation
- Analysis and production
- Dissemination and integration
What are the Indicators of compromise (IOCs)?
Indicators of compromise are pieces of information about a threat that can be used to detect intrusions such as MD5 hashed, URLs, IP addresses and so on.
These pieces can be shared accross different organizations thanks to bodies like: * Information Sharing and Analysis Centers (ISACs) * Computers emergency response teams (CERTs) * Malware Information Sharing Platform (MISP)
To facilitate the sharing/collecting/analyzing processes these IOCs usually respect and follow certain formats and protocols such as:
- OpenIOC
- Structured Threat Information eXpression (STIX)
- Trusted Automated Exchange of Intelligence Information (TAXII)
For example, this is the IOC STIX representation of Wannacry ransomware:
To help you create and edit your indicators of compromise you can use, for rxample, IOC editor by Fireeye. You can find it here: This is its user guide:
You can simply create your Indicators of compromise using a graphical interface:
It gives you also the ability to compare IOCs
※ 출처 : Blue Teams Academy | www.blueteamsacademy.com/threat-intelligence-fundamentals/
댓글