Offcanvas

보안 / 애플리케이션

리뷰 | 넘치는 위협 정보 속 노련한 길잡이 '쓰렛커넥트'

2017.09.14 John Breeden  |  CSO
기업이 사이버 보안 성숙도를 높이는 과정에서 중요한 것 중 하나가 위협 피드 데이터를 얻는 것이다. 여러 가지 위협 관련 보고서를 통해 사이버 위험과 잠재적 해커에 대한 정보를 파악할 수 있다.

문제는 구독하는 피드가 많다고 보안이 더 단단해지는 것은 아니라는 점이다. 일부 기업은 분석가가 매일 또는 수 분마다 생성되는 수 백 또는 수 천 개의 위협 보고서를 모니터링할 수 없었다는 점을 간과하고 있다.

이 때문에 위협 피드가 너무 많으면 전혀 없는 것만큼이나 좋지 않다. 이를 효과적으로 관리하지 못하면 필요한 공격 보고서를 찾아 실행 가능한 위협 정보를 생성하는 것이 오히려 더 힘들 수 있다. 그래서 등장한 것이 '쓰렛커넥트(ThreatConnect)' 플랫폼이다. 이질적인 피드와 정보 중 실질적인 보안 위협에 집중할 수 있도록 개발됐다. 가장 위험한 공격에 대해 자동으로 대응하는 것도 가능하다.

쓰렛커넥트는 온프레미스나 프라이빗 또는 퍼블릭 클라우드에 설치해 사용할 수 있다. 관리와 대응 관련된 모든 기능을 사용할 수 있는 'TC 컴플리트(TC Complete)'와 위협 피드를 통합, 관리하는 'TC 아이덴티파이(TC Identify)' 등 다양한 버전의 제품이 있다. 여기서는 프라이빗 클라우드용 TC 컴플리트를 중심으로 살펴보자.

메인 대시보드
TC 컴플리트의 메인 대시보드는 기업이 구독하는 피드 위협과 이에 대해 쓰렛커넥트가 어떻게 대응하는지 개괄적으로 보여준다. 메인 프로그램에는 여러 공개 피드가 이미 등록돼 있으며 모니터링 준비가 됐거나 쓰렛커넥트가 생성한 피드도 있다. 피드 수에 따른 가격 차이는 없다.

쓰렛커넥트의 메인 대시보드

TC 컴플리트를 써보면 메인 대시보드에서 너무 많은 시간을 쓸 필요가 없다는 것을 알게 될 것이다. 분석가는 통합 위협 목록을 탐색하는데 가장 많은 시간을 소요하고, 이 정보를 다양한 방식으로 분류해 빠르게 파악할 수 있다. 또한 구체적인 위협은 플래그를 적용하고 강조할 수 있으며, 이는 다른 팀과의 협업에 도움이 된다. 특정 위협이 네트워크에 실제 영향을 주는 것이 감지되면 다양한 작동을 하도록 자동 트리거를 설정할 수도 있다.

사용례
쓰렛커넥트의 쓰임새는 크게 2가지다. 첫째, 네트워크에 도달하는 구체적인 위협을 더 신속하게 파악하는 툴이다. 예를 들어, SIEM 또는 방화벽에 대한 새로운 종류의 공격이 이루어지면 분석가는 구독한 피드 중 관련 내용이 있는지 검색할 수 있다. 다른 업체의 사례를 확인하거나 혹은 구체적인 방법 방법도 배울 수 있다.

둘째, 쓰렛커넥트는 SIEM과 통합해 위협에 대한 국지적인 관점을 제공해 피드의 정보를 실제 로컬 조건과 비교한다. 예를 들어 TC 컴플리트를 스플렁크(Splunk)와 통합하면 악성코드 명령 및 제어 서버의 도메인 등록 같은 피드로부터 얻은 위협 정보를 스플렁크가 찾아낸 이벤트와 연계해 정보를 검색할 수 있다. 테스트에서는 이런 방식을 통해 피드에서 식별된 위협이 아직은 내부 네트워크에 영향을 주지 않았음을 확인할 수 있었다. 이처럼 분석가는 잠재적인 위협에 대한 지식을 로컬 네트워크에 대한 보고서와 연계할 수 있다.

플레이북 활용하기
TC 컴플리트는 단순한 정보 이상을 제공하기도 한다. 플레이북을 만들면 특히 위협이 되는 보안 공격에 대해 특정 처리 방법을 미리 설정할 수 있다. 플레이북은 흐름도 형식으로 구성된다. 이는 SIEM에 대한 프로세스를 시작하는 분석가 또는 피드로부터 알려진 위협의 존재를 감지하는 방화벽으로부터 얻은 트리거로 시작된다.

쓰렛커넥트 플레이북

해당 트리거 후에는 사용자가 일련의 프로세스 또는 동작을 추가해 다양한 결과가 흐름도 내의 다른 동작으로 이어진다. 예를 들어, 위협과 관련된 것으로 의심되는 프로그램은 팔로 알토(Palo Alto) 샌드박스로 자동 전송되도록 할 수 있다. 그 결과에 따라 실제 악성코드를 네트워크에서 자동으로 차단할 수 있다.

플레이북는 꽤 광범위하다. 이를 활용하면 사용자가 위협 피드를 네트워크와 직접 연계해 상황을 더 빨리 인식하고 심지어 자동 프로세스를 설정해 방어자에게 경고하거나 악성 프로그램을 차단하는 것도 가능하다.

결론
오늘날 위협 피드가 넘쳐나고 있다. 단순히 공개된 무료 피드를 구독하면 하루에만 수 천 개 보고서를 받을 수도 있다. 유료 구독은 더 표적화된 정보를 제공하지만 그렇다고 데이터 관리가 덜 복잡해지는 것은 아니다. 이럴 때 쓰렛커넥트처럼 이론적인 위협 정보와 실제 세계 사이의 공백을 메울 수 있는 툴을 이용하면 감지 및 대응 능력을 관리하고 최적화하는데 도움이 될 것이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.