아직 답변이 없습니다
아직 답변이 없습니다
아직 답변이 없습니다
아직 답변이 없습니다
아직 답변이 없습니다
아직 답변이 없습니다
아직 답변이 없습니다
아직 답변이 없습니다
아직 답변이 없습니다
patch management는 필요한 패치가 무엇이고 이것이 적용되어 있고 아니고를 의미하죠. 여기에 인텔리전스는 patch priority를 제공하는 것입니다. 즉 공격자가 이용하지 않으면 패치하지 않아도 문제는 없겠죠. 인텔리전스는 취약점이 공개전 또는 공개후라도 공격자가 공격을 진행하는 경우, 랜섬웨어 공격자가 활용하는 경우 등 그런한 실제 공격 활동을 공유하여 패치에 대한 우선순위를 결정할 수 있도록 도와드리는 것입니다.
AI/ML등은 특정 소스를 바탕으로 알고리즘을 사용하여 이상징후를 탐지하는 것이죠. CTI는 이런 방법을 일부분에서 활용하기도 하지만 궁극적인 내용은 사이버 보안에 관련된 다양한 정보를 인텔리전스로 제공하는 것입니다.
랜섬웨어 공격을 하는 집단이 존재합니다. 그들이 침투에 사용하는 공격 방법이 존재하고, 어떤 식으로 어디를 대상으로 많이 진행하는지 인텔리전스를 그 내용을 알려드릴 수 있습니다. Mitre attack 에서 이야기 하는TTP등이죠. 이 내용을 바탕으로 무엇을 준비해야 할지 대응이 가능합니다.
아직 답변이 없습니다
맥락정보라는 context를 많이 제공하면 좋을수도 있겠지만, 맥락정보를 바탕으로 분석가가 검증하여 인텔리전스를 제공하는 것이 정확한 의사결정에 도움이 됩니다.
여기서 말씀하시는 분석가는 인간 전문가이죠?
EDR, XDR, SIEM모두 triger하죠. 이 트리거된 내용을 선별 처리하기 위해서는 의사결정이 필요합니다. 이때 의사결정을 빠르게 할 수 있도록 관련 정보를 제공하여 주는 것입니다.
작년 12월 log4j가 나왔을때 긴급조치를 할 수 있도록 해당 취약점을 공격하는 공격자의 IP를 제공하여 선제적인 방어가 가능했습니다.
ESM/SIEM은 고객사가 가지고 있는 로그를 기반으로 상관관계 분석을 하는 것이지만, 인텔리전스는 고객사에 로그를 사용하지 않고 전적으로 외부의 데이터를 기반으로 유용한 인텔리전스를 제공하는 것이 큰 차이입니다.
인텔리전스가 사용되는 예가 많아서 큰 맥락에서 다르지는 않지만 유사성이 많이 있습니다.
다양한 산업군별로 요구되는 것이 다르기 때문에 아주 다양한 사례를 가지고 있습니다. 이 부분은 향후 별도 미팅으로 소개해드리는 것이 맞을거 같습니다.
SOAR크게 오케이스레이션 또 오토메이션이 들어가 있죠. 그런 협업 자동화를 하기 위해 CTI는 의사결정을 할수 있는 판단 정보를 제공하는 것입니다. 그러니 인텔리전스가 반드시 필요하죠.
아 그럼 둘이 협업관계라고 봐야 하겠네요...답변 감사합니다.