[정보보안][악성코드]인텔리전스 기반 사고 대응, 4장(2부)

4장 탐지

• 행위자 중심 표적 선정

• 알려진 첩보로 시작하기

• 유용한 탐지 첩보

• 자산 중심 표적 선정

• 자산 중심 표적 선정 사용하기

• 뉴스 중심 표적 선정 사용하기

• 다른 사람의 통보를 기반으로 한 표적 선정

• 표적 선정의 우선순위 매기기

• 즉각적인 요구

• 과거의 사고

• 심각성

• 표적 선정 활동 정리하기

• 경성 단서

• 연성 단서

• 관련된 단서들 분류하기

• 첩보 저장

• 인텔리전스 제공 요청 절차

• 결론

 

---

 

일반적으로 이런 모든 선정 방법을 이용해서 TI를 함 (신경쓰는 요소와 그 관계를 잘 연결시켰을대 좋은 TI 결과가 됨)

 

 

행위자 중심 표적 선정 (Actor centric targeting)

 

 

고통의 피라미드(Pyramid of Pain), ref) ATTACKIQ

 

 

 

자산 중심 표적 선정 (Asset centric targeting)

• 운영을 가능하게 하는 특정 기술에 중점을 둔 선정 기법

뉴스 중심 표적 선정(News centric targeting)

 

다른 사람의 통보를 기반으로 한 표적 선정(third party)

• 행동 가능성(Actionability)

• 기밀성(Confidentiality)

• 운영 보안(Operational security)

 

피벗팅(Pivoting) : 서로 연관돼 있는지를 추적하는 것. 현재 사고와 과거의 사고에 단서가 존재하면 이러한 단서들의 연결성을 확인하는 것을 의미한다.

TIP(Threat Intelligence Platform)