qingfro9님의 블로그 입니다.

[정보보안][악성코드]인텔리전스 기반 사고 대응, 7장(2부) 본문

정보보안/악성코드

[정보보안][악성코드]인텔리전스 기반 사고 대응, 7장(2부)

qingfro9 2020. 8. 3. 09:00

7장 확대

  • 확대할 대상은?

  • 첩보 수집하기

  • 위협 첩보 저장하기

    • 지표의 데이터 표준 및 형식

    • 전략 첩보를 위한 데이터 표준 및 형식

    • 첩보 관리

    • 위협 인텔리전스 플랫폼

  • 결론

 


 

Oasis 제품군 - CybOX/STIX/TAXII

 

Oasis : Organization for the Advancement of Structured Information Standard : 구조화정보표준기구

  • 사이버 관찰 가능 표현 : CybOX : Cyber ObservalbeeXpression : 인텔리전스를 저장하고 공유하기 위한 구성 요소

  • 사이버 위협 정보 표현 규격 : STIX, Structured Threat Information eXpression : 위협 데이터를 처리하고 수신하는데 가장 일반적으로 요구되는 형식

    • cybOX가 좀 더 세부적인 데이터를 정의할 수 있음 : 위협 행위자 정보, 공격 활동, 피해자 표적(Victim Targets) 등의 정보

  • 사이버 위협 정보 전송 규격 : TAXII : Trusted Automated eXchanged of Indicator Information :데이터 표준이 아니며 STIX와 너무 자주 짝을 이웠기 때문에 많은 사람이 데이터 표준의 이름을 STIX/TAXII라고 알고 있음

    • TAXII은 전송과 공유 프레임워크

MILE 워킹 그룹

사고 경량 교환(MILE, Managed Incident Lightweight Exchange) 

  • 침해사고 이벤트 교환 포맷 (IODEF, Incident Object Definition and Exchange Format) : XML 기반 표준

  • 침해사고 기관 간의 침해사고 전달을 위한 메세지 전달 방식 (RID, Real-time Inter-network Defense) : STIX/TAXII같이 쓰듯이 IODEF-SCI는 RID를 사용

  • 구조화된 사이버 보안 첩보(SCI, Structured Cybersecurity Information)

 

OpenIOC

 

 

전략 첩보를 위한 데이텨 표준 및 형식

  • VERIS(이벤트 기록 및 사요 공유 어휘, Vocabulary for Event Recording and Incident Sharing)

    • JSON

  • CAPEC(사이버 공격 패턴 및 목록, Common Attach Pattern Enumeration and Classification)

    • SW개발 보안을 위해 만들어진 프레임워크

 

위협 인텔리전스 플랫폼

  • MISP

  • CRITs

    • MITRE에서 개발

    • STIX, TAXII와 함께 동작

    • CSV, STIX, JSON 형식으로 내보내기 가능

  • YETI

 

 

 

 

 

Comments