[정보보안][악성코드]인텔리전스 기반 사고 대응, 7장(2부)

7장 확대

• 확대할 대상은?

• 첩보 수집하기

• 위협 첩보 저장하기

• 지표의 데이터 표준 및 형식

• 전략 첩보를 위한 데이터 표준 및 형식

• 첩보 관리

• 위협 인텔리전스 플랫폼

• 결론

 

---

 

Oasis 제품군 - CybOX/STIX/TAXII

 

Oasis : Organization for the Advancement of Structured Information Standard : 구조화정보표준기구

• 사이버 관찰 가능 표현 : CybOX : Cyber ObservalbeeXpression : 인텔리전스를 저장하고 공유하기 위한 구성 요소

• 사이버 위협 정보 표현 규격 : STIX, Structured Threat Information eXpression : 위협 데이터를 처리하고 수신하는데 가장 일반적으로 요구되는 형식

• cybOX가 좀 더 세부적인 데이터를 정의할 수 있음 : 위협 행위자 정보, 공격 활동, 피해자 표적(Victim Targets) 등의 정보

• 사이버 위협 정보 전송 규격 : TAXII : Trusted Automated eXchanged of Indicator Information :데이터 표준이 아니며 STIX와 너무 자주 짝을 이웠기 때문에 많은 사람이 데이터 표준의 이름을 STIX/TAXII라고 알고 있음

• TAXII은 전송과 공유 프레임워크

MILE 워킹 그룹

사고 경량 교환(MILE, Managed Incident Lightweight Exchange) 

• 침해사고 이벤트 교환 포맷 (IODEF, Incident Object Definition and Exchange Format) : XML 기반 표준

• 침해사고 기관 간의 침해사고 전달을 위한 메세지 전달 방식 (RID, Real-time Inter-network Defense) : STIX/TAXII같이 쓰듯이 IODEF-SCI는 RID를 사용

• 구조화된 사이버 보안 첩보(SCI, Structured Cybersecurity Information)

 

OpenIOC

 

 

전략 첩보를 위한 데이텨 표준 및 형식

• VERIS(이벤트 기록 및 사요 공유 어휘, Vocabulary for Event Recording and Incident Sharing)

• JSON

• CAPEC(사이버 공격 패턴 및 목록, Common Attach Pattern Enumeration and Classification)

• SW개발 보안을 위해 만들어진 프레임워크

 

위협 인텔리전스 플랫폼

• MISP

• CRITs

• MITRE에서 개발

• STIX, TAXII와 함께 동작

• CSV, STIX, JSON 형식으로 내보내기 가능

• YETI