qingfro9님의 블로그 입니다.

9장. 배포 인텔리전스 고객의 목표 독자 인원/경영진 고객 내부 기술 고객 외부 기술 고객 고객 페르소나 개발 저자 실행 가능성 글쓰기 절차 계획 초안 편집 인텔리전스 보고서의 형식 단문 보고서 장문 보고서 인텔리전스 제공 요청 절차 자동 소비 보고서 리듬 찾기 배부 의견 제시 정기 보고서 좋은 인텔리전스 보고서의 특징 정확도 고객 중심 실행 가능성 인텔리전스 고객의 요구사항을 충족시킬 수 있는 5가지 요소 목적은 무엇인가? 고객은 누구인가? 적절한 보고서의 길이는 얼마인가? 인텔리전스의 수준은 전술적, 운영적, 전략적으로 어느 정도인가? 사용할 수 있는 언어의 말투와 유형은 기술적 또는 비기술적으로 어떤것인가?

8장 분석 분석의 기초 무엇을 분석할 것인가? 분석하기 데이터 강화하기 가설 수립하기 주요 가정 평가하기 판단과 결론 분석 절차와 방법 구조와된 분석 표적 중심 분석 경쟁 가설 분석 그래프 분석 역발상 기법 결론 왜 우리가 표적이 됐을까? 누가 우리를 공격했을까? 어떻게 공격을 막을 수 있었을까? 어떻게 공격을 탐지할 수 있었을까? 확인할 수 있는 특정 패턴이나 동향이 있는가? 표적 중심 분석(target centric analysis) 경쟁 가설 분석(ACH, Analysis of Competing Hypotheses) 그래프 분석 (Grapy Analysis) 말테고 역발상 기법 (Contrarian technique) 악마의 변호인(devil's advocate) : 반대 관점의 생각 만약 분석 :..

7장 확대 확대할 대상은? 첩보 수집하기 위협 첩보 저장하기 지표의 데이터 표준 및 형식 전략 첩보를 위한 데이터 표준 및 형식 첩보 관리 위협 인텔리전스 플랫폼 결론 Oasis 제품군 - CybOX/STIX/TAXII Oasis : Organization for the Advancement of Structured Information Standard : 구조화정보표준기구 사이버 관찰 가능 표현 : CybOX : Cyber ObservalbeeXpression : 인텔리전스를 저장하고 공유하기 위한 구성 요소 사이버 위협 정보 표현 규격 : STIX, Structured Threat Information eXpression : 위협 데이터를 처리하고 수신하는데 가장 일반적으로 요구되는 형식 cybOX가..

6장 종결 종결은 보복 해킹이 아니다! 종결 단계 완화하기 개선하기 재구성하기 조치하기 거부하기 방해하기 저하하기 속이기 파괴하기 사고 데이터 정리하기 추적 활동을 위한 도구 특수 목적으로 제작된 도구 피해 평가 생애주기 관찰 결론 FIR(Fast Incident Response) : 오픈소스 툴, 사고 대응 및 위협 인텔리전스 운영 지원을 위한 전용 플랫폼으로 좋음 단점: 사용자가 커스텀하기 좋지않암. 옵션이 너무 적음 일반화되어있음

5장 위치 결정 침입탐지 네트워크 경고 시스템 경고 GLASS WIZARD 위치 결정하기 침입조사 네트워크 분석 실시간 대응 메모리 분석 디스크 분석 악성 코드 분석 범위 지정 사냥 단서 만들기 단서 테스트하기 결론 위치 결정 : 이전에 확인한 인텔리전스나 위협 데이터를 사용해 환경 또는 외부에서 공격자의 위치를 확인하는 절차 지표를 뽑아내는 방법들에 대해서 설명 (기술) 시그니처 기반 분석 snort 설명 실시간 대응 OSXCollector, macOS의 보안 아티팩트를 수집할 때 사용할 수 있는 오픈 소스(python) Kansa, 윈도우에서 사고 대응 수집 프레임 워크(PowerShell)

4장 탐지 행위자 중심 표적 선정 알려진 첩보로 시작하기 유용한 탐지 첩보 자산 중심 표적 선정 자산 중심 표적 선정 사용하기 뉴스 중심 표적 선정 사용하기 다른 사람의 통보를 기반으로 한 표적 선정 표적 선정의 우선순위 매기기 즉각적인 요구 과거의 사고 심각성 표적 선정 활동 정리하기 경성 단서 연성 단서 관련된 단서들 분류하기 첩보 저장 인텔리전스 제공 요청 절차 결론 일반적으로 이런 모든 선정 방법을 이용해서 TI를 함 (신경쓰는 요소와 그 관계를 잘 연결시켰을대 좋은 TI 결과가 됨) 행위자 중심 표적 선정 (Actor centric targeting) 고통의 피라미드(Pyramid of Pain), ref) ATTACKIQ 자산 중심 표적 선정 (Asset centric targeting) 운영..

3장 사고 대응의 기본 원리 사고 대응 주기 준비 확인 봉쇄 박멸 복구 교훈 킬 체인 표적 선정 정찰 무기화 배달 취약점 공격 설치 명령 및 제어 표적에 관련된 활동 킬 체인의 예 다이아몬드 모델 기본 모델 모델확장 능동적 방어 거부하기 방해하기 저하시키기 속이기 파괴하기 F3EAD 탐지 위치 결정 종결 확대 분석 배포 F3EAD 사용하기 적합한 모델 선택하기 시나리오:GLASS WIZARD 결론 사고 대응 주기(Incident response cycle) 준비(Preparation phase) -> 확인(Identification phase) -> 봉쇄(Containment phase) -> 박멸(Eradication phase) -> 복구(Recovery phase) -> 교훈(Lessons Lear..

1장 소개 사고 대응의 일부로서 인텔리전스 사이버 위협 인텔리전스 역사 현대 사이버 위협 인텔리전스 미래의 행방 사고 대응의 일부인 인텔리전스 인텔리전스 기반 사고 대응이란? 왜 인텔리전스 기반 사고 대응인가? SMN 작전 오로라 작전 결론 SMN 작전 2014년도 보안 전문 업체들이 힘을 합해 중국의 해킹 단체를 한방 먹인 작전 공격 그룹 : 액시엄(Axiom) 전 세계 4만 3천대 PC를 감염 참여한 기업 노베타 외에 비트나인(Bit9), 시스코, 파이어아이, 에프시큐어(F-Secure), 아이사이트 파트너즈(iSIGHT Partners), 마이크로소프트, 테너블(Tenable), 쓰레트커넥트 인텔리전스 리서치 팀(ThreatConnect Intelligence Research Team), 쓰레트트랙..

회사 도서관을 갔는데 갑자기 보여서 읽게 된 '인텔리전스 기반 사고 대응' CTI쪽 업무를 안하다 보니 거리가 좀 생긴거 같아서, 시간을 내서 하루 시간을 잡아서 읽어봤다. 책의 내용을 한줄로 요약한다면, "인텔리전스를 위한 전체적인 이해를 도울 수 있는 책" 이라고 생각하면 좋을거 같다. 인텔리전스라는 나무의 큰 가지 정리 정도? 인텔리전스라는 분야가 역시 알아야할 것도 많고 사회적 경험도 많이 필요한 분야이다 보니, 깊이 있는 내용을 다루지는 못했지만, 입문하려고 하는 사람이거나, 리버싱만 하다가 갑자기 인텔리전스를 시작한 사람에게는 도움이 많이 될거라고 생각이 든다. 예를 들어서 CTI 보고서를 읽는 고객들의 니즈를 이해하는 것? 어쨋든 아는 내용이 많아서 하루만에 읽을 수 있었지만, 부족했던 부분..