주니퍼 블로그
Juniper Employee
Juniper Employee
‎03-24-2017 09:58 AM
‎03-24-2017 09:58 AM

안녕하세요. 한국주니퍼네트웍스입니다.

사이버 상에서 일어나고 있는 총성 없는 위협 상황은 일종의 전쟁과 같습니다. 전쟁은 절대로 혼자서 치뤄낼 수 없으며, 짜임새 있는 협업을 통해서만 승전보를 만들어낼 수 있습니다. 사이버 전쟁도 다양한 정보에 따라 모든 승패가 판가름 날 수 있습니다. 서로 다른 조직들은 사이버 위협 인텔리전스(CTI)를 공유해 최대한 효율적인 방어 시스템을 구축하려고 노력 중입니다.

 

1.jpg

 

많은 보안 벤더들은 고객들이 방어 컨셉으로 활용 가능하도록 CTI를 만들었습니다. 하지만 위협 인텔리전스는 여러 업체의 소유가 될 수 있고, 다양한 형태로 구축될 수 있습니다. 위협 인텔리전트 플랫폼(TIP)이라고 불리는 선택 요소는 통합돼 독점 APISTIX™, TAXII™, CyBOX™같은 표준을 기반으로 구성됩니다.

블라바트닉 학제간 사이버 연구 센터는 많은 연구 결과를 통해 경쟁자와의 협력이 승리를 만들어낼 수 있는 전략이라는 것을 밝혀 냈습니다. 이는 곧 힘을 모으면 더 큰 적이 생기더라도 대응할 수 있는 체계가 굳건히 갖춰지는 것이며, 결국 금전적을 포함한 더 큰 이익으로 이어질 수 있다는 것을 뜻합니다. 사이버 보안 분야에서 외부업체와 사이버 관련 인텔리전스를 공유하는 전략은 효과적으로 작용할 것이며, 더 많은 조직들이 검토하게 될 것으로 전망됩니다.  

자세한 내용은 아래 번역된 원문을 통해 확인해 보시기 바랍니다.
이상 네트워크 혁신을 선도하는 한국주니퍼네트웍스였습니다.

 

_________________________________________________________________________________________________________

사이버 전쟁은 혼자 감당할 수 없습니다. 위협 인텔리전스를 공유하세요!

By Aviram Zrahia

2011 RSA 컨퍼런스 기조연설에서 전 미국가안전보장국(NSA) 국장 키쓰 B. 알렉산더 장군은 미국의 네트워크 보안은 팀 스포츠다라는 흥미로운 언급을 했다. 이는 그 누구도 사이버 전쟁에 홀로 참전 할 수 없다는 것과 사이버 위협 인텔리전스를 공유하려는 공동체의 노력은 심지어 경쟁 환경에서도 모든 참가자들에게 도움이 될 수 있다는 것을 의미한다.

현재의 사이버 위협 상황을 살펴보면 공격자들이 더 우세에 있는 것 같다. 그들은 동기와 상관없이 철저하게 목표물에 대한 이익 기반의 작업으로 이루어지는 많은 불균형적인 특징을 갖고 있으며, 때문에 새로운 방어 개념의 필요성을 양산해 내면서 끝없는 군비 확장 경쟁 같은 상황을 만들어내고 있다.

이 같은 새로운 컨셉 중 하나는 공격을 당하는 쪽에서 실행이나 분석에 사용된 다이나믹한 위협 피드 또는 공격 관련 목표물에 대한 인텔리전스를 공유하면서 실시간 실행 가능한 사이버 위협 인텔리전스(CTI). 서로 다른 조직 간의 CTI 공유는 광범위한 커뮤니티 역량, 지식, 경험을 활용해 사이버 방어를 개선하려는 공동의 노력으로 나타난다. 이 같은 시스템의 구축은 다른 기술적, 구조적 형태가 필요할 지도 모르기 때문에, 결과적으로 노력의 중복을 경감시키고 한 조직에서 감지한 것을 다른 조직이 방어책으로 사용할 수 있도록 만들어 준다.

최근 몇 년 사이에 동일한 버티컬 마켓, 같은 지형 내 모든 영역에서 소셜 네트워크를 통한 개인간 공유 연합체뿐 아니라, 상업, 정부기관, 그리고 국가 간의 공유 연합체가 증가하고 있다. 많은 경우 이러한 공유 이니셔티브는 조직의 레거시 IT 패러다임의 변화를 상징하고, 복잡하고 다면적인 기술적, 법적, 조직문화, 프라이버시 등 도전과제를 만들어 낸다.[1] 현재 내가 연구를 진행하고 있는 블라바트닉 학제간 사이버 연구 센터(Blavatnik Interdisciplinary Cyber Research Center)에 잘 나타나 있듯이 공유 연합체 당사자들이 서로 직접적인 경쟁관계에 있거나 기타 다른 이익의 충돌이 있을 때 이같은 문제가 더 크게 나타난다. 이 연구는 사이버 보안 벤더들 사이의 위협 인텔리전스 공유를 분석해 업계의 생태계를 이해하고, 가시성 확보를 목표로 진행되고 있다. 공유된 정보는 기업의 핵심 비즈니스와 밀접한 관련이 있기 때문에 협업이 결합된 도전과 협력(coopetition)이라는 이름의 경쟁을 명확히 제시한다.

보안 벤더들은 고객들에게 실행 가능한 솔루션을 제공하는 방어 컨셉으로 CTI를 받아들였지만 <그림 1>처럼 솔루션 요소의 분리를 통해 상호간 피드를 사용하거나, 채널을 통해 다른 벤더를 이용한 위협 인텔리전스를 판매용으로 제공한다. 이 세가지 요소는 하나 또는 여러 업체의 소유가 될 수 있으며, 단일 또는 여러 제품으로 고객 사업장과 클라우드에 구축될 수 있다. 정보 흐름의 시작점은 위협 인텔리전트 피드이고, 그 목적지는 정책 집행 또는 결정 지점이다. 그 사이에 위협 인텔리전트 플랫폼(TIP)이라고 불리는 선택요소가 여러 출처와 목적지를 한 곳으로 묶는 교환점 역할을 할 수 있다. 모든 요소들의 통합은 독점 API 또는 STIX™, TAXII™, CyBOX같은 진화하는 표준을 기반으로 이루어진다.

 

2.png

<그림 1> 위협 인텔리전스 공유의 요소 

이 연구에서는 벤더의 시장 관련 성공 지표와 공유관계 숫자와의 상관관계를 보여주고 있는데, 이 중 핵심은 경쟁자와의 협력이 승리를 만들어낼 수 있는 전략이라는 것이다. 뿐만 아니라 업계 전체는 협력에 최적화된 환경으로 부자가 더 부자가 되는현상을 따라 성공하는 회사들이 새로운 관계를 더 끌어들이는 소셜 네트워크 커뮤니티로 나뉘어져 있다는 점이다. 또한 인텔리전스 공유는 보안 커버리지가 넓어지고, ·간접적 금전적 이익을 얻을 수 있으며, 더 큰 이익을 만들어 낼 수 있다.

많은 조직들은 회사가 누릴 수 있는 이점과 외롭게 사이버 전쟁을 치뤄야만 하는 어려움 때문에 외부업체와 사이버 관련 인텔리전스를 공유하는 전략을 다시 고려하고 있는데 이는 말 그대로 종잇장도 맞들면 낫다라는 말이 사이버 보안에도 적용된다는 것을 보여준다. 이 주제와 관련된 학계와 업계의 관점에 대해 더 알고 싶으면 내가 2016 10 18일에서 19까지 아일랜드 더블린에서 개최된 (ISC)² 보안 총회 EMEA에서 발표한 위협인텔리전스 공유 입문이라는 주제 또는 2016 10 31일부터 11 2일까지 런던에서 열린 CSX 2016 유럽 컨퍼런스에 내용을 참조해 보기 바란다.

[1] 즈라히아 A. (2014). 사이버 인텔리전스 공유에 대한 종합적인 분석. 군사적 전략적 사건들, 6(3), 59-77. E-ISSN 2307-8634. 국가 보안 연구(INSS), 텔아비브 대학.

 

Can’t Fight the Cyber War Alone? Share Your Threat Intelligence!