Threat Intelligence 란 앞에서 설명 드린 것 처럼 단순히 다양한 위협 데이터를 수집하고 저장만 하는 것이 아니라 공격 전술이나 기법, 절차 등 전반적인 사항등을 확실한 증거 기반으로 제공할 수 있는 지식과 기술의 집합체라고 할 수 있다. 또 수집된 정보들은 소비 주체에 따라 조금씩 다른 형태로 분석되고 가동되어 제공 된다. 모니터랩에서 제공하는 Threat Intelligence는 Life Cycle 에 따라 여러 시스템(모듈)으로 구성되어 있으며 전술적 인텔리전스에 가깝게 주로 위협 정보, 기법, 절차등의 정보를 제공 하고자 한다.

AICC (Application Insight Cloud Center) 

AICC 는 다양한 위협정보를 수집, 분석, 가공, 공유등의 Life Cycle 에 따라 여려 시스템의 조합으로 구성된 클라우드 기반 플랫폼이다.

Collection : 위협 정보 수집

수집시스템 은 다양한 데이터의 소스를 통해 IP, URL, hash, 파일 등의 위협 정보를 수집한다. 정보 수집경로는 오픈 소스와 Third-party 보안 솔루션을 포함하며 모니터랩의 웹 방화벽과 Secure Web Gateway 등을 포함 한다.

• MIF : Malicious Information Feed
  • 각종 악성정보를 제공하는 Feed(40여개) 사이트에서 Crawler 를 통해 매 시간 방문을 통해 위협 정보 및 악성정보 수집 (C&C, 경유지, 유포지, 피싱 사이트 정보 등)
  • 한국 인터넷진훙원 C-TAS 와 연계를 통한 정보 수집 및 공유
  • 방송통신위원회 유해 사이트 URL 정보 수집
  • 수집된 IP 및 URL 정보는 MUD 를 통해 분석 가공 후 DMP 로 저장
• FIC : File Information Collection
  • 각종 악성정보를 제공하는 Feed 사이트에서 Crawler 를 이용 매 시간 방문을 통해 악성 파일 정보 수집
  • 수집된 파일을 MAD 에서 분석 후 결과를 DMP 로 저장
• AIC : AI Information Collection
  • 자사 웹 방화벽과 Secure Web Gateway 등 AI Product 와 연동을 통한 위협 데이터 수집
  • AIWAF 로부터 Sql Injection, Cross Site Scripting 등의 공격 탐지 로그 수집*
  • AISWG 로부터 악성 URL, 유해 사이트 접속 탐지 로그 수집*
  • API 를 통해 UCC 와 MLT 등을 거쳐 평판조회를 진행하고 카테고리 분류 및 공격 유형, IP 평판정보 분석 후 DMP 로 저장 (*주1 : 고객 협의를 통한 정보 수집 및 위협 데이터 가공 제공)

Analysis : 위협정보 분석

분석 시스템은 수집된 정보를 행위분석, 평판분석, 유사도 분석등을 통해 위협정보를 분석하는 시스템으로 크게는 IP 나 URL 분석과 파일분석으로 구분할 수 있다.

• MAD : Malicious All-file Detection
  • 수집된 파일은 YARA 룰을 통한 정적분석 및 ClamAV 를 통해 사전 악성여부를 판단하고 최종적으로 Cuckoo Sandbox 를 기반으로 파일 실행을 통한 동적분석
  • 동적 분석 중 Windows API 호출 및 레지스트리 변경, 네트워크, 메모리 분석등을 통한 비정상 행위 정보 추출
  • 분석 결과를 DMP 로 저장하고 Unknown 파일의 경우 MSA를 통한 유사도 분석 정보 제공
• MUD : Malicious URL Detection
  • Multi Threat 를 지원하는 Crawler 기반으로 실제 브라우저와 동일한 방식으로 웹 사이트 접속 및 URL 분석
  • URL 접속 과정에서 응답 데이터 분석을 통해 파일 다운로드 또는 Redirect 헹위 등의 여부, 자바스립트나 바이너리 난독화 여부 탐지 및 해제등 다수 Feature 분석을 통해 악성 URL 및 경유지, 유포지 탐지
  • 탐지 URL 의 경우 USS 를 통해 유해사이트 및 카테고리 정보 분류 적용
• UCC : URL Category Classification
  • URL의 특징에 맞게 카테고리를 분류하는 시스템으로 응답데이터를 기반으로 1차 카테고리 DB(Cyren DB)를 분류하고 머신러닝 알고리즘과 UVM 시스템을 통해 2차 카테고리 분류
  • AISWG 에서 수집되는 오분류 및 미분류 URL의 경우 관리자 재검증과 관리툴을(UVM) 통한 자동 검증을 통해 데이터 분류 신뢰성 향상
• MSA : Malicious Similarity Analysis
  • 딥러닝 알고리즘 기반 악성 파일의 유사도를 분석
  • 수집된 파일을 딥러닝 알고리즘 기반으로 유사도를 분석하여 알려진 악성 파일 또는 그룹과 어느정도 유사한지를 분석 함으로써 알려지지 않은 악성 파일에 대한 분석 정보 제공
  • 보안 관리자가 대량의 악성파일에 대한 분석과 특정 악성 파일에 대한 유사변종 악성 코드에 대한 검색 기능 제공
  • 검색기반 프로파일을 통해 대량 악성코드에 대한 검색 및 유사/변종 프로파일 정보 제공
• MLT : Machine Learning Technology
  • SQL Injection, CSS, CSRF 등 공격 유형에 대해 패턴 기반 탐지가 아닌 머신러닝 기반 알고리즘을 통한 공격 탐지 및 차단
  • AIWAF 에서 수집된 탐지 로그를 기반으로 유형별 공격 예측율 제공
  • UCC 로 수집된 URL을 응답정보 기반으로 딥러닝 알고리즘을 통한 자동화된 카테고리 분류
  • URL 유형에 따라 악성 URL 이나 경유지/유포지, 피싱 사이트 가능성을 머신러닝 기반으로 예측할 수 있는 시스템으로 고도화 및 연동 진행

Processing : 데이터 가공

데이터 가공은 수집 및 분석 시스템을 통해 분석된 각종 위협 정보가 저장되고, 보안 인력을 통한 연관 분석 및 통계분석등을 통해 위협 인텔리전스 정보로 가공되는 빅테이터 기반 시스템이다

• DMP : Data Mining & Processing
  • AICC 로 수집 및 분석되는 모든 위협 및 악성정보에 대한 분석 데이터가 저장
  • IP, URL, 파일, 국가, 탐지 시간 및 이력, Hash, 경유지 등 다양한 Feature 정보 기반 분석과 통계정보등을 활용하여 공격 유형과 국가, 공격 기법등의 정보로 재분류
  • 딥러닝 기반 알고리즘, 평판 정보 기반 분석, 통계기법, 보안 전문가 분석등을 통해 위협 인텔리전스 정보로 가공 저장

Distribution : 위협정보 공유

정보 공유 시스템은 수집, 분석, 가공된 다양한 위협 정보들을 고객이 쉽게 활용 할 수 있도록 유형에 맞게 제공하고 검색 할 수 있는 공유 시스템이다.

• MIS : Malicious Information Sharing
  • 수집, 분석 완료된 위협(악성) 정보들을 실시간으로 공유
  • DMP 에 저장된 다양한 위협 정보들을 시각화 하여 출력 하고 API 등을 통해 실시간 정보 검색과 다양한 통계정보 제공
    
• UIS : URL Information Sharing
  • UCC 와 MUD 를 통해 수집 분석된 URL에 대해 악성유형과 카테고리 분류 정보를 실시간으로 제공
  • API 연동을 통해 별도의 서비스 모델로 제공

    

AICC 활용

모니터랩 Threat Intelligence Platform 인 AICC 는 다양한 위협 정보를 수집 분석하여 URL 이나 파일 기반의 공격 행위 및 이력 정보는 물론 경유지나 유포지, 피싱 사이트 등의 유해 사이트 정보를 제공 한다. 해당 정보는 공공이나 기업 등 다양한 분야의 보안관리자나 시스템 운영자에게 직접 활용 하거나 추가 위협 대응을 위한 보조 정보로써 유용하게 활용 할 수 있다.

• 공공, 기업, 교육기관 등의 보안관리자 : 위협 정보를 활용 한 보고서로 활용
• 시스템 운영자 : 실시간 악성 파일이나 변종 파일, 악성 URL 등 위협 정보를 통해 추가 공격 및 위협 탐지 및 예방
• 보안 분석가 : 대용량 악성 코드 분석 및 유사 변종 파일 분석, 조회
• 보안 솔루션 제공 기업 : API 를 통한 악성 파일이나 악성 URL 에 대한 위협 정보 제공 및 공유를 통해 자체 보안 솔루션의 탐지 역량 강화