목표

위협 연구를 강화하고 위협 행위자를 방해합니다.

문제

위협을 더 빠르게 트리아지, 완화, 개선할 수 있는 기능으로 새로운 SOC의 역량을 강화해야 합니다.

솔루션

Recorded Future 플랫폼

결과

• 트리아지 속도를 높이고 평균 대응 시간을 10배 단축했습니다.
• 자동화를 통해 인력의 역량을 균형 있게 활용하여 더 빠르고 자신감 있는 의사 결정을 내리고 노력을 강화했습니다.
• 취약점 관리 노력을 간소화 및 정당화했습니다.
• 대규모 구조조정을 단행한 기업 전체에서 실시간으로 완전하고 일관된 위험 감소를 보장했습니다.

문제

DuPont은 200년이 넘는 세월 동안, 삶을 변화시키는 발견과 기술 혁신의 대명사로 알려져 왔습니다. 수년 동안 이 기업은 여러 차례의 인수합병을 경험했습니다. 가장 최근에는 비즈니스의 미래를 대비하고 사람들이 더 안전하고 건강한 삶을 살 수 있도록 필수적인 혁신을 지속적으로 제공하기 위해 대대적인 구조 조정을 완료했습니다. 이러한 전환 기간은 어떤 조직에도 새로운 사이버 보안 위험을 초래할 수 있습니다. 일반적으로 팀 구조의 변화를 가져오고, 새로운 기술을 추가하며, 다양하거나 일관성 없는 보안 관행을 도입하여 잠재적으로 위협 행위자가 악용할 수 있는 틈을 만들 수 있습니다.

이러한 위험을 이해한 DuPont은 기업 전체에서 효과적으로 이를 관리하기 위해 글로벌 사이버 위협 팀과 지속 가능한 프로그램을 구축하는 데 주력했습니다. 2019년 말에 글로벌 사이버 위협 리더 Bob Stasio가 부임하자마자 바로 업무에 착수했습니다. 그는 비즈니스 이메일 침해, 사기, 데이터 손실, 조직의 무역 정보와 지식재산을 노리는 지속적인 지능형 위협에 이르는 인시던트를 조사할 새로운 내부 보안 운영 센터를 설립하는 것으로 시작했습니다.

“당시에는 위협 인텔리전스에 대한 집중도가 높지 않았습니다.”라고 Stasio는 회상합니다. “업무가 외주화되었고, 인시던트는 맥락 없이 전달되었습니다. 우리는 무슨 일이 일어나고 있는지 이해할 필요가 있었습니다.”

그는 팀을 구축하는 동안 많은 인시던트를 직접 처리하는 것부터 시작하였습니다. 그는 “초기 단계에서는 대응에 걸리는 평균 시간이 길었습니다. 경보가 들어오면 이를 트리아지, 완화, 해결하는 데 상당한 시간이 걸렸습니다.”라고 말합니다.

그러나 그는 위협 인텔리전스에 기반한 'Incident response 2.0' 접근 방식을 통해 이 중요한 KPI를 낮추기 위한 비전과 계획을 가지고 있었습니다.

솔루션

NSA, 미 사이버 사령부, Bloomberg와 IBM 같은 민간 부문 대기업에서 인상적인 경력을 쌓은 미군 베테랑인 Stasio는 위협 인텔리전스 활동과 사이버 공간 작전 사이의 강력한 유사점을 강조합니다. “군대에서처럼 사이버 보안에서는 정보가 거의 없는 환경에서 작전을 수행해야 하는 경우가 많습니다.”라고 그는 말합니다 “일어나고 있는 일의 초기 지표와 추세를 찾아내고, 이를 바탕으로 매우 빠르게 추론하여 결정을 내려야 합니다.”

위협 행위자를 이해하고 그들을 방해하기 위해 갖춰야 할 조건을 파악하는 능력은 이러한 노력을 증폭하고 속도를 높이는 데 매우 중요합니다. 이 지점에서 위협 인텔리전스가 필요합니다. “Recorded Future에 대해 오랫동안 알고 있었고, 민간 부문에서 근무하는 동안 이 회사와 함께 일하며 신뢰하고 있었습니다.”라고 Stasio가 말합니다. “제가 DuPont에 입사한 후 처음으로 전화를 건 곳 중 하나였습니다.”

Recorded Future의 독창적인 기술은 방대한 양의 데이터를 수집하고 분석하여 실시간으로 관련 인사이트를 제공합니다. 이를 통해 보안 팀은 오탐을 신속하게 분류하고, 우선순위가 높은 경보를 자동으로 식별하며, 비교할 수 없는 범위의 다양한 소스 및 증거를 쉽게 파고들어 심층 분석을 수행할 수 있습니다. Recorded Future를 도입한 후, 24명으로 구성된 DuPont의 글로벌 사이버 위협 팀은 위협 연구를 강화하고 주기를 단축하는 데 있어 실행 가능한 인텔리전스의 힘을 빠르게 깨달았습니다.

Stasio는 Recorded Future가 DuPont이 위협 행위자를 방해할 수 있도록 어떻게 지원했는지에 대한 많은 예시를 보여줬습니다. Stasio는 예시를 들어 다음과 같이 말합니다. “표적화된 피싱 공격이 Formbook 멀웨어를 사용하여 아시아에 있는 우리 공장 중 하나를 강타했습니다. 우리는 Recorded Future Intelligence Cards™를 이용하고 Insikt 팀의 훌륭한 메모를 통해, 샌드박스에서 멀웨어를 분석하고 공격을 역추적해 침해된 서드파티 업체를 찾을 수 있었습니다. 이를 통해 300개의 서드파티 업체 목록을 단 2개로 신속하게 좁힐 수 있었습니다. Recorded Future 없었다면 불가능했을 일입니다.”

또 다른 사례에서 팀은 Recorded Future를 활용하여 고급 멀웨어 키트를 신속하게 식별하고 차단한 후, 경영진에 성공 사실을 보고했습니다. “더 깊이 분석하고 존경받는 학술 단체의 지원을 받는 고급 위험 기반 인사이트를 제공하는 전문 보고서를 작성할 수 있는 능력은 매우 강력합니다.”라고 그는 말합니다

팀은 또한 위협 인텔리전스를 활용하여 취약점 관리 노력을 간소화하고 정당화합니다. "패치를 위해 1분이라도 인프라를 중단하기 위해 IT 부서를 설득하는 것은 매우 어렵습니다."라고 Stasio는 말합니다. “Recorded Future를 통해 실제 위험을 초래하는 취약점의 우선순위를 정할 수 있으므로 '이 10,000개의 취약점 중에서 이 10개에 집중해야 합니다.'라고 말할 수 있습니다.”

결과

Stasio는 Recorded Future를 통해 그의 팀의 성공을 자신 있게 정량화할 수 있습니다. “위협 인텔리전스를 사용하여 위협의 심각성과 맥락을 이해함으로써 평균 대응 시간을 10배 단축할 수 있었습니다.”

그는 계속해서 말합니다. “저는 인시던트 응답을 세 단계로 봅니다. 첫 번째 단계는 문제가 있는지 확인하거나 부인하는 것입니다. 두 번째 단계는 범위와 규모를 결정하는 것입니다. 그리고 마지막 단계는 문제를 해결하고 정상 상태로 복귀하는 것입니다. 오탐 여부를 확인하거나 부정하는 데 있어 위협 인텔리전스는 필수적입니다. 정말로 문제가 있는지 확인하고 그에 대한 맥락을 파악하기 전까지는 다른 조치를 취할 수 없습니다. 단순한 무작위 드라이브 바이 멀웨어인지, 네트워크에 침입하려는 지속적인 지능형 위협인지를 파악해야 합니다. 이를 통해 경보에 어떻게 대응할지, 경보에 얼마나 많은 시간을 들일지, 특정 경보에 대해 얼마나 많은 노력을 기울일지를 결정할 수 있습니다. 위협 인텔리전스는 실제로 이 전체 프로세스에서 중추적인 역할을 합니다.

미래 전망

DuPont은 아시아, 유럽, 미국 전역에 사무실과 제조 시설을 보유하고 있으며, 연구 센터와 공장 내에 SCADA 네트워크를 갖추고 있습니다. 전 세계에 물리적 및 디지털 자산이 많기 때문에, 자동화는 대규모의 새로운 위협을 방어하고 대응하는 데 필수적입니다. 팀이 자동화 노력을 발전시킴에 따라 Stasio는 워크플로를 방해하지 않고 더 나은, 더 빠른 의사 결정을 내리기 위해 이미 팀이 사용하고 있는 자동화 도구에 Recorded Future의 위협 인텔리전스를 직접 통합할 계획입니다.