사용 사례:

• 취약성 데이터 강화 및 우선순위 지정
• 임박한 공격에 대한 상황 인식 제공
• 장기 계획을 위한 위협 환경 매핑

문제:

소규모 보안팀은 특정 산업(통신)과 특정 지역(스칸디나비아)에 맞게 필터링된 오픈 웹과 다크 웹의 광범위한 인텔리전스에 액세스할 수 있어야 했습니다.

솔루션:

• Vulnerability Intelligence
• Splunk 엔터프라이즈 통합
• Threat Intelligence
• Brand Intelligence
• 리서치 및 Analyst-On demand 서비스 Recorded Future Insikt Group

결과:

• 노르웨이 통신사에 대한 실제 위험에 따라 분류되고 우선순위가 지정된 취약성
• 피싱, 랜섬웨어, DDoS 및 기타 공격에 대한 조기 경고
• 노르웨이 통신 회사 및 정부 기관은 시간이 지남에 따라 보안 프로그램 강화에 대해 더 나은 결정을 내릴 수 있습니다.

정부 기관, 인텔리전스를 사용하여 취약점의 우선순위를 지정하고 통신 회사의 진화하는 위협 환경 추적

노르웨이의 통신 산업 보호

노르웨이 통신청(Nasjonal kommunikasjonsmyndighet, Nkom)은 노르웨이에서 전자 통신 서비스를 제공하는 조직, 주로 통신 회사를 감독하고 지원하는 정부 기관입니다. 주요 책임 중 하나는 전자 통신 네트워크의 보안과 복원력을 보장하는 것입니다.

올레 크리스토퍼 아플란드는 Nkom EkomCERT의 수석 보안 엔지니어 겸 팀 리더입니다. 그가 이끄는 팀은 노르웨이의 통신 및 디지털 통신 회사들과 협력하여 사이버 공격을 예방하고 새로운 위협에 대비할 수 있도록 지원합니다.

Ole의 팀은 노르웨이의 통신 및 이커머스 기업을 노리는 악의적인 공격자를 식별하고 이들이 데이터 도용, 사기, 네트워크 교란을 위해 주로 악용하는 취약점을 파악하는 임무를 맡았습니다. 팀은 일반적인 트렌드와 일반적인 취약점 점수를 넘어 스칸디나비아에서 활동 중이거나 곧 활동할 가능성이 있는 통신 업계별 공격을 정확히 찾아내야 했습니다. 이 정보가 있어야만 Nkom EkomCERT의 통신 고객사는 비즈니스에 실질적인 위협이 되는 특정 취약점의 우선 순위를 정하고 완화할 수 있습니다.

이 소규모 그룹은 노르웨이 통신 회사의 진화하는 위협 환경에 대한 가시성을 제공하는 비슷한 과제에 직면했습니다. 피싱, 랜섬웨어, 분산 서비스 거부 공격(DDoS), 지능형 지속 위협(APT), 소비자 사기 및 기타 위협과 관련된 개발을 모니터링하고 노르웨이 통신 및 디지털 통신 회사가 직원 및 보안 기술에 대한 투자를 계획하는 데 도움이 되는 인사이트를 제공해야 했습니다.

Ole과 그의 팀은 임무를 완수하는 데 필요한 심층적인 실시간 부문별 인텔리전스를 확보할 리소스가 부족하다는 사실을 깨달았습니다. 여러 회사의 인텔리전스 서비스를 평가한 결과, 최고의 인텔리전스와 지원을 제공할 수 있는 회사로 Recorded Future 를 선정했습니다.

위험 기반 패치를 위한 취약성 데이터 강화

Nkom EkomCERT는 다양한 기술 공급업체와 CVE 데이터베이스와 같은 업계 출처에서 새로 발견된 취약점을 꾸준히 수신합니다. Recorded Future의 인텔리전스를 사용하기 전에 노르웨이 통신 및 디지털 통신 회사에 즉각적인 위협이 되는 취약점과 이러한 취약점을 악용하는 공격을 완화하기 위한 최선의 방법을 파악하는 것이 과제였습니다.

Ole의 팀은 Recorded Future Vulnerability Intelligence 및 Recorded Future와 Splunk Enterprise의 통합을 사용하여 취약성 데이터를 Splunk에서 보강하여 악용 가능성에 따라 조직에 대한 각 취약성의 위험을 명확하게 파악할 수 있습니다. Recorded Future와 Splunk Enterprise 통합이 제공하는 강화된 단일 창을 통해 Nkom EkomCERT는 가장 중요한 취약점을 우선적으로 해결하는 데 도움을 받을 수 있습니다.

"Recorded Future의 Splunk 통합을 통해 올바른 취약점에 대해 효과적으로 우선순위를 정하고 긴급하게 조치를 취할 수 있게 되었습니다. 사람 수보다 업무가 더 많은 경우가 많기 때문에 시간을 가장 효율적으로 사용할 수 있는 곳을 파악하는 데 도움이 됩니다. Recorded Future의 Splunk 통합이 제공하는 취약성 강화 기능을 통해 우리는 중요한 곳에 노력을 기울이고 있다는 확신을 가질 수 있습니다."라고 Ole은 말합니다.

과거에 Ole의 팀은 취약점 보강을 위해 다른 정보 소스에 의존했지만 다른 공급업체가 필요한 수준의 보강을 제공하지 않는다는 사실을 알게 되었습니다. Ole은 "이전에도 취약성 컨텍스트를 추가하기 위해 다른 공급업체를 이용했지만, 그 업체의 데이터와 서비스는 우리의 품질 기준을 충족하지 못했습니다. 저희는 수년 동안 Recorded Future Vulnerability Intelligence 과 Splunk 통합을 사용해 왔으며, 현재 운영의 중심이 되고 있습니다."

Splunk 인스턴스 내에서 직접 액세스할 수 있는 Recorded Future 에서 제공하는 보강 기능에 의존하는 것 외에도, 실제 위험을 평가하기 위해 Recorded Future 인텔리전스 플랫폼 내의 Vulnerability Intelligence 에도 의존합니다. 인텔리전스를 통해 올레와 그의 팀은 이전에 악용된 취약점의 예, 공격 유형 및 위협 행위자와의 연관성, 위험 점수 등을 통해 각 취약점의 컨텍스트를 확인할 수 있습니다. Ole의 팀은 통신사 내에서 일반적으로 사용되는 제품의 취약점을 파악하고 이를 구성원에게 알리는 데 중점을 두고 있습니다. 잠재적으로 중요할 수 있는 취약점이 식별되면 팀은 Recorded Future의 정보를 사용하여 시간적 메트릭, 특히 취약점 수명 주기의 단계를 기반으로 취약점을 평가합니다.

취약성 수명 주기 사용

취약점은 라이프사이클을 거칩니다. 익스플로잇은 시간이 지남에 따라 발견 및 발표(익스플로잇이 이론적인 경우)에서 개념 증명 코드 개발(익스플로잇이 가능하지만 공격에 쉽게 사용할 수 없음을 입증), 기능 익스플로잇 코드(숙련된 공격자가 사용할 수 있음), 다크 웹에서 제공되는 익스플로잇 키트(숙련도가 낮은 공격자도 쉽게 익스플로잇할 수 있음), 적극적인 '야생' 익스플로잇으로 진화합니다.

이 타임라인의 후반 단계에 있는 취약점은 악용될 가능성이 높으므로 즉시 해결해야 합니다. 초기 단계의 취약점은 미래의 위험을 나타내지만 우선순위가 높은 취약점부터 해결해야 합니다.

Recorded Future의 인텔리전스를 통해 Nkom EkomCERT는 취약점의 진화 단계에 따라 취약점을 평가할 수 있습니다. 이러한 평가 결과를 노르웨이 통신사 및 정부 기관과 공유하여 취약점을 분류하고 가까운 시일 내에 악용될 가능성이 가장 높은 취약점의 우선 순위를 정할 수 있도록 합니다.

임박한 공격에 대한 상황 인식 제공

통신 회사는 다양한 사이버 위협에 노출되어 있습니다: 네트워크에 대한 DDoS 공격, APT, 피싱, 비즈니스에 대한 랜섬웨어 공격, 고객을 대상으로 한 사기 캠페인 등 다양한 사이버 위협에 노출되어 있습니다. 노르웨이 통신사가 다음 위협에 대비할 수 있도록 이러한 영역의 활동에 대한 조기 경고를 제공하는 것이 Nkom EkomCERT의 책임 중 하나입니다.

Ole의 팀은 Recorded Future 를 사용하여 임박하거나 진행 중인 공격의 징후를 파악합니다. 조기 경보를 제공하려면 Recorded Future:

• 수백 개의 다크웹 포럼에서 피싱 캠페인과 랜섬웨어 공격 등 통신 조직과 스칸디나비아 기업에 대한 위협에 대한 '수다'를 검색합니다.
• 다크 웹 마켓플레이스에서 고객 대면 애플리케이션과 네트워크에 대한 DDoS 공격을 표적으로 삼는 APT에 사용될 수 있는 코드와 익스플로잇 키트를 모니터링합니다.
• 노르웨이 통신사 및 그 자회사가 사용하는 인터넷 도메인과 관련된 도난된 인증 정보를 코드 저장소와 다크 웹 마켓플레이스에서 검색하여 계정 탈취 및 인증 정보 스터핑 공격에 대한 경고를 제공합니다.

현재 통신 회사들은 다양한 서비스를 제공하고 있기 때문에 Recorded Future의 Nkom EkomCERT 데이터는 휴대폰 및 유선 서비스, 메시징 및 협업 애플리케이션, 인터넷 서비스, 스트리밍 미디어 및 엔터테인먼트 등 광범위한 산업 부문과 기술을 포괄합니다.

장기 계획을 위한 위협 환경 매핑

Nkom EkomCERT는 노르웨이 통신 회사 및 기타 정부 기관의 위협 환경을 매핑하는 데 핵심적인 역할을 합니다. 이러한 역할을 수행하기 위해 올레의 팀은 Recorded Future 의 인텔리전스를 사용하여 악의적인 공격자의 진화하는 활동을 모니터링하고 피싱, 랜섬웨어, 분산 서비스 거부 공격(DDoS), APT, 소비자 사기 및 기타 통신 분야와 관련된 위협에 대한 동향을 실시간으로 파악합니다. 오픈 웹 및 다크 웹 소스에 대한 Recorded Future의 폭넓고 깊이 있는 커버리지와 공격에 대한 컨텍스트 및 분석을 통해 Nkom EkomCERT와 노르웨이의 통신 및 디지털 통신 회사는 운영에 영향을 미칠 가능성이 가장 높은 위협을 예측하고 이에 대비할 수 있습니다.

또한 Ole의 팀은 Analyst-On demand 서비스와 타깃 위협 연구를 Recorded Future 고객에게 제공하는 베테랑 위협 연구원들로 구성된 Recorded Future Insikt Group 팀의 분석 및 인사이트를 광범위하게 활용합니다. Recorded Future의 정보와 인사이트를 통해 강화된 Nkom EkomCERT의 사이버 보안 전문 지식은 노르웨이 통신사와 정부 기관이 리소스 할당과 보안 프로그램 강화에 대한 현명한 결정을 내리는 데 도움이 되었습니다.

Recorded Future, Nkom EkomCERT의 성공을 지원하는 방법

올레와 그의 팀은 Recorded Future 의 인텔리전스 덕분에 노르웨이의 통신 부문에 대한 지침 제공 능력이 크게 강화되었다고 생각합니다. 특히 Recorded Future의 기능에 만족하고 있습니다:

• 컨텍스트 및 시간적 메트릭으로 기본 취약성 데이터 강화
• 수백 개의 오픈 웹 사이트와 다크 웹 사이트를 체계적으로 모니터링하여 임박한 공격의 징후를 찾아냅니다.
• 통신사 및 스칸디나비아 지역에 특화된 정보 생산
• 지속적으로 인텔리전스를 업데이트하여 상황 인식 유지
• 중요한 사이버 보안 트렌드에 대한 데이터와 이러한 트렌드가 Nkom EkomCERT와 그 구성원에 어떻게 적용되는지에 대한 인사이트를 제공하세요.
• 신속한 지원 및 전문가 도움 제공