사용 사례:

인텔리전스를 활용하여 더 정확하고 다양한 소스의 인사이트를 신속하게 확보하며, 팀이 더 짧은 시간에 더 많은 일을 할 수 있도록 역량을 강화합니다.

문제:

Recorded Future를 사용하기 전에는 중요한 비즈니스 결정과 보안 조치가 불완전한 수동 조사, 직감, 신뢰에 기반을 두고 있었습니다.

솔루션: Recorded Future Intelligence Platform:

• Brand Intelligence
• SIEM 통합을 통한 SecOps Intelligence: IBM Security QRadar
• Third-Party Intelligence
• Vulnerability Intelligence
• Threat Intelligence
• Analyst on Demand (AOD) 서비스

결과:

• 인원을 늘리지 않고도 보안팀의 역량 대폭 강화
• 공급업체 및 기타 서드파티의 실제 보안 위험을 정확하게 점수화
• Hughes Federal Credit Union 및 파트너/공급업체가 악용 위험이 높은 취약점을 패치할 수 있도록 지원
• 회사의 SIEM인 IBM Security QRadar와 통합을 통해 우선순위가 지정된 트리아지, 위협 상관관계 개선, 강화된 조사 달성
• 신용 조합의 브랜드와 평판을 악용 및 저작권 침해로부터 보호 지원
• 회사의 목표를 방해하는 보안이 아니라, 여러 소스로부터의 신뢰할 수 있는 실시간 데이터를 기반으로 진정한 보안 문화를 위한 강력한 기반 형성

더 많은 정보를 바탕으로 비즈니스 의사 결정을 내리고 집중적인 조치를 취하도록 지원하는 다양한 외부 소스의 실시간 인텔리전스

개요

1952년에 처음 설립된 Hughes Federal Credit Union은 애리조나주 투손 지역 사회에 서비스를 제공하고 있으며 현재 166,000명 이상의 회원과 19억 달러 이상의 자산을 보유하고 있습니다.

Hughes는 사이버 보안 관리자인 Judy Mayoral, 사이버 보안 담당 부사장, 보안 분석가로 구성된 비교적 소규모의 보안 팀을 갖추고 있습니다. 즉, Mayoral과 분석가가 실무 작업의 대부분을 수행합니다. 조직의 빠른 성장으로 인해 보안 팀은 중요한 사안의 우선순위를 정하는 데 도움이 되며 신뢰할 수 있는 보안 인텔리전스를 제공하는 솔루션을 찾아야 했습니다. 팀은 매일 쏟아지는 방대한 양의 다양한 데이터를 보다 효율적으로 선별하기 위해 Recorded Future Intelligence Platform을 선택했습니다.

Mayoral이 지적했듯이 이 솔루션을 배포한 것은 조직에 큰 도움이 되었습니다. “Recorded Future는 어떤 것이 활성화된 위협인지 과거의 위협인지, 우선순위를 둬야 할지 그다지 중요하지 않은 것인지 판단하는 데 도움이 되기 때문에 매우 중요합니다. 또한, 공급업체 선정 및 관리 등 연구 목적으로도 Recorded Future를 활용합니다. 회사가 지속적으로 빠르게 확장함에 따라 우리는 민첩하게 상황을 파악해야 합니다. 그리고 Recorded Future를 통해 이것이 가능해집니다.”

공급업체 위험을 정확하게 평가

Hughes Federal Credit Union은 여러 공급업체와 관계를 맺고 있습니다. 조직의 핵심 사업 중 하나는 신용 조합을 통해 고객 구매 자금을 조달하려는 차량 판매 대리점과 협력하는 것입니다. 실제로 이는 이 신용 조합의 비즈니스의 약 70%를 차지합니다. Hughes는 자동차 대출 관련 기관 외에도 솔루션 제공업체, 공급업체 관리 소프트웨어 회사, Cisco 및 IBM과 같은 기술 공급업체와 협력합니다. 또한 신용 조합은 합병하거나 인수하려는 회사를 평가합니다.

Hughes가 함께 일하고자 하는 새로운 공급업체를 식별할 때, 적절한 실사를 수행하기 위해 노력합니다. “우리는 공급업체 계약에 대해 위험을 기반으로 하여 정보에 기반한 결정을 내리는 데 많은 시간을 소모합니다.” 라고 Mayoral은 언급합니다. “바로 이 부분에서 우리는 Recorded Future에 의지합니다.”

Recorded Future 이전에는 벤더 평가 과정이 주로 직감이나 신뢰에 의해 이루어졌습니다. 공급업체가 Hughes와 접촉하면 이 신용 조합은 해당 공급업체에 대해 파악하고, 그들의 비즈니스에 대한 느낌을 얻으며, 보안 운영 센터(SOC) 문서 또는 실사 패키지를 검토할 것입니다. 이 신용 조합은 해당 정보를 바탕으로 정량적 위험 평가를 위해 서드파티에 에스컬레이션할지, 관계를 개시할지, 비즈니스 관계를 추구하지 않을지 등 다음 단계에 대한 결정을 내립니다.

“우리가 공급업체를 평가할 때 놓치고 있던 부분은 회사의 안정성과 해당 회사가 외부 세계에서 떠안고 있는 위험에 대한 데이터였습니다. Recorded Future를 본격적으로 활용하기 시작했을 때, 과거에 거래했던 일부 공급업체가 고위험 상태이며 이전에 침해가 발생했다는 사실을 발견했습니다. 예를 들어, 우리는 해당 공급업체의 정보가 다크웹에 있다는 사실을 발견했습니다. Recorded Future의 인사이트가 없었다면 이 사실을 알지 못했을 것입니다. 이제 우리는 공급업체에 다크웹에 공개되거나 드러난 보안 문제가 있는지 식별할 수 있습니다.”라고 그녀는 말합니다.

Recorded Future Third-Party Module은 공급업체, 파트너 및 기타 서드파티에 사이버 위험 점수를 수치로 할당하여 추측을 배제합니다. Mayoral은 Hughes와 거래하는 공급업체를 지속적으로 주시하며, 침해, 잠재적 취약점, 랜섬웨어, 자격 증명 침해 및 기타 보안 문제를 점검합니다.

Hughes의 환경에 직접 접근할 수 있으며 침해 시 비즈니스에 위험을 초래할 수 있는 핵심 공급업체나 서비스 제공업체의 경우, Mayoral이 Recorded Future를 사용하여 이들의 사용자 이름을 추적합니다. 그녀의 팀이 다크웹에서 해당 사용자 이름을 발견하면, 공급업체에 통보하여 해당 공급업체가 추가 조사 및 조치를 수행할 수 있도록 합니다.

“Recorded Future에서 문제가 있다고 경고하면, 이는 보통 해당 공급업체와 거래를 피해야 하거나 해당 업체와 협력할 때 추가적인 주의를 기울여야 한다는 신호입니다.”라고 그녀는 주장합니다.

공급업체 프로필을 더 자세하게 만드는 취약점 관리

Mayoral과 그녀의 팀은 Recorded Future의 Vulnerability Intelligence를 사용하여 신용 조합의 공급업체와 파트너가 제로데이 공격이나 기타 위협에 취약한지 여부를 확인할 수 있습니다. Recorded Future는 머신 러닝을 활용하여 오픈 웹, 다크웹 및 기술 소스의 실시간 데이터를 기반으로 취약점의 악용 가능성을 평가합니다. 이를 통해 Mayoral과 그녀의 팀은 취약점이 U.S. National Vulnerability Database(NVD)에 공개되기 며칠 전에 이에 대한 우선순위를 정하고 조치를 취할 수 있습니다.

2021년 12월에 발견된 Apache Log4j 결함은 여러 분야의 수많은 기업에 영향을 미친 제로데이 취약점의 명확한 예입니다. 이 결함을 통해 원격 공격자는 시스템을 장악하여 멀웨어를 설치하거나, 페이로드를 실행하거나, 데이터를 탈취하거나 시스템을 손상시킬 수 있는 능력을 갖추게 됩니다. 다행히 Hughes는 Log4j에 대한 방어가 잘 되어 있어 다른 많은 조직처럼 피해를 입지는 않았지만, 신용 조합은 제3자가 잠재적으로 피해를 입을 수 있다는 점을 우려했습니다.

“Recorded Future는 당사와 거래하는 사람이 Log4j 공격에 취약한지 확인할 수 있는 실질적인 리포팅 및 도구를 제공합니다. 또한, 다른 침해 지표(IoC)를 발견하고 위협 행위자가 우리를 표적으로 삼고 있는지 또는 공격하고 있는지 판단하는 데 도움을 줍니다.”라고 그녀는 말합니다

컨텍스트를 풍부하게 하고 정보를 더 쉽게 접근할 수 있도록 하는 SIEM 통합

Recorded Future SecOps Intelligence Module의 중요한 이점은 Hughes에 구현된 보안 정보 및 이벤트 관리(SIEM) 솔루션인 IBM의 Security QRadar와 원활하게 통합된다는 점입니다. Recorded Future는 실시간 인텔리전스를 QRadar에 제공하여 Mayoral과 분석가가 신속하고 자신감 있는 의사결정을 내리는 데 필요한 정보를 제공합니다.

Mayoral이 말했듯이 Recorded Future는 '외부 세계를 볼' 수 있어 Hughes가 가능한 위협에 대비하도록 지원합니다. Mayoral과 그녀의 팀은 QRadar와 Recorded Future를 함께 도입함으로써 SIEM의 전체 데이터 세트를 강화할 수 있었습니다. SecOps Intelligence와 QRadar의 통합은 각 공통 취약점 및 노출(CVE)의 악용과 관련된 실제 위험에 대한 컨텍스트를 제공하는 위험 점수로 SIEM 데이터를 강화합니다. Recorded Future의 위험 점수는 CVSS 점수를 보완하여 Mayoral과 그녀의 팀이 취약점이 악용될 가능성에 따라 가장 중요한 보안 패치의 우선순위를 정할 수 있도록 지원합니다.

통합 덕분에 Mayoral과 팀은 맞춤형 경보를 구축할 수 있습니다. “예를 들어, 내부 사용자가 방화벽을 통해 허용된 웹사이트를 방문하고 있지만, Recorded Future가 해당 URL의 위험 점수가 높다고 표시하면, 우리는 알림을 받습니다. 이렇게 하면 웹사이트에 문제가 있을 수 있음을 파악하고 알림을 미세 조정할 수 있습니다. 이는 직원들이 수행하는 작업과 애플리케이션의 활동을 명확히 이해할 수 있게 해주며, 이를 통해 두 가지 모두를 더 효과적으로 보호할 수 있습니다.”라고 Mayoral은 설명합니다.

Mayoral의 직속 보안 팀 외부의 직원들도 Recorded Future가 제공하는 혜택을 누리고 있습니다. 예를 들어, 인프라 팀은 보안 패치를 실행할 때 QRadar에서 Recorded Future 데이터의 지침을 사용합니다.

단지 이 통합이 존재한다는 사실만으로도 조직의 더 많은 사람들이 인텔리전스를 접하거나 그 혜택을 받을 수 있습니다. 이러한 통합은 사람들이 데이터를 이해할 수 있도록 합니다. Recorded Future에서 78이라는 밝은 빨간색 점수를 보면 문제가 있다는 것을 알지만, 점수가 0이면 걱정할 필요가 없습니다"라고 Mayoral은 관찰합니다.

브랜드 악용 및 사칭 방지

재무, 운영, 마케팅과 같은 비기술 팀은 다양한 소스에서 도메인 등록 데이터, 소셜 미디어 프로필, 악성 웹사이트 등의 정보를 수집하는 Recorded Future Brand Intelligence를 정기적으로 활용합니다. 이 기능을 통해 Mayoral과 그녀의 팀은 유출된 자격 증명, 타이포스쿼트 도메인, 브랜드 침해, 기타 디지털 위험을 즉시 찾을 수 있습니다.

어느 날 Mayoral은 Recorded Future로부터 신용 번호의 처음 6자리를 나타내는 의심스러운 은행 식별 번호(BIN)에 대한 경보를 받았습니다. 그녀는 즉시 사기 운영 팀을 동원하여 이러한 신용카드가 활성 상태의 카드임을 확인하고 정지시켜야 한다고 판단했습니다. 팀은 해당 인텔리전스를 심층 분석하고 자체 지식으로 보강하여 이러한 신용카드가 더 큰 침해의 일부이며 다크웹에 게시되거나 사기범에 의해 사용될 수 있음을 확인할 수 있었습니다. 사기 운영 팀은 모든 요소를 종합하여, 영향을 받은 신용 조합 회원들의 계좌에서 사기가 발생하지 않도록 방지했습니다.

마찬가지로, Mayoral과 그녀의 팀은 Recorded Future가 다크웹에서 경영진 계정의 이메일 주소가 발견되었음을 알아채면 즉시 해당 이메일 주소 소유자에게 비밀번호와 자격 증명을 변경하도록 요청할 수 있습니다.

Hughes의 마케팅 부서는 Brand Intelligence Module을 여러 방식으로 활용하여 필요한 경우 보안 팀이 시정 조치를 취할 수 있도록 지원합니다. 예를 들어, 마케팅 부서는 Recorded Future의 Brand Intelligence를 통해 자사 브랜드가 어디에서 사용되고 있는지, 어떻게 사용되고 있는지를 확인할 수 있습니다.

Mayoral에 따르면 Brand Intelligence는 특히 피싱 페이지에 대한 뛰어난 인사이트를 제공했습니다. “Recorded Future의 알림과 경보를 기반으로 피싱 사이트가 생성되는 시기와 피싱 이메일이 도착할 시기를 예측하고 감지할 수 있습니다.”라고 그녀는 확신합니다.

또한, Mayoral과 그녀의 팀은 사용자가 일정 기간 온라인에 텍스트를 저장하고 모든 사람과 공유할 수 있는 호스팅 사이트인 PasteBin에 권한이 없는 개인이 신용 조합의 웹사이트 코드를 복사해놨는지 여부를 확인할 수 있습니다. 이 경우에도 팀이 상황을 해결하는 방법을 결정할 수 있습니다.

“만약 진짜 타이포스쿼팅 사이트라면, 해당 사이트를 제거하거나 공급업체와 협력하여 삭제합니다. 그러나 단순한 브랜드 침해라면, 위반자에게 연락하여 그들이 자체적으로 해결할 수 있도록 합니다."라고 Mayoral은 말합니다. “또한 Recorded Future Brand Intelligence는 소셜 미디어에서 누군가가 우리에 대해 이야기하고 있는 경우에 경보를 제공하기 때문에 이에 대해서도 알 수 있습니다. 그러면 우리는 부정적이거나 평판에 해를 끼칠 수 있는 댓글에 후속 조치를 취할 수 있습니다.”

Recorded Future 이전에는 신용 조협에 타이포스쿼팅에 대한 가시성이 거의 없었습니다. “타이포스쿼트 도메인을 모니터링할 수 있는 기능 덕분에 저희는 많은 보호를 받았습니다. 사이트 사칭이 너무 많아서 조치를 취해야 했습니다. Recorded Future 덕분에 연간 약 6개의 타이포스쿼팅 도메인을 탐지할 수 있었는데, 이는 이전에는 불가능했던 일이었습니다.”라고 Mayoral이 언급합니다.

보안 팀을 확장하고 보완하는 Recorded Future의 전문 분석가들

Mayoral은 팀의 작업을 보완하기 위해 정기적으로 Recorded Future의 Analyst on Demand(AOD) 서비스를 활용하고 있습니다. Recorded Future의 고도로 숙련된 정보 분석가들이 이 신용 조합의 환경에서 나타나는 경보를 심층적으로 분석하고 인시던트 대응 지침, 특정 경보에 대한 온디맨드 플래시 요청, 정기적인 검토, 리포팅과 함께 비슷한 규모 및 범위의 금융 기관을 표적으로 하는 위협에 대한 인사이트를 제공할 수 있습니다.

Mayoral은 이사회와 사이버 보안 위원회를 위한 고위급 보고서를 준비하는 과정의 일환으로, 피싱 시뮬레이션 테스트 결과 등의 다른 수집 데이터로 AOD 보고서를 보강합니다. 그녀는 이 데이터를 경영진에게 제시하여 경영진이 조직의 보안 태세를 이해하고 예산 및 자원 할당에 대해 정보를 기반으로 결정할 있도록 돕습니다.

“Recorded Future는 우리가 허용 가능한 위험과 비교할 수 있는 실제 위험을 제시합니다. 이는 인력이나 새로운 도구와 같은 추가 자원에 대한 자금 지출을 정당화해야 할 때 동의를 얻는 데 도움이 됩니다”라고 Mayoral은 주장합니다.

보안 사고방식을 함양하기

Hughes는 모든 직원의 보안 인식을 확장하기 위해 최선을 다하고 있으며, Mayoral은 이 노력에서 중요한 역할을 하고 있습니다. 그녀는 모든 직원을 대상으로 매년 교육을 실시하며, 특히 신입 사원에게 집중하여 모든 직원이 보안의 중요성과 의심스러운 사항을 신고하는 것의 중요성을 이해하도록 합니다. 그녀는 랜섬웨어 및 기타 위협에 대한 Recorded Future의 웹 콘텐츠와 웨비나를 사용하여 교육 커리큘럼을 강화합니다.

일상적인 수준에서는 특정 웹사이트가 차단되는 이유에 대한 실질적인 정보를 직원들에게 제공하며, 이는 Recorded Future의 위험 점수를 통해 뒷받침됩니다. 직원들은 적절한 자금 조달을 보장하기 위해 판매 대리점뿐만 아니라 특정 차량 제조사 및 모델을 조사하기 위해 다양한 웹사이트를 자주 방문해야 합니다. 때때로 이로 인해 악성 사이트를 방문하게 됩니다. 이러한 상황이 발생할 때 Recorded Future는 보안 팀에 경보를 제공하여 팀에서 해당 URL을 차단할 수 있으므로 유용합니다.

“어떤 웹사이트에 액세스할 수 없는 경우 해당 웹사이트가 100점 만점에 79점의 높은 위험 점수를 가지고 있으며, 피싱이나 멀웨어와 관련이 있는 것으로 알려져 있다는 것을 사용자에게 보여드릴 수 있습니다. 이를 통해 우리가 하는 작업의 대한 정당성을 제시할 수 있습니다. 그리고 사용자가 특정 회사와 비즈니스 관계를 구축하려는 경우 공급업체에 대해서도 동일하게 파악할 수 있습니다.”라고 그녀는 말합니다.

그녀는 Third-Party Intelligence Module을 사용하여 회사의 위험 점수를 조회함으로써 실사 또는 공급업체 관리 프로그램 프로세스를 지원합니다.

Recorded Future는 Mayoral과 그녀의 팀이 신뢰할 수 있고 유용한 조력자로서 역할을 할 수 있도록 지원했습니다. Mayoral의 팀은 Hughes에서 직원들이 보안을 보는 방식을 바꾸려는 노력에 성공했습니다. 그녀의 팀이 보안이 프로세스에 방해가 되지 않도록 하고 있다는 사실을 사용자들이 이해하게 되었습니다. Mayoral은 직원들의 마음과 신뢰를 얻게 되어, 이제 직원들은 악성 사이트나 소셜 엔지니어링 피싱 이메일과 같은 문제를 그녀의 팀에 리포팅을 하고 있습니다.

자동화를 통한 팀 역량 강화

Mayoral은 “Recorded Future 덕분에 팀의 역량과 효율성이 두 배 이상 향상되었습니다.”라고 말합니다.

Recorded Future SecOps Intelligence는 즉시 사용 가능한 고신뢰성 위협 데이터를 제공하여 수동 조사의 필요성을 없앱니다. Mayoral의 팀은 실시간 위험 점수와 침해 지표(IoC)로 무장하여 오탐을 신속하게 제거하고, 경보의 우선순위를 정하며, 심층 조사를 수행한 후 필요한 경우 트리아지를 진행할 수 있습니다.

Recorded Future Vulnerability Intelligence는 또한 프로세스를 자동화했습니다. 과거에는 취약점 스캔을 검토하는 것이 매우 시간이 많이 소요되는 작업이었습니다. Mayoral의 팀은 방화벽 및 Microsoft Windows 도구와 같은 스캔된 중요 자산과 함께 모든 CVE를 검토해야 했습니다. Recorded Future는 CVE를 관련 자산과 연결하므로 특정 자산에 대해 어떤 CVE가 고위험일 수 있는지 쉽게 확인할 수 있습니다.

“Recorded Future는 우리를 위해 많은 작업을 해줍니다. 제가 각각의 CVE를 일일이 조사하여 그 위험성이나 악용 가능성을 판단할 필요가 없습니다. 그리고 CVE와 위험 수준을 자산에 다시 연결해주기 때문에, 조치를 취할 필요가 있는지 여부를 결정할 수 있습니다. 이는 취약점이 발생하는 자산에 따라 주의를 기울여야 하는지를 결정하는 데 시간을 낭비하지 않도록 해줍니다.”라고 Mayoral은 말합니다.

또한 Recorded Future의 깊이 있고 폭넓은 인텔리전스를 통해 팀은 위험한 사이트를 보다 쉽게 빠르고 식별할 수 있습니다. 수십 개의 웹사이트를 수동으로 필터링하는 대신, Recorded Future에 URL을 입력하기만 하면 즉시 위험 점수를 받을 수 있습니다.

“인시던트가 발생하거나 무언가를 조사해야 할 때, 한 사람이 문제를 처리할 수 있습니다. 그리고 이 개인은 여러 시스템에 능숙할 필요가 없습니다. Recorded Future의 모든 인텔리전스를 가져와 컨텍스트를 제공하고 점들을 연결하는 데 도움을 주는 IBM Security QRadar를 이해하기만 하면 됩니다. 그러면 어떤 것이 실행 가능한지 오탐인지에 대해 정보에 입각한 결정을 내릴 수 있습니다. 이는 시간을 더 잘 우선순위를 정할 수 있게 해줍니다.”