1. 국내 |
최근 한수원을 비롯하여 특정 국가 기관을 타겟으로 하는 APT 사이버공격이 지속적으로 발생하고 있다. 이에 대응하기 위해 국내에서는 2014년 8월부터 사이버 위협 정보 분석·공유시스템(C-TAS, Cyber Threat Analysis & Share)서비스를 운영하고 있다. C-TAS는 침해사고 정보 수집, 침해사고 종합 분석, 정보공유 3단계로 구분되며, 정보 제공을 해야 정보를 받아 볼 수 있는 구조이다. 보안기사에 의하면 현재는 KISA의 일방향적 정보공유의 성격이 강하며, 참여하고 있는 기업들의 정보 제공과 공유가 아직까지 완전한 대칭을 이루고 있지는 않다고 한다. 비록 위협을 받은 기업의 소중한 데이터들이 공개될 수 있기에 공유하기가 어렵겠지만, 대형 침해사고를 예방하기 위해서 신뢰성 있는 다양한 정보들이 수집되고 공유될 필요가 있다.
위협정보 공유한다는 C-TAS, 얼마나 알고 있나요?
http://www.boannews.com/media/view.asp?idx=48763
C-TAS 사이버 위협정보 '신뢰성 확보 시급'
http://www.etnews.com/20151130000325
2. 미국 |
미국은 주요 기반 시설 보호 강화를 위한 사이버 보안 정책을 추진하고 있으며, 민·관 파트너십을 기반으로 한 사이버 위협정보 공유 체계를 구축하였다. 그러나 소니 영화사 해킹 사건을 계기로 오바마 대통령은 지난 2월 사이버 위협 정보통합센터(Cyber Threat Intelligence Integration Center, CTIIC) 설립을 승인하고, 민간 부문 사이버 위협 정보 공유 촉진을 골자로 한 행정명령(Executive Order, EO) 제13691호를 발표하였다. 또한, 미 상원과 하원 각 정보위원회에서는 연방정부와 민간 부문의 사이버 보안 및 위협 정보 공유에 관한 입법을 추진하고 있고, 얼마전 미 상원에서 압도적인 지지율로 '사이버보안 정보 공유에 관한 법률'이 통과되었다.
http://money.cnn.com/2015/10/27/technology/cisa-cybersecurity-information-sharing-act/index.html
미국과 중국, 사이버보안 협력체제를 위한 정보공유와 직통전화 설치
http://www.itworld.co.kr/news/96868
크라우드스트라이크(CrowdStrike) '사이버 침입 서비스 케이스북(Cyber Intrusion Services Casebook)' 발간
http://www.boannews.com/media/view.asp?idx=48764&kind=0
3. 사이버위협 정보(CTI) 관련 표준 |
■ STIX(Structure Threat Information eXpression): 사이버 위협 정보 관련 표준
■ TAXII(Trusted Automated eXchange of Indicator Information):사이버 위협 정보 전송 규격
■ MAEC(Malware Attribute Enumeration and Characterization):악성코드 속성 정보 관련 표준
■ CybOX(Cyber Observables eXpression): 사이버 운영 오브젝트 관련 표준
■ MMDEF(Malware Metadata Exchange Format): 악성코드정보 공유 관련 표준
■ CVE(Common Vulnerabilities and Exposures): 공격 취약점 관련 표준
■ CPE(Common Platform Enumeration): 공격 타깃 플랫폼관련 표준
■ IOC(Indicators Of Compromised): 침해 지표
호스트나 네트워크 상에서 침해 혹은 감염을 식별할 수 있는 포렌식 아티팩트로서, 침해사고 탐지/분석 및 악성코드 행위분석이 주 목적이다. Fireeye의 홈페이지에서 제공하는 IOC Editor를 이용하여 손쉽게 IOC를 생성 할 수 있으며 md5, 파일명, 파일경로, 파일 크기, 파일 생성시간, IP, 레지스트리 등 다양한 정보를 포함한다. 국내ㆍ외 보안뉴스 모니터링을 하다보면 IOC를 공유하는 모습을 종종 볼 수있다.
TDrop2 Attacks Suggest Dark Seoul Attackers Return
http://researchcenter.paloaltonetworks.com/2015/11/tdrop2-attacks-suggest-dark-seoul-attackers-return/
[AhnLab]_Black_Mine_Operation.pdf 내용 中
4. 기타 참고 |
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=23706
http://boho.or.kr/upload/file/EpF903.pdf
http://secure360.org/wp-content/uploads/2014/05/Threat-Intelligence-Sharing-using-STIX-and-TAXII.pdf
https://www.fireeye.com/services/freeware/ioc-editor.html
'악성코드' 카테고리의 다른 글
| www.malware-traffic-analysis.net (0) | 2015.11.14 |
|---|---|
| DDoS 봇넷 c&c 서버 국가 분포 한국 1위... (0) | 2015.11.13 |
