보안 분석가의 일상 중 하나는 위협 인텔리전스 탐색입니다. 익숙하지 않은 CVE(Common Vulnerabilities and Exposures)를 발견하면 웹 브라우저를 띄워 검색을 하거나 사용 중인 보안 도구를 열어 해당 CVE의 심각성을 파악합니다. 이를 통해 위협 행위자들이 해당 CVE를 악용하고 있는지, 공개적으로 게시된 익스플로잇이 있는지, 우리 조직에 영향을 끼치는지 알아보죠. 이 과정을 가만히 들여다보면 작업 패턴이 눈에 들어옵니다. 바로 이 사이트, 저 사이트 그리고 이 도구, 저 도구를 오가며 정보를 탐색하고 있다는 것입니다. 이런 번거로움을 해소할 수 있는 방법이 있다면?

현재 보고 있는 보안 도구의 웹 콘솔 화면에서 필요 정보를 바로 탐색하고 파악할 수 있다면? 무엇이든 찾으면 길이 보이게 마련이죠. 화면을 떠나지 않고 위협 인텔리전스 관련 정보를 볼 수 있도록 맨디언트는 'Mandiant Advantage 위협 인텔리전스 브라우저 플러그인(이하 위협 인텔리전스 플러그인)'을 제공합니다. 현재 이 플러그인은 크롬 및 파이어폭스에서 이용할 있으며 곧 마이크로소프트 엣지용도 출시될 예정입니다. 이 플러그인 사용을 위해 맨디언트 어드밴티지 위협 인텔리전스 구독이 필요합니다. 무료 계정을 만들어 테스트해보면 아마 신세계를 경험할 수 있을 것입니다.

마우스 오버만으로 필요 정보를 파악

위협 인텔리전스 플러그인을 설치하면 현재 보고 있는 SIEM 같은 보안 도구의 웹 콘솔 화면을 떠나지 않고 CVE 관련 부문에 마우스 커서를 올려놓으면 취약성, 지표, 맬웨어 또는 맬웨어 위협 행위자에 대한 정보를 자세히 볼 수 있습니다. 단순히 정보만 띄워 주는 것이 아닙니다. 중요 사항은 강조 표시가 되는데, 해당 내용은 더 깊이 파고 들어갈 수 있습니다.

위협 인텔리전스 플러그인이 제공하는 위협 인텔리전스는 업계 최고 수준의 정보입니다. 맨디언트가 제공하는 실행 가능한 정보라 보면 됩니다. 보안 분석가는 이를 손쉽게 참조해 주목해야 할 위협의 우선순위를 신속하게 정할 수 있습니다.

위협 인텔리전스 플러그인을 통해 참조할 수 있는 정보는 다음과 같습니다.

• 지표 신뢰 점수: 하이라이트 지표를 사용하면 웹 기반 SIEM 화면을 볼 때나 보안 관련 블로그나 보고서 글을 읽을 때 맨디언트의 위협 인텔리전스 정보를 쉽게 참조할 수 있습니다. 또한, 맨디언트는 지표에 대한 신뢰 점수를 제공합니다. 이 점수는 맨디언트의 확신에 대한 수준을 보여줍니다. 이를 참조하면 보안 분석가는 더 중요한 지표에 집중할 수 있습니다.
• 취약성: 취약성이 강조되어 표시되는 페이지 요약은 보안 분석가가 특정 CVE가 조직에 위험이 될 수 있는지 그리고 이미 해당 CVE를 악용한 사례 중 공개된 것이 있는지 등을 신속하게 파악하는 데 도움을 줍니다.
• 위협 행위자 및 맬웨어: 더 이상 APT, UNC 이름과 그들의 특성을 외울 필요가 없습니다. 강조 표시가 된 위협 행위자와 맬웨어 계열을 클릭하면 맨디언트 위협 인텔리전스로 쉽게 전환하여 심층 조사를 할 수 있습니다.
• 뉴스 요약 및 분석: 맨디언트 위협 인텔리전스 전문가 팀은 다양한 아티팩트 및 관련 뉴스 분석 정도도 플러그인을 통해 제공합니다.

위와 같은 정보를 평소 찾는 데 들었던 노력과 수고를 덜 수 있다는 것 그리고 빠르고 정확하게 위협에 대한 통찰력을 얻을 수 있다는 것, 이 두 가지만으로도 위협 인텔리전스 플러그인의 가치는 충분해 보입니다.