http://cafe.naver.com/rapid7/2762
사이버 인텔리전스를 통한 사이버 보안 향상
(Improving Cybersecurity Through Cyber Intelligence)
참석자
Will Hayes - Principal engineer at the Software Engineering Institute
Jared Ettinger - Engineer from the Emerging Technology Center
요약
사이버 정보를 사이버 보안과 차별화 시켜야 한다. 사이버 정보는 대부분 사람들이 많이 듣는 용어이지만 사이버 정보는 조직을 보호하기 위해 의사결정자에게 악의적인 사이버 기능 및 행동을 식별, 추적 또는 예측하는 정보를 수집하는 것이다. 사이버 정보는 사이버 보안의 하위 집합과 같다. 사이버 세상에서 무슨 일이 벌어지고 있는지 분석하고 의사결정자에게 효과적으로 전달하여 사이버 보안을 강화할 수 있다.
일반적으로 사이버 보안에 대해 생각할 때 컴퓨터가 작동하는 방법과 방화벽, 기술적인 세부사항만 생각하는데 사이버 정보는 정보 수집 및 처리에 여러 가지 고려해야 할 것이 있다. 먼저 조직의 필요나 우선 순위가 무엇인지, 그러한 요구가 무엇인지 정보를 수집하여 알아낼 필요가 있다. 이 정보는 네트워크 내부에서 가져온다. SIEM SYN, DLP, 또는 IPS, IDS로부터 얻은 모든 데이터들이다.
Emerging Technology Center에서 우리가 보고있는 것은 고급 컴퓨팅, 응용 분석 및 기계 학습이다. 사이버 정보를 통해서 컴퓨터 학습, 자연어 처리, IoT, 증강 현실 및 가상 현실과 같은 최신 기술을 탐구하고 있다. 2012년쯤에 국가 정보국(ODNI) 국장이 세계의 사이버 정보에서 실제로 진행되고있는 것을 찾아 연구를 시작했다. 이 연구는 Cyber Intelligence Trade Craft Project라고 불리며 2012년에서 2013년 중반에 걸쳐 진행되었다.
이 연구에는 구현, 수집 관리 전략 등이 포함되었고, 위협의 우선순위 결정 방법, 분석가 역량강화 방법, 사이버 정보의 모범 사례 등도 포함되었다. 그 연구가 끝난 후에, 컨소시엄으로 2014년에 다시 시작했다. 우리가 하는 일은 기본적으로 포럼을 제공하는 것이다. 단순히 타협의 지표를 공유하는 것이 아니라 모범 사례를 공유하고 새로운 기술을 배우고, 세계에서 진행되고있는 작업과 사이버 정보 프로그램에 어떻게 적용 할 수 있는지를 알려주는 포럼이다. 컨소시엄에서 제공하는 또 다른 사항은 훈련이다. 현장에서 작업하는 사람들이 올 수 있는 워크샵을 제공하고 강의한다.
우리가 실행하는 시뮬레이션을 가지고 있는데 컨소시엄의 일환으로 진행되는 주요 작업 중 하나다. 이러한 시뮬레이션은 물리적 위협 시나리오뿐만 아니라 사이버 측면도 포함한다. 회원은 애널리스트를 파견하여 교육받은 다음 빠르게 진행되는 위협 시나리오를 진단하거나 탐색하고 경영진에게 권장 사항을 제시해야한다.
우리가 제공하는 모호함을 찾고 연결하여 위협에 대한 몇 가지 권장 사항을 시도하기 위해 제한된 실제 상황을 복잡하게 만들어 제공한다. 그래서 도구와 정보 분석, 카운터 지식에 대해 경험을 쌓고 있으며 효과적인 의사 소통을 하고 브레인스토밍을 할 수 있다. 또한 문제를 해결하는 방법도 생각할 수 있다.
우리가 훈련의 일환으로 하는 일 중 하나는 참가자가 크게 생각하고 서로 의사 소통을 할 수 있는 인간 중심 설계 기법을 제공해 참가자들에게 그 위협을 탐색하는 방법에 대한 창의적인 아이디어를 내도록 한다. 그러나 도구와 분석은 아니다. 사이버에서 가장 어려운 과제 중 하나를 다른 사람과 협력할 수 있는 보다 부드러운 기술이다.
연구 결과를 내고도 효과적으로 경영진에게 전달할 수 없다면 이 모든 것이 헛수고다. 그것은 아직 해결되지 않은 문제이고 해결책이 있을 것이라고 생각하지 않는다. 왜냐하면 모든 것이 조직과 조직의 요구에 달려 있기 때문이다. 그것은 정부, 산업계 및 학계 전반에 걸쳐 우리가 보아온 것이다.
분석가가 이 분야에 뛰어 드는데 좋은 점은 기술적인 문제에 대한 지식의 폭이 적어도 있다는 것이다. 그런 다음 적어도 한두 분야의 전문가를 보유하고 있어야 한다. 이 분야에 대해 이야기 할 수 있다고 말하지만 수직적인 위치에 있다면 그렇지 않는 경우가 더 많다.
스킬 세트와 배경이 다른 사람들을 모아서 함께 얘기하면 더 좋은 결과를 낸다. 우리가 하려고 하는 것을 외부에 전달함으로써 서로 의사 소통하기를 원하는 정보와 오해의 소지가 있는 정보를 통해 의사결정자에게 포괄적인 분석을 제공할 수 있다.
우리가 SEI에서 하는 다른 일은 프로토타입을 제작하는 것이다. 우리는 회원이 원하는 도구에 대한 아이디어와 새로운 기술이 있다. Emerging Technology Center 와 관련된 부분은 기술 전환이다. 도울 수 있는 것을 만들고 원하는 곳으로 가져가서 보여줄 수 있다. 우리가 아는 기술이 다른 기술과 대조되는 기술 영역에서 동일한 역할을 수행하지 않을 수도 있기 때문에 도구를 사용하는 할 때 경험은 매우 중요하다.
예를 들어 회원이 위협에 우선순위를 두는 것에 관심을 가졌었다. 그 일을 도울 수 있는 무언가를 만들 수 있었고 공급 업체를 어떻게 선택 하느냐 문제와 많은 위협 요소가 있었다. 위협을 제공하는 공급 업체가 너무 많았기 때문이다. 공급 업체를 어떻게 선택하는지 의사 결정 트리를 통과하는데 도움이 되는 프레임워크나 도구를 제공했다.
정보를 보호받는 컨소시엄 컨텍스트에서 둘 이상의 조직과 대화를 나누고 서로 배울 수 있다는 것은 매우 강력한 리소스다. 컨소시엄의 가장 큰 장점은 회원들이 서로 협력하고 대화 할 수 있는 능력이다. 다시 말하면, 타협을 하는 것이 아니다. 이것은 우리 문제 또는 우리가 가지고 있는 여러 도전에 대해 효과가 있다는 것을 말하는 것이다. 우리에게는 엄청난 경험을 가진 회원뿐만 아니라 SEI와 ETC 회원들인 기술적인 사람들이 있다. 데이터 과학자나 사이버 보안에 관해서는 정말로 똑똑한 사람들이 있다. 사람들을 연구하는데 정말로 능숙한 연구자들이다. 우리는 기계 학습과 관련하여 생체 인식에 관한 전문가가 있고, 컨소시엄을 도우려 하고 문제를 해결할 수 있는 지식을 그들에게서 가져 오려고 노력한다.
컨소시엄에 대해 더 많은 정보를 얻으려면 DC에서 계획된 정보 세션이 있다. 웹 사이트로 이동한 후 SEI 메인 페이지에 링크가 표시되면 등록할 수 있다. 잠정적으로 뉴욕과 시카고 그리고 피츠버그에 정보 세션을 열 계획이다.
이 Podcast는 SEI 웹 사이트와 Carnegie Mellon University의 iTunes U 사이트에서 볼 수 있다.