카스퍼스키랩은 보안정보이벤트관리(SIEM) 시스템과 통합할 수 있는 기계 판독 위협 인텔리전스 플랫폼을 출시했다고 29일 밝혔다. 이 플랫폼은 카스퍼스키랩의 글로벌 인텔리전스 플랫폼 ‘카스퍼스키 시큐리티 인텔리전스 서비스’에 포함될 예정이다.
기계 판독 위협 인텔리전스 플랫폼은 아크사이트, 스플렁크, 큐레이더 등 SIEM과 통합돼 위협에 대한 포괄적인 관점을 확보할 수 있으며, 사이버 공격을 빨리 식별해 차단하는 데 필요한 지표를 자체 보안 운영 센터에 제공할 수 있다. 데스크톱·모바일 기기에 대한 악성 코드 지표의 경우 악성 URL에 대한 IP 평판을 부여해 위협 인텔리전스의 정확도를 높인다.
카스퍼스키랩의 ‘비즈니스에서 IT 보안이 미치는 금전적 영향 측정’ 보고서에서는 보안 침해 발견 시간과 복구 비용 사이에 직접적인 관계가 있으며 빨리 발견할수록 비용도 크게 줄어드는 것으로 나타났다.
보서서에서는 전 세계 25개국 4천 명 이상의 회사 대표자들을 상대로 조사한 결과, 매일 탐지되지 않고 통과되는 보안 침해로 인해 대기업의 경우 평균 10만 달러의 손실을 입고 있는 것으로 추산됐다.
1주일 동안 탐지되지 않은 보안 침해 사고에 대한 총 복구 비용은 110만 달러에 이른다. 반면 몇 시간 이내에 탐지된 경우에는 평균 복구 비용이 40만 달러 미만이었다. 비용으로 그 차이가 극명하게 드러나면서 현대적인 개념의 보안 운영 센터를 중심으로 한 효율적인 보안 침해 탐지 전략의 필요성이 대두됐다.
더욱 넓어진 데이터 범위와 효과적인 성능
보안 사고의 신속한 발견을 위한 최적의 솔루션은 효과적인 보안 인텔리전스가 중심이 돼야 한다. 이 보안 인텔리전스를 통해서 다양한 방법으로 어느 지점에서든 공격을 탐지할 수 있기 때문이다.
일반적인 예방 도구가 엔드포인트에서의 활동을 분석하는 데 주력하고 있으므로 다른 지점에서의 추가적인 보안 레이어가 필요한 실정이다. 예를 들어 공격이 엔드포인트 보호 솔루션을 피해서 진행된다면 다른 계층에서 공격을 포착할 수 있는 기능이 있어야 한다. 카스퍼스키 위협 데이터 피드가 바로 그 기능을 제공한다.
악성 프로그램 지표(악성 코드 해시). 이 피드는 정기적으로 업데이트되며 거의 실시간으로 위협 정세에 대한 올바른 정보를 제공하다.
악성 URL, 피싱 및 C&C URL. 이 데이터 스트림은 숨어 있는 사이버 공격의 규칙적인 활동을 포착하는 첫 번째 단서로써의 역할을 하다. 악성 코드와 연관된 URL, PC와 모바일 기기를 대상으로 하는 피싱 및 봇넷 작업에 대한 데이터를 포함하고 있다.
모바일 위협. 통신 업계를 위해 특수 설계된 패키지로, 모바일 기기에 대한 최신 악성 코드 정보가 포함돼 있다.
IP 평판피드, 활동중인 보안 침해사고 식별
IP 평판 데이터. 전 세계적으로 사이버 공격의 출처와 C&C 서버 정보가 끊임없이 업데이트되는 카스퍼스키랩의 데이터베이스를 기반으로 하는 IP 평판 피드는 활동 중인 보안 침해 사고를 식별하는 데 유용하다.
모든 피드에는 기록된 이벤트의 타임 스탬프, 가장 많이 감염된 국가 목록, URL 및 도메인과 관련된 IP 등 관련 데이터가 포함돼 있으므로 기업이 자체적인 위협 탐지 알고리즘을 세밀하게 조정하고 보안 운영 센터의 우선 순위를 정해 신속하게 사건 대응을 할 수 있다.
이창훈 카스퍼스키랩코리아 지사장은 “위협 인텔리전스의 수집은 보안 비즈니스의 핵심과도 같다. 이제 카스퍼스키 위협 데이터 피드와 SIEM 솔루션과의 통합이 훨씬 쉬워져 기존의 안티 멀웨어 제품을 변경하기 위해 마이그레이션을 실행할 필요가 없어졌다. 위협 데이터 피드를 통해 이제 기업 보안 시스템에 큰 변화를 주지 않고도 카스퍼스키랩의 보호를 받을 수 있게 됐다. 위협 인텔리전스는 단순한 예방책 이상의 의미를 지닙니다. 카스퍼스키랩이 제공하는 기계 판독 데이터를 통해 기업의 SOC에서는 고도로 복잡한 표적 공격까지도 식별해 문제를 해결할 수 있다. 가장 널리 사용되는 3가지 SIEM 시스템에 대한 지원을 제공하는 카스퍼스키 위협 인텔리전스 플랫폼으로 대부분의 기업 내에서 신속하게 위협에 대응할 수 있을 것”이라고 말했다.
