위협 인텔리전스는 사고 대응 워크플로우에서 중요한 역할을 합니다.조직은 위협에 빠르고 정확하게 대응하기 위해 차별화되고 실행 가능하며 통합된 인사이트가 필요합니다.
보안을 중요시하고 사고 분석을 가속화하는 데 도움이 되는 도구를 통해 보안 운영 센터 (SOC) 를 무장하려는 조직은 위협 인텔리전스와 통찰력에 크게 의존하여 경고의 우선 순위를 지정합니다.
지금까지 이 위협 인텔리전스의 출처는 네트워크에 집중되어 왔습니다.방화벽과 같은 네트워크 보안 솔루션은 매우 완성도가 높았으며 대다수의 사용자가 중앙 위치에서 작업하던 세상에서는 자연스러운 데이터 제어 지점이었습니다.엔드포인트 디바이스에서 발생하는 작업을 분석할 수 있는 EDR 솔루션을 채택하면서 엔드포인트 위협 인텔리전스가 한층 강화되었습니다.
위협 행위자들의 회피 전술이 계속 진화함에 따라 SOC 분석가에게 위협에 신속하고 정확하게 대응하는 데 필요한 강화 수준을 제공하려면 위협 인텔리전스를 확장해야 합니다.
SOC 팀은 악의적인 행동을 식별하기 위해 수많은 소스에서 데이터를 가져옵니다.여러 소스의 상관 관계를 파악하면 연관되지 않은 여러 이벤트로 보이므로 알아차리지 못할 수 있는 악의적인 의도를 찾아낼 수 있습니다.
다른 기존 솔루션과 동일한 소스가 아닙니다.데이터를 복제한다고 해서 조직의 보안이 강화되는 것은 아니며 오히려 혼란을 야기할 수 있습니다.대신 위협 환경에 대한 추가적인 관점을 제공하는 인텔리전스를 찾아보세요.네트워크, 엔드포인트 및 애플리케이션 위협 인텔리전스에 대한 인사이트를 얻을 수 있는 출처는 다양하지만 웹 브라우저와 같은 위협 그룹의 표적이 되는 위협 벡터를 고려하고 이러한 위협 벡터를 적절히 다루는지 확인하세요.
인텔리전스를 위한 인텔리전스가 반드시 보안을 개선하거나 위협 탐지 속도를 높이는 것은 아닙니다.위협 인텔리전스 통합의 핵심 고려 사항은 실행 가능성입니다.이를 어떻게 활용하고 어떤 결과를 기대할 수 있는지를 주요 고려 사항으로 삼아야 합니다.
실행 가능한 인텔리전스는 보안 팀이 위협을 정확하게 식별하고, 대상 및 대응 노력에 대한 우선 순위를 지정하고, 탐지 및 대응에 걸리는 시간을 단축할 수 있도록 다양한 데이터를 제공합니다.
모든 인텔리전스 소스는 독립형 시스템이 아닌 기존 보안 정보 및 이벤트 관리 (SIEM) 도구와 원활하게 통합되어야 합니다.조직은 복잡한 데이터 소스 시스템을 구축하는 대신 가능하면 적용 범위를 손상시키지 않으면서 위협 인텔리전스 소스를 통합하는 방안을 모색해야 합니다.
Menlo는 사용자를 대상으로 하는 브라우저 기반의 고도로 회피적인 공격에 대해 컨텍스트가 풍부하고 실행 가능한 인텔리전스를 제공하여 사고 대응 워크플로우를 가속화합니다.Menlo는 고객 웹 트래픽과 여러 AI/ML 기반 분류기에 대한 지속적인 분석을 통해 회피성이 높은 공격의 존재를 고유하게 식별할 수 있습니다.또한 보안 팀은 시의적절하고 실행 가능한 알림을 통해 사용자를 대상으로 할 수 있는 회피성이 높은 위협에 대한 평균 탐지 시간 (MTTD) 과 평균 대응 시간 (MTTR) 을 크게 줄일 수 있습니다.
Menlo Security의 격리 코어는 사용자가 브라우저에서 수행하는 모든 활동을 분석합니다. 이를 통해 HEAT Visibility는 각 웹 세션 내의 이벤트를 빠르고 정확하게 파악하고 상관 관계를 파악하고 여러 보안 솔루션과 수동 데이터 통합 노력이 필요한 웹 기반 공격에 대한 완전한 그림을 제공하는 위협 데이터를 제공할 수 있습니다.보안 관리자는 사칭된 브랜드 로고, 최종 사용자 활동 (데이터 및 자격 증명 입력 포함) 과 같은 세부 정보를 이해함으로써 이번 사건이 즉시 대응해야 하는 중요한 이벤트임을 쉽게 파악할 수 있습니다.HEAT 가시성 경고는 전용 대시보드 및 Menlo Security 관리 포털의 Insights 분석 도구를 통해 볼 수 있을 뿐만 아니라 SIEM/SOC 플랫폼에서 API를 통해 직접 사용할 수 있습니다.
