2017.08.22

사이버 공격 지도 베스트 8과 이를 사용하는 방법

Steve Ragan | CSO
오늘날 대부분의 온라인 사이버 공격 지도는 보기에만 좋을 지 모른다. 그러나 몇 가지 창의적인 방법으로 이를 사용할 수 있다.

사이버 공격 지도를 보는 것은 재미있을 수 있지만 얼마나 유용한지 생각해보자. 언제나 그랬듯이 보안 상황(security context)이 중요하기 때문에 본지는 웹에서 가장 인기있는 사이버 공격 지도 가운데 8개를 조사했다. 지도 자체가 제한된 보안 상황에서 눈길을 사로잡는데, 이를 제대로 활용할 수 있는 창의적인 방법이 있다.

수준높은 보안 전문가는 사이버 공격 지도를 보면서 다소 싫증내기도 한다. 그래서 이 지도를 장난감 총을 갖고 노는 아이들이 내는 소리에 빗대어 '퓨~퓨' 지도라고 부르기도 한다. 사실 한 지도는 실제로 이런 음향을 재미있는 효과로 사용하기도 한다.

일부 전문가들은 강연에서 "만약 고객이 방문한 것을 안다면 SOC(Security Operations Center)의 화면에 지도를 띄운다"고 말했다. 실제로 대부분의 전문가는 이 지도를 사용했다는 것을 말했다. 하지만 이는 행위 예술 이외에 실제 가치는 없다.

한 보안 경영진은 트위터에서 "가치를 더할 수 있는 제품을 찾으면 바로 사용하겠다"고 말했다.

사이버 공격 지도에 대한 가장 일반적인 오해는 이 데이터가 생방송 또는 실시간이라는 것이다. 사실은 그렇지 않다. 대부분 기록된 공격의 일부이거나 한번 가공을 거친 패킷 캡처의 재생이다.

하지만 눈에 좋게 보이는 것이 얼마나 유용할 지 계산하지 마라. 한 보안 전문가는 보안업계 관심이 있는 고등학생을 얻는데 사용한다고 말했다. 화면에 보여지는 영상과 데이터 유형이 공격 유형, 방법, 그리고 위협 요소에 대한 논의 지점을 만들 수 있기 때문에 개념은 상당히 스마트하다.

일부 SOC 운영자는 지도를 사용해 공격 유형을 시각화하고 고객 질문에 대답하기 위해 이 지도를 사용하는 고객들과 동일한 작업을 수행한다. 다시 말하면 이 사이버 공격 지도의 가치는 그들이 보여주는 데이터가 아니라 대화를 시작하는 방법으로 사용될 수 있다. 이는 지도를 제작하는 개발업체가 더 잘 알고 있다. 지도 자체가 영업 도구이기 때문이다.

노스(Norse)
전세계에서 가장 잘 알려진 이 사이버 공격 지도는 지난 수년 간 문제가 많은 보안업체인 노스(Norse)가 제작한 것이다. 노스는 그들의 지도에 표시된 데이터에 대해
공격은 노스 허니팟에 대한 실시간 플로우의 작은 하위 집합을 기반으로 한다. 조직들은 사무실에 표시할 때 이 지도에 로고를 추가할 수 있다.


Credit : NORSE

카스퍼스키(Kaspersky)
시각적 인터랙티브 디스플레이 부문에서 1등을 차지한 것은 카스퍼스키의 사이버 위협 실시간 지도(CyberThreat Real-time Map)다. 이 지도는 글로벌 순환 및 확대가 가능하다.
카스퍼스키 지도에 표시된 공격은 주문형에서 가져올 뿐만 아니라 웹과 이메일 탐지와 같은 온 액세스 검색도 포함된다. 그러나 얼마나 실시간인지, 실시간 프레젠테이션인지는 명확하지 않다.


Credit : KASPERSKY

포티넷(Fortinet)
포티넷의 사이버 공격 지도는 노스와 유사한 모양으로 기록된 이벤트를 재생하는 것처럼 보인다. 공격이 표시되면 화면 왼쪽 하단에 다양한 통계가 차례로 표시된다. 포티넷의 고객은 문서로 자체 지도를 보유할 수 있다.


Credit : FORTINET

체크포인트 소프트웨어(Check Point Software)
체크포인트 소프트웨어의 쓰렛 클라우드(ThreatCloud) 사이버 공격 지도는 매일 오전 12시(태평양 표준시 기준)에 재설정된 기록 데이터를 표시한다. 지도는 노스보다 더 시각적이지만 기본 구조는 동일하다. 또한 재생을 보는 것 외에도 월별, 주간 통계와 함께 가장 많이 보여지는 공격자와 공격대상을 기록할 수 있다.


Credit : CHECK POINT SOFTWARE

파이어아이(FireEye)
파이어아이 사이버 공격 지도는 다른 업체가 제시하는 것보다 세부 사항이 부족하고 상당히 단순하다. 이력 추적 데이터는 과거 데이터를 추적해 공격자의 산업 부문과 원산지 국가를 분류한다. 표시된 데이터를 좀 더 나은 시각적 표현을 위해 최적화된 실제 공격 데이터의 하위 집합을 기반으로 한다.


Credit : FIREEYE

아버 네트웍스(Arbor Networks)
아버 네트웍스의 사이버 공격 지도는 구글 아이디어즈(Google Ideas)와 함께 만든 하이브리드 지도다. 이 디지털 공격 지도(Digital Attack Map)는 아버의 아틀라스(ATLAS) 위협 정보 시스템의 데이터로부터 DDoS 공격을 추적한다. 로우 데이터는 300개 이상의 ISP 고객과 130Tbps의 전세계 트래픽을 기반으로 한다. 이 지도는 DDoS 공격을 시각화하고 크기와 유형별 필터링이 가능하다.


Credit : ARBOR NETWORKS

트렌드 마이크로(Trend Micro)
트렌드 마이크로의 봇넷 커넥션 대시보드(Botnet Connection Dashboard)는 전세계의 봇넷과 대상이 사용하는 C&C(Command and Control) 서버를 추적하는 작고 가벼운 사이버 공격 지도다. 표지된 데이터의 나이는 명확하지 않지만 지난 데이터는 14일 동안 추적한다.


Credit : TREND MICRO

아카마이(Akamai)
아카마이 리얼타임 웹모니터(Real-time Web Monitor)는 전형적인 사이버 공격 지도는 아니지만, 인터넷 트래픽 이외의 공격을 추적할 수 있기 때문에 이에 포함시켰다. 로드가 완료되면 전세계 어느 지역에서 트래픽 양이 많은 지 확인할 수 있다. 또한 다른 탭에서 어떤 지역에서 가장 많은 공격이 발생하는 지 확인할 수 있다. 아카마이는 데이터가 실시간으로 제공된다고 말했다. editor@itworld.co.kr


Credit : akamai 


2017.08.22

사이버 공격 지도 베스트 8과 이를 사용하는 방법

Steve Ragan | CSO
오늘날 대부분의 온라인 사이버 공격 지도는 보기에만 좋을 지 모른다. 그러나 몇 가지 창의적인 방법으로 이를 사용할 수 있다.

사이버 공격 지도를 보는 것은 재미있을 수 있지만 얼마나 유용한지 생각해보자. 언제나 그랬듯이 보안 상황(security context)이 중요하기 때문에 본지는 웹에서 가장 인기있는 사이버 공격 지도 가운데 8개를 조사했다. 지도 자체가 제한된 보안 상황에서 눈길을 사로잡는데, 이를 제대로 활용할 수 있는 창의적인 방법이 있다.

수준높은 보안 전문가는 사이버 공격 지도를 보면서 다소 싫증내기도 한다. 그래서 이 지도를 장난감 총을 갖고 노는 아이들이 내는 소리에 빗대어 '퓨~퓨' 지도라고 부르기도 한다. 사실 한 지도는 실제로 이런 음향을 재미있는 효과로 사용하기도 한다.

일부 전문가들은 강연에서 "만약 고객이 방문한 것을 안다면 SOC(Security Operations Center)의 화면에 지도를 띄운다"고 말했다. 실제로 대부분의 전문가는 이 지도를 사용했다는 것을 말했다. 하지만 이는 행위 예술 이외에 실제 가치는 없다.

한 보안 경영진은 트위터에서 "가치를 더할 수 있는 제품을 찾으면 바로 사용하겠다"고 말했다.

사이버 공격 지도에 대한 가장 일반적인 오해는 이 데이터가 생방송 또는 실시간이라는 것이다. 사실은 그렇지 않다. 대부분 기록된 공격의 일부이거나 한번 가공을 거친 패킷 캡처의 재생이다.

하지만 눈에 좋게 보이는 것이 얼마나 유용할 지 계산하지 마라. 한 보안 전문가는 보안업계 관심이 있는 고등학생을 얻는데 사용한다고 말했다. 화면에 보여지는 영상과 데이터 유형이 공격 유형, 방법, 그리고 위협 요소에 대한 논의 지점을 만들 수 있기 때문에 개념은 상당히 스마트하다.

일부 SOC 운영자는 지도를 사용해 공격 유형을 시각화하고 고객 질문에 대답하기 위해 이 지도를 사용하는 고객들과 동일한 작업을 수행한다. 다시 말하면 이 사이버 공격 지도의 가치는 그들이 보여주는 데이터가 아니라 대화를 시작하는 방법으로 사용될 수 있다. 이는 지도를 제작하는 개발업체가 더 잘 알고 있다. 지도 자체가 영업 도구이기 때문이다.

노스(Norse)
전세계에서 가장 잘 알려진 이 사이버 공격 지도는 지난 수년 간 문제가 많은 보안업체인 노스(Norse)가 제작한 것이다. 노스는 그들의 지도에 표시된 데이터에 대해
공격은 노스 허니팟에 대한 실시간 플로우의 작은 하위 집합을 기반으로 한다. 조직들은 사무실에 표시할 때 이 지도에 로고를 추가할 수 있다.


Credit : NORSE

카스퍼스키(Kaspersky)
시각적 인터랙티브 디스플레이 부문에서 1등을 차지한 것은 카스퍼스키의 사이버 위협 실시간 지도(CyberThreat Real-time Map)다. 이 지도는 글로벌 순환 및 확대가 가능하다.
카스퍼스키 지도에 표시된 공격은 주문형에서 가져올 뿐만 아니라 웹과 이메일 탐지와 같은 온 액세스 검색도 포함된다. 그러나 얼마나 실시간인지, 실시간 프레젠테이션인지는 명확하지 않다.


Credit : KASPERSKY

포티넷(Fortinet)
포티넷의 사이버 공격 지도는 노스와 유사한 모양으로 기록된 이벤트를 재생하는 것처럼 보인다. 공격이 표시되면 화면 왼쪽 하단에 다양한 통계가 차례로 표시된다. 포티넷의 고객은 문서로 자체 지도를 보유할 수 있다.


Credit : FORTINET

체크포인트 소프트웨어(Check Point Software)
체크포인트 소프트웨어의 쓰렛 클라우드(ThreatCloud) 사이버 공격 지도는 매일 오전 12시(태평양 표준시 기준)에 재설정된 기록 데이터를 표시한다. 지도는 노스보다 더 시각적이지만 기본 구조는 동일하다. 또한 재생을 보는 것 외에도 월별, 주간 통계와 함께 가장 많이 보여지는 공격자와 공격대상을 기록할 수 있다.


Credit : CHECK POINT SOFTWARE

파이어아이(FireEye)
파이어아이 사이버 공격 지도는 다른 업체가 제시하는 것보다 세부 사항이 부족하고 상당히 단순하다. 이력 추적 데이터는 과거 데이터를 추적해 공격자의 산업 부문과 원산지 국가를 분류한다. 표시된 데이터를 좀 더 나은 시각적 표현을 위해 최적화된 실제 공격 데이터의 하위 집합을 기반으로 한다.


Credit : FIREEYE

아버 네트웍스(Arbor Networks)
아버 네트웍스의 사이버 공격 지도는 구글 아이디어즈(Google Ideas)와 함께 만든 하이브리드 지도다. 이 디지털 공격 지도(Digital Attack Map)는 아버의 아틀라스(ATLAS) 위협 정보 시스템의 데이터로부터 DDoS 공격을 추적한다. 로우 데이터는 300개 이상의 ISP 고객과 130Tbps의 전세계 트래픽을 기반으로 한다. 이 지도는 DDoS 공격을 시각화하고 크기와 유형별 필터링이 가능하다.


Credit : ARBOR NETWORKS

트렌드 마이크로(Trend Micro)
트렌드 마이크로의 봇넷 커넥션 대시보드(Botnet Connection Dashboard)는 전세계의 봇넷과 대상이 사용하는 C&C(Command and Control) 서버를 추적하는 작고 가벼운 사이버 공격 지도다. 표지된 데이터의 나이는 명확하지 않지만 지난 데이터는 14일 동안 추적한다.


Credit : TREND MICRO

아카마이(Akamai)
아카마이 리얼타임 웹모니터(Real-time Web Monitor)는 전형적인 사이버 공격 지도는 아니지만, 인터넷 트래픽 이외의 공격을 추적할 수 있기 때문에 이에 포함시켰다. 로드가 완료되면 전세계 어느 지역에서 트래픽 양이 많은 지 확인할 수 있다. 또한 다른 탭에서 어떤 지역에서 가장 많은 공격이 발생하는 지 확인할 수 있다. 아카마이는 데이터가 실시간으로 제공된다고 말했다. editor@itworld.co.kr


Credit : akamai 


X