What are Indicators of Compromise (IOC)?
기업은 정기적으로 사이버 공격에 직면합니다. 보안 사고를 신속하게 파악하고 차단하거나 해결하는 것은 회사에 미칠 수 있는 잠재적 영향을 최소화하는 데 필수적입니다.
침해 지표(IoC)는 조직이 사이버 공격을 탐지하는 능력의 핵심입니다. 이는 조직의 시스템에 멀웨어 또는 기타 사이버 위협이 있음을 가리키는 포렌식 증거의 일종입니다. IoC를 모니터링, 관리 및 조치하는 것은 조직의 보안 태세와 확장 탐지 및 대응 (XDR) 솔루션이 비즈니스에 제공하는 혜택의 핵심적인 부분입니다.

보안 침해 지표를 식별하는 방법
조직은 강력한 보안 모니터링 프로그램을 구현하여 IoC를 탐지해야 합니다. 기업은 IoC를 식별하기 위해 다음을 찾아야 합니다:
- 비정상적인 네트워크 트래픽 패턴.
- 시스템의 알려진 불량 또는 알 수 없는 파일 또는 프로세스.
- 의심스럽거나 비정상적인 로그인 시도.
- 사용자 및 권한 있는 계정에서 비정상적인 동작이 발생했습니다.
- 회사 파일에 대한 읽기 및 쓰기 액세스 시도 횟수가 증가합니다.
- 파일, 애플리케이션 또는 Windows 레지스트리 수정.
타협 지표(IOC)의 예시
IoC는 다양한 형태로 제공됩니다. IoC의 몇 가지 일반적인 예는 다음과 같습니다:
- 대량의 데이터가 네트워크를 떠나는 등 비정상적인 네트워크 트래픽 패턴.
- 회사가 사업을 하지 않는 국가에서 발생한 트래픽과 같은 지리적 트래픽 이상.
- 알 수 없는 애플리케이션 또는 위협 인텔리전스 피드의 해시와 일치하는 애플리케이션.
- 관리 및 권한 있는 계정의 비정상적인 활동.
- 비정상적인 로그인 시도(비정상적인 타이밍, 위치, 간격 등)
- 기업 데이터베이스, 파일 등의 읽기 횟수가 증가합니다.
- 설정, Windows 레지스트리 및 파일에 대한 의심스러운 변경으로 지속성을 만들거나 보안을 약화시킵니다.
- 알 수 없거나 의심스러운 도메인 또는 알려진 불량 도메인에 대한 DNS 또는 HTTPS 요청.
- 많은 수의 압축 또는 암호화된 파일.
이는 IoC의 가장 일반적인 예시 중 일부이지만, 일부 목록일 수 있습니다. 일반적으로 조직의 시스템에 위협이 존재하는지 또는 존재할 가능성이 있는지를 판단하는 데 사용할 수 있는 모든 것이 잠재적인 IoC이며, 조직은 이를 모니터링하고 필요한 경우 조치를 취할 수 있습니다.
IOC 관리
침해 지표는 사이버 보안 사고를 보다 효과적으로 식별하고 완화하고자 하는 조직에게 매우 유용한 도구가 될 수 있습니다. 그러나 이러한 IoC를 효과적으로 사용하려면 관리가 필수적입니다.
Some key capabilities include:
- 중앙 집중식 관리: 조직은 전체 IT 인프라에서 IoC를 수집하고 사용합니다. 중앙 집중식 관리 플랫폼을 통해 조직은 이러한 IoC를 보다 효과적으로 수집, 모니터링, 관리 및 사용할 수 있습니다.
- 소스 컨버전스: 기업은 다양한 내부 및 외부 소스로부터 IoC를 수집합니다. 이러한 다양한 데이터 흐름을 단일 데이터 집합으로 통합하면 조직은 추가적인 컨텍스트를 활용하여 잠재적인 사이버 보안 사고를 더 빠르고 정확하게 탐지하고 해결할 수 있습니다.
- 솔루션 통합: 보안 사고의 잠재적 영향을 최소화하려면 신속한 대응이 필수적입니다. 조직의 기존 보안 솔루션과 IoC 관리 플랫폼을 통합하면 이러한 솔루션이 자동으로 IoC를 수신하고 조치를 취할 수 있습니다.
조직에서 보안 침해 지표를 모니터링해야 하는 이유
사이버 공격은 거의 매일 발생하며, 성공할 경우 조직과 시스템, 고객에 심각한 영향을 미칠 수 있습니다. 이러한 공격을 예방하거나 가능한 한 빨리 해결하는 것이 비즈니스의 수익성과 지속적인 운영 능력에 필수적일 수 있습니다.
보안 사고를 발견하고 대응하려면 조직의 보안 팀이 무엇을 찾아야 하는지 알아야 합니다. 여기서 IoC가 등장합니다. IoC는 시스템에 멀웨어 또는 기타 사이버 위협이 있음을 나타내는 아티팩트 또는 동작을 설명합니다.
따라서 IoC 모니터링 및 관리는 기업 사이버 보안 전략의 핵심 요소입니다. 이러한 IoC가 조직의 시스템에 존재하는지 여부에 대한 가시성이 없으면 기업은 현재 보안 사고가 발생하고 있는지 여부를 알 수 없습니다.
체크 포인트 Infinity XDR/XPR을 통한 IoC 관리
IoC는 기업 사이버 보안 프로그램을 위한 귀중한 도구입니다. 하지만 제대로 모니터링하고 관리할 때만 그 잠재력을 최대한 발휘할 수 있습니다. 조직이 IoC를 자동으로 모니터링하지 않거나 침입이 탐지된 후 신속하게 대응할 수 있는 능력이 부족하다면 사이버 위협 행위자는 기업 시스템 내에 혼란을 일으킬 수 있는 추가적인 기회를 갖게 됩니다.
체크 포인트 Infinity XDR/XPR IOC 매니저는 기업이 전체 IT 환경 전반에서 IoC를 관리하는 데 필요한 도구를 제공합니다. 중앙 집중식 관리 플랫폼은 사용자 친화적인 인터페이스를 통해 IoC를 관리하고 실시간으로 보안 제어 및 사고 대응을 시행할 수 있는 기능을 제공합니다. 또한 IOC 매니저는 뛰어난 확장성을 제공하여 중소/중견기업부터 대기업에 이르기까지 모든 조직의 요구 사항을 충족할 수 있습니다.
전체 IOC 관리 기능은 체크포인트의 Infinity 확장형 예방 및 대응(XDR/XDP) 서비스에서 가장 잘 드러납니다. 사이버 위협으로부터 조직을 보호하는 방법에 대해 자세히 알아보려면 지금 무료 데모에 등록하여 Infinity XDR/XPR 및 IOC 매니저의 기능을 확인해 보세요.
As part of it’s External Risk Management offering Check Point tracks 100s of malwares, detailing their IOCs in a frequently updated database. Demo it today.