지정학적 맥락에 사이버 위협 인텔리전스 적용

현재 MTAC(Microsoft 위협 분석 센터)의 인텔리전스 분석 책임자로 일하고 있는 Fanta 씨와 그녀의 팀은  국가 단위 사이버 위협 활동에 대한 전략적 분석을 수행합니다. 기본적으로 사이버 위협 인텔리전스를 지정학적 맥락에서 활용하여 위협 활동 이면에 있는 잠재적인 "이유"를 밝혀냅니다.

특정 위협 행위자  활동의 "이유"를 파악하고 전달함으로써 취약한 표적이 될 수 있는 고객을 더 잘 대비시키고 보호할 수 있다고 Fanta 씨는 설명합니다. 예를 들어, 2022년 러시아의 우크라이나 전면 침공을 앞두고 Microsoft 위협 인텔리전스 팀은 전쟁 중인 국가가 적을 약화시키기 위해 공격하려는 부문과 패치되지 않은 취약한 시스템의 위치를 기반으로 분쟁 확대 시 사이버 공격의 위험에 처한 우크라이나 고객을 파악했습니다. 모니터링 체계를 확립하고 우크라이나 파트너에게 취약성을 미리 알려줌으로써 위협 헌팅 팀이 취약성을 강화하고 비정상적인 활동을 발견하여 더 신속하게 제품을 보호할 수 있었습니다.

국가 단위 침입 이면에 있는 잠재적인 "이유"를 밝히려면 지정학적 발전, 역사, 외교 정책 목표, 현재 사건 등에 관해 우리가 알고 있는 것을 사이버 전술, 기술 및 절차(TTP)와 피해자학 차원의 논의로 가져와야 합니다. Fanta 씨의 하루 일과에는 최신 국제 뉴스와 사이버 보안 뉴스를 팔로우하고 조사에서 다양한 관점을 제공하는 위협 헌팅 동료들과 함께 최신 Microsoft 위협 인텔리전스 결과를 검토하는 일이 포함됩니다.

최근 Fanta 씨와 그녀의 팀은 우크라이나 전장에서 사이버 전쟁 전술이 급속히 진화하는 것을 목격하고 있습니다(우크라이나에서 부상하는 하이브리드 전쟁 동향에 대한 추가 통찰력은  러시아 사이버 전쟁의 7가지 신흥 하이브리드 전쟁 동향 참조).

그녀는 “전투의 일환으로서  사이버 공격 배치 가 이 정도로 광범위한 규모는 처음 본 것"이라며 "우리는 사이버 자원봉사자, 핵티비스트, 민간 부문 등과 같은 비국가 행위자가 이 분쟁에서 얼마나 큰 역할을 할지 예상하지 못했다”고 말했습니다.

이를 설명하기 위해 Fanta 씨는 공공 기관과 민간 기관 간의 새로운 파트너십이 우크라이나 네트워크와 정보 공간을 방어하는 데 어떻게 도움이 되었는지 들려줍니다. 위협 활동을 추적하고, 보안 제품을 강화하는 코드를 작성하고, 악의적인 침해 사고(IOC) 및 전술, 기술 및 절차(TTP)에 대한 인식을 높이기 위해 블로그를 운영하는 등 우크라이나 사이버 보안 전문가와 국제 공공 및 민간 커뮤니티가 협력하여 우크라이나 네트워크를 공격하는 위협 행위자의 작업을 어렵게 만들었습니다.