SANS 연구소의 사이버 위협 인텔리전스(intelligence) 과정의 강사인 저자는 실무 경험을 토대로 한 통찰력으로 전통적인 정보보호와 인텔리전스 절차, 사이버 침해 사고 대응 절차의 핵심 구성 요소를 능숙하게 정리해 소개한다. 또한 해당 개념을 쉽게 전달할 수 있도록 실제 사례연구를 통해 사고 대응 절차와 인텔리전스 절차, 사이버 위협 인텔리전스를 설명한다.
사이버 위협은 알려진 공격보다 알려지지 않는 공격으로 발생한다. 사이버 보안 담당자 입장에서 기존의 계획된 사고 대응 절차로는 새로운 유형의 공격을 탐지하고 대응하기 어렵다. 이 책은 공격자를 식별하고, 예측하고 알려지지 않은 공격에 대응할 수 있도록 사이버 위협 인텔리전스의 기초부터 활용까지를 예를 들어 자세히 설명한다.
디지털 포렌식 전문가 및 정보분석가와 같은 보안 담당자는 사이버 인텔리전스 분석의 기본 사항과 관련 기술을 사용해 사고 대응 과정에 통합하는 가장 효과적인 방법을 배울 수 있다. 특히 국가정보학의 기본 정의를 통해 혼란이 있는 인텔리전스의 기본 개념을 추가로 설명하면서 관련 개념을 명확히 하고 있어 보안 담당자를 위한 훌륭한 지침서가 될 것이다.

[목 차]

1부 - 기초

1장. 소개

사고 대응의 일부로서 인텔리전스
-사이버 위협 인텔리전스의 역사
-현대 사이버 위협 인텔리전스
-미래의 향방
사고 대응의 일부인 인텔리전스
인텔리전스 기반 사고 대응이란?
왜 인텔리전스 기반 사고 대응인가?
-SMN 작전
-오로라 작전
결론

2장. 인텔리전스의 기본 원리

데이터 대 인텔리전스
출처와 방법
절차 모델
-OODA 순환 모델
-인텔리전스 주기
-인텔리전스 주기 사용
좋은 인텔리전스의 품질
인텔리전스의 수준
-전술 인텔리전스
-작전 인텔리전스
-전략 인텔리전스
신뢰 수준
결론

3장. 사고 대응의 기본 원리

사고 대응 주기
-준비
-확인
-봉쇄
-박멸
-복구
-교훈
킬 체인
-표적 선정
-정찰
-무기화
-배달
-취약점 공격
-설치
-명령 및 제어
-표적에 관련된 활동
-킬 체인의 예
다이아몬드 모델
-기본 모델
-모델 확장
능동적 방어
-거부하기
-방해하기
-저하시키기
-속이기
-파괴하기
F3EAD
-탐지
-위치 결정
-종결
-확대
-분석
-배포
-F3EAD 사용하기
적합한 모델 선택하기
시나리오- GLASS WIZARD
결론

2부 - 실제 적용

4장. 탐지

행위자 중심 표적 선정
-알려진 첩보로 시작하기
-유용한 탐지 첩보
자산 중심 표적 선정
-자산 중심 표적 선정 사용하기
뉴스 중심 표적 선정 사용하기
다른 사람의 통보를 기반으로 한 표적 선정
표적 선정의 우선순위 매기기
-즉각적인 요구
-과거의 사고
-심각성
표적 선정 활동 정리하기
-경성 단서
-연성 단서
-관련된 단서들 분류하기
-첩보 저장
인텔리전스 제공 요청 절차
결론

5장. 위치 결정

침입탐지
-네트워크 경고
-시스템 경고
-GLASS WIZARD 위치 결정하기
침입 조사
-네트워크 분석
-실시간 대응
-메모리 분석
-디스크 분석
-악성 코드 분석
범위 지정
사냥
-단서 만들기
-단서 테스트하기
결론

6장. 종결

종결은 보복 해킹이 아니다!
종결 단계
-완화하기
-개선하기
-재구성하기
조치하기
-거부하기
-방해하기
-저하하기
-속이기
-파괴하기
사고 데이터 정리하기
-추적 활동을 위한 도구
-특수 목적으로 제작된 도구
피해 평가
생애주기 관찰
결론

7장. 확대

확대할 대상은?
첩보 수집하기
위협 첩보 저장하기
-지표의 데이터 표준 및 형식
-전략 첩보를 위한 데이터 표준 및 형식
-첩보 관리
-위협 인텔리전스 플랫폼
결론

8장. 분석

분석의 기초
무엇을 분석할 것인가?
분석하기
-데이터 강화하기
-가설 수립하기
-주요 가정 평가하기
-판단과 결론
분석 절차와 방법
-구조화된 분석
-표적 중심 분석
-경쟁 가설 분석
-그래프 분석
-역발상 기법
결론

9장. 배포

인텔리전스 고객의 목표
독자
-임원/경영진 고객
-내부 기술 고객
-외부 기술 고객
-고객 페르소나 개발
저자
실행 가능성
글쓰기 절차
-계획
-초안
-편집
인텔리전스 보고서의 형식
-단문 보고서
-장문 보고서
-인텔리전스 제공 요청 절차
-자동 소비 보고서
리듬 찾기
-배부
-의견 제시
-정기 보고서
결론

3부 - 성공으로 가는 길

10장. 전략 인텔리전스

전략 인텔리전스란 무엇인가?
-표적 모델 개발
전략 인텔리전스 주기
-전략 요구 사항 만들기
-수집
-분석
-배포
결론

11장. 인텔리전스 프로그램 구축

준비됐는가?
프로그램 계획
-이해관계자 정의하기
-목표 정의
-성공 기준 정의
-요구 사항과 제약사항 확인
-측정 지표 정의
이해관계자 페르소나
전술 사용 사례
-보안운영센터 지원
-지표 관리
운영 사용 사례
-공격 활동 추적
전략 사용 사례
-아키텍처 지원
-위험 평가/전략적 상황 인식
전술에 대한 전략인가 또는 전략에 대한 전술인가?
인텔리전스 팀 고용
인텔리전스 프로그램 가치 입증
결론

부록. A 인텔리전스 보고서

[이 책에서 다루는 내용]

- 1부, '기초'에서는 사이버 위협 정보와 정보 절차, 사고 대응 절차, 그리고 이 모든 것이 함께 동작하는 방법을 소개한다.
- 2부, '실제 적용'에서는 F3EAD 절차인 탐지와 위치 결정, 종결, 확대, 분석, 배포 단계를 사용해 정보기반 사고 대응 절차를 알아본다.
- 3부, '성공으로 가는 길'에서는 정보 팀 구축을 포함해 개별 사고 대응 조사를 뛰어넘는 정보기반 사고 대응의 큰 그림을 살펴본다.

[이 책의 대상 독자]

사고 관리자(incident manager), 악성 코드 분석가, 역공학 전문가(reverse engineer), 디지털 포렌식 전문가, 인텔리전스 분석가 등과 같이 사고 대응에 관여하거나 사고 대응을 더 깊이 배우고자 하는 사람들을 위해 작성했다. 사이버 위협 인텔리전스에 관심이 많은 사람은 공격자의 동기와 작업 방식을 알고 싶어하며, 이를 배우기 위한 가장 좋은 방법은 사고 대응으로 배우는 것이다. 하지만 인텔리전스 사고방식으로 사고 대응을 해야만 우리가 활용할 수 있는 첩보의 가치를 진정으로 이해할 수 있다. 이 책에서 많은 것을 얻기 위해 사고 대응이나 인텔리전스 전문가가 될 필요는 없다. 이 책에서는 위협 인텔리전스와 사고 대응이 함께 동작하는 방식을 보여주기 위해 두 분야의 기본 사항을 단계별로 살펴보고, 절차를 설명하기 위해 실질적인 조언과 시나리오를 제공한다.

[이 책의 구성]

-1부는 1~3장으로 구성돼 있으며, 인텔리전스 기반 사고 대응의 개념과 인텔리전스 및 사고 대응 분야의 개요를 다룬다. 이 책의 나머지 부분에서 사용될 인텔리전스 기반 사고 대응의 기본 모델인 F3EAD의 개념을 소개한다.
- 2부는 4~9장으로 구성돼 있으며, 4~6장에서는 사고 대응에 초점을 맞춘 F3EAD 절차에서 탐지(Find)하고, 위치를 결정(Fix)하며, 종결(Finish)하는 과정을 단계별로 설명한다. 또한 7~9장에서는 인텔리전스에 초점을 맞춘 F3EAD 절차인 익스플로잇(Exploit), 분석(Analysis), 배포(Dissemination)를 설명한다.
-3부는 10~11장으로 구성돼 있으며, 10장에서는 전략적 수준의 인텔리전스에 대한 개요와 인텔리전스를 사고 대응 및 네트워크 보안 절차에 적용하는 방법, 11장에서는 정형화된 인텔리전스 프로그램과 인텔리전스 기반 사고 대응 절차를 수립하는 방법을 설명한다.
-부록에는 9장, '배포'에서 작성하는 인텔리전스 보고서의 샘플을 수록했다.