보안교육 ▸ CTI

Cyber Threat Intelligence 전문가 교육

내가 속한 조직을 사이버 위협으로 지키기 위한 방법, CTI 보안 교육을 통해 알아보세요!

#MISP

#악성코드

#Indicator

#MITRE ATT&CK

#YARA

Cyber Threat Intelligence 전문가 교육은?

내가 속한 조직을 사이버 위협으로부터 지키기 위해서 무엇이 필요할까요? 바로 사이버 공격자(Adversary)의 악의적인 의도, 능력, 기회와 관련된 정보와 데이터를 수집하고 분석할 수 있는 능력이 필요합니다. CTI(Cyber Threat Intelligence)는 사이버 공간을 안전하게 지키기 위해 필요한 위협 및 위협 행위자(Threat Actor)에 대한 정보인데요, 이러한 위협 정보를 통해 위협 탐지 및 공격 패턴 분석, 위협 대응 방법 등을 분석해낼 수 있습니다.

본 교육은 MISP를 이용한 CTI 플랫폼을 구축해보고, 위협 정보의 표준이라고 할 수 있는 ‘MITRE ATT&CK’ 에 대한 지식과 실습을 경험할 수 있습니다. Cyber Threat Intelligence 전문가 교육에서 필요한 정보에 접근하기 위한 방법론과 정보 수집을 위한 플랫폼을 경험해보세요!

누가 교육을 받아야 할까요?

군/공공기관 및<br>기업 보안 담당자

군/공공기관 및
기업 보안 담당자

기업 보안 정책 담당자

기업 보안 정책 담당자

침해사고 대응 및<br>분석 담당자

침해사고 대응 및
분석 담당자

보안 관제 담당자

보안 관제 담당자

위협 인텔리전스 담당자

위협 인텔리전스 담당자

기타 사이버 보안 위협<br>관련 업무 담당자

기타 사이버 보안 위협
관련 업무 담당자

Cyber Threat Intelligence 전문가 교육이 필요한 이유는 무엇일까요?

사이버 위협으로부터
조직을 지키기 위한 전략

CTI의 기본 개념과
단계별 접근 방식

CTI를 위한 MISP 플랫폼
경험 및 구축

정적/동적 Indicator 추출 및
Pivoting

Yara를 사용한
Threat Hunting

MITRE ATT&CK

커리큘럼

1일차

[사이버 위협 정보분석 개요]

1. CTI(Cyber Threat Intelligence) 개념과 3단계 레벨
– CTI의 기본 개념과 CTI가 필요한 이유
– 정보분석 단계의 3단계 이해

2. CTI를 위한 정보 출처
– CTI를 위한 다양한 정보 출처 종류와 각 출처 별 상세내용 실습

3. CTI 기반의 보안 운영
– CTI 기반의 운영 방법론

4. 악성코드 기반의 CTI 프로세스
– 악성코드 관점에서의 CTI 프로세스

5. CTI를 이용한 위협 탐지/대응 개념
– CTI를 활용한 위협 탐지 및 대응

01

[실습 시나리오 소개]

1. CTI 분석에 필요한 툴과 웹사이트
– CTI 분석에 필요한 툴과 웹 서비스 소개

02

[MISP를 이용한 CTI 플랫폼 구축]

1. CTI를 위한 MISP 플랫폼 소개
– MISP(Malware Information Sharing Platform)란 무엇인가?
– MISP를 활용한 데이터 구성 방법

2. MISP 구축 실습
– MISP 구축 및 플랫폼 탐색

03
2일차

[악성코드에서 Indicator 추출]

1. 정적 지표 소개 및 추출 기법
– 정적 Indicator의 개념
– 악성코드에서 정적 Indicator 추출 방법론 및 실습

2. 동적 지표 소개 및 추출 기법
– 동적 Indicator 개념
– 악성코드에서 정적 Indicator 추출 방법론 및 실습

3. 네트워크 지표 소개 및 추출 기법
– 네트워크 상에 나타나는 Indicator 탐색 및 추출 실습

01

[Indicator를 이용한 Pivoting]

1. 네트워크 지표 기반의 Pivoting 기법
– VirusTotal을 활용하여 추출한 네트워크 Indicator를 Pivoting 하는 기술

2. 네트워크 지표를 이용한 Pivoting 실습
– 특정 도메인의 네트워크 Indicator를 이용한 Pivoting 실습

02

[Clustering & Correlation]

1. ssdeep(Fuzzy Hashing) 활용
– CTPH(computing context triggered piecewise hashes)를 계산하기 위한 프로그램인 ssdeep을 활용해 Indicator의 유사도를 측정하여 위협을 분류하는 실습

2. Imphash 활용
– 악성코드 클러스터링 및 분류 알고리즘인 Imphash를 활용해 특정 위협 그룹을 추적하는 방법론 및 실습

3. Rich Header Hash 활용
– 파일 안의 Rich Header 부분을 통해 공격 그룹의 특징을 발견하는 방법 실습

4. .NET Module ID 활용
– 모듈을 Build할 때 생기는 GUID인 MVID값을 이용해 공격 그룹의 특징을 발견하는 방법론 및 실습

5. 기타 Clustering 기법 활용
– PDB Path 등의 정보를 활용한 Clustering기법 실습

03
3일차

[Threat Hunting을 위한 Yara Rule]

1. Yara 기본 문법
– Yara 룰 개요와 기본 사용 방법, 문법

2. Yara 사용 사례 분석 및 실습
– Yara 모듈을 사용한 일반적인 악성코드 사례 분석

3. Yara 사용 고급 사례 분석 및 실습
– Yara 모듈의 기능을 확장하여 악성코드를 분석하는 사례 탐구
– Threat Hunting 실습

01

[MITRE ATT&CK]

1. MITRE ATT&CK 개념
– 현실 세계를 기반으로 적(Adversary)의 전술(Tactics), 기술(Techniques)과 절차(Procedures)를 체계화한 ‘MITRE ATT&CK’ 개념

2. 분석 보고서와 MITRE ATT&CK 연결 사례 및 실습
– MITRE ATT&CK을 실무에 적용하는 절차
– 분석 보고서와 매핑하는 방법론 및 실습

3. Raw 데이터와 MITRE ATT&CK 연결 사례 및 실습
– Raw Data(원시데이터)를 MITRE ATT&CK 와 연결해 직관적인 인지와 분석을 할 수 있는 방법론 및 실습

4. MISP의 MITRE ATT&CK 적용 실습
– 다양한 MITRE ATT&CK 의 적용 사례
– 실무 적용 방법 실습

02

실습도구

1. Software
− Virtualization Software : VMWare, VirtualBox
− Hex Editor : HxD, PEViewer, FileInsight
− YARA Editor : YARA, Yara GUI, Yara-Editor
− Text Editor : Notepad++

2. WebService
− Cyber Threat Intelligence Platform : MISP(Malware Intelligence Sharing Platform)
− Malware & Threat Search : VirusTotal, ReversingLabs A1000

− Sandbox : JoeSandbox, ANY.RUN, Cuckoo

− Information & Data Search
• Google, Bing 및 Yahoo 등의 웹사이트 검색 엔진

교육을 듣기 전 필요한 지식은?

 컴퓨터 공학 및 소프트웨어 공학

정보보안 관련 도메인(Domain) 지식

DFIR(Digital Forensic and Incident Response)
관련 지식과 경험

위협헌팅 및 악성코드 헌팅
관련 지식과 경험

악성코드 분석 및 리버스 엔지니어링(Reversing Engineering) 관련 지식과 경험

강사소개

수석연구원
장영준

수석연구원

batch_강사진_15(장영준)

장영준 수석연구원

주요 강의 분야

보안 위협 동향

CTI 개론 및 프로세스

MITRE ATT@CK Matrix

선임연구원
유상윤

선임연구원

batch_강사진_16(유상윤)

유상윤 선임연구원

주요 강의 분야

악성코드 분석 환경 및 도구 설명

 선임연구원
김태형

선임연구원

batch_강사진_17(김태형)

김태형 선임연구원

주요 강의 분야

악성코드 유형 및 분석 방법

 전임연구원
조한국

전임연구원

batch_강사진_18(조한국)

조한국 전임연구원

주요 강의 분야

윈도우 메모리 포렌식

YARA

수석연구원
장영준

수석연구원

batch_강사진_15(장영준)

장영준 수석연구원

주요 강의 분야

보안 위협 동향

CTI 개론 및 프로세스

MITRE ATT@CK Matrix

선임연구원
유상윤

선임연구원

batch_강사진_16(유상윤)

유상윤 선임연구원

주요 강의 분야

악성코드 분석 환경 및 도구 설명

 선임연구원
김태형

선임연구원

batch_강사진_17(김태형)

김태형 선임연구원

주요 강의 분야

악성코드 유형 및 분석 방법

 전임연구원
조한국

전임연구원

batch_강사진_18(조한국)

조한국 전임연구원

주요 강의 분야

윈도우 메모리 포렌식

YARA

교육 후기

교육 미리보기

사전안내

원활한 교육진행과 교육생들의 편의를 위해 아래와 같은 사항을 제공합니다.

1) 노트북 대여
저희 교육의 대부분은 실습교육으로 이루어져 있으므로 필요한 소프트웨어를 노트북에 모두 설치하여 제공합니다.

2) 교육자료
교육자료는 교재(인쇄물)의 형태로 제공합니다.

3) 교육비용
교육비용에는 교육비, 점심식사, 다과 등이 포함되어 있습니다. 
교통비, 숙박, 저녁식사 비용은 포함하지 않습니다.

4) 수료증
교육과정을 모두 이수하신 분께는 교육수료증을 드립니다.

교육장소

서울특별시 중구 남대문로 78, 이비스 앰배서더 서울 명동

수강신청 및 결제방식

교육비 결제는 계좌이체(세금계산서 O) 또는 카드 결제로 가능합니다.

계좌이체 선택 시

  • NSHC 보안교육팀 이메일 (training@nshc.net) 로 [사업자 등록증 사본] 및 [세금계산서 담당자 성명/이메일/전화번호]를 보내주세요.
  • 수신이 확인되면 고객 측에 청구를 위한 세금계산서를 발행한 후, [NSHC 사업자등록증] 및 [NSHC 통장사본]을 송부해 드립니다.

카드 결제 선택 시

  • NSHC 보안교육팀 이메일 (training@nshc.net) 로 문의해주세요.
  • 카드 결제 후 매출전표(영수증)를 이메일로 보내드립니다.

환불안내

교육 시작 일주일 전까지의 취소 건은 전액 환불이 가능합니다. 그 이후 취소하시는 경우, 취소 수수료 10%가 부과됩니다.
  • 교육행사 시작 [7일 전]까지 취소한 경우 – 교육비 전액 환불 가능
  • 교육행사 시작 [7일 전 ~ 당일]에 취소한 경우 – 취소 수수료 10% 부과

보안교육 ▸ CTI

Cyber Threat Intelligence 전문가 교육

#MISP

#악성코드

#Indicator

#MITRE ATT&CK

#YARA

3,800,000원

부가세 10% 별도
  • 교육기간
    9/28(수) ~ 9/30(금)
  • 시간
    09:30 ~ 18:00
  • 장소
    이비스 앰배서더 서울 명동
  • 신청기한
    2022년 9/21(수)
  • 모집인원
    15명
수강신청

Cyber Threat Intelligence 전문가 교육 수강신청

(1=입문자, 5=전문가)

수강신청

Cyber Threat Intelligence 전문가 교육 수강신청

(1=입문자, 5=전문가)