보안교육 ▸ CTI

Cyber Threat Intelligence 전문가 교육

내가 속한 조직을 사이버 위협으로 지키기 위한 방법, CTI 보안 교육을 통해 알아보세요!

#MISP

#악성코드

#Indicator

#MITRE ATT&CK

#YARA

Cyber Threat Intelligence 전문가 교육은?

내가 속한 조직을 사이버 위협으로부터 지키기 위해서 무엇이 필요할까요? 바로 사이버 공격자(Adversary)의 악의적인 의도, 능력, 기회와 관련된 정보와 데이터를 수집하고 분석할 수 있는 능력이 필요합니다. CTI(Cyber Threat Intelligence)는 사이버 공간을 안전하게 지키기 위해 필요한 위협 및 위협 행위자(Threat Actor)에 대한 정보인데요, 이러한 위협 정보를 통해 위협 탐지 및 공격 패턴 분석, 위협 대응 방법 등을 분석해낼 수 있습니다.

본 교육은 MISP를 이용한 CTI 플랫폼을 구축해보고, 위협 정보의 표준이라고 할 수 있는 ‘MITRE ATT&CK’ 에 대한 지식과 실습을 경험할 수 있습니다. Cyber Threat Intelligence 전문가 교육에서 필요한 정보에 접근하기 위한 방법론과 정보 수집을 위한 플랫폼을 경험해보세요!

누가 교육을 받아야 할까요?

군/공공기관 및
기업 보안 담당자

기업 보안 정책 담당자

침해사고 대응 및
분석 담당자

보안 관제 담당자

위협 인텔리전스 담당자

기타 사이버 보안 위협
관련 업무 담당자

Cyber Threat Intelligence 전문가 교육이 필요한 이유는 무엇일까요?

사이버 위협으로부터
조직을 지키기 위한 전략

CTI의 기본 개념과
단계별 접근 방식

CTI를 위한 MISP 플랫폼
경험 및 구축

정적/동적 Indicator 추출 및
Pivoting

Yara를 사용한
Threat Hunting

MITRE ATT&CK

커리큘럼

1일차

[사이버 위협 정보분석 개요]

1. CTI(Cyber Threat Intelligence) 개념과 3단계 레벨
– CTI의 기본 개념과 CTI가 필요한 이유
– 정보분석 단계의 3단계 이해

2. CTI를 위한 정보 출처
– CTI를 위한 다양한 정보 출처 종류와 각 출처 별 상세내용 실습

3. CTI 기반의 보안 운영
– CTI 기반의 운영 방법론

4. 악성코드 기반의 CTI 프로세스
– 악성코드 관점에서의 CTI 프로세스

5. CTI를 이용한 위협 탐지/대응 개념
– CTI를 활용한 위협 탐지 및 대응

[실습 시나리오 소개]

1. CTI 분석에 필요한 툴과 웹사이트
– CTI 분석에 필요한 툴과 웹 서비스 소개

[MISP를 이용한 CTI 플랫폼 구축]

1. CTI를 위한 MISP 플랫폼 소개
– MISP(Malware Information Sharing Platform)란 무엇인가?
– MISP를 활용한 데이터 구성 방법

2. MISP 구축 실습
– MISP 구축 및 플랫폼 탐색

2일차

[악성코드에서 Indicator 추출]

1. 정적 지표 소개 및 추출 기법
– 정적 Indicator의 개념
– 악성코드에서 정적 Indicator 추출 방법론 및 실습

2. 동적 지표 소개 및 추출 기법
– 동적 Indicator 개념
– 악성코드에서 정적 Indicator 추출 방법론 및 실습

3. 네트워크 지표 소개 및 추출 기법
– 네트워크 상에 나타나는 Indicator 탐색 및 추출 실습

[Indicator를 이용한 Pivoting]

1. 네트워크 지표 기반의 Pivoting 기법
– VirusTotal을 활용하여 추출한 네트워크 Indicator를 Pivoting 하는 기술

2. 네트워크 지표를 이용한 Pivoting 실습
– 특정 도메인의 네트워크 Indicator를 이용한 Pivoting 실습

[Clustering & Correlation]

1. ssdeep(Fuzzy Hashing) 활용
– CTPH(computing context triggered piecewise hashes)를 계산하기 위한 프로그램인 ssdeep을 활용해 Indicator의 유사도를 측정하여 위협을 분류하는 실습

2. Imphash 활용
– 악성코드 클러스터링 및 분류 알고리즘인 Imphash를 활용해 특정 위협 그룹을 추적하는 방법론 및 실습

3. Rich Header Hash 활용
– 파일 안의 Rich Header 부분을 통해 공격 그룹의 특징을 발견하는 방법 실습

4. .NET Module ID 활용
– 모듈을 Build할 때 생기는 GUID인 MVID값을 이용해 공격 그룹의 특징을 발견하는 방법론 및 실습

5. 기타 Clustering 기법 활용
– PDB Path 등의 정보를 활용한 Clustering기법 실습

3일차

[Threat Hunting을 위한 Yara Rule]

1. Yara 기본 문법
– Yara 룰 개요와 기본 사용 방법, 문법

2. Yara 사용 사례 분석 및 실습
– Yara 모듈을 사용한 일반적인 악성코드 사례 분석

3. Yara 사용 고급 사례 분석 및 실습
– Yara 모듈의 기능을 확장하여 악성코드를 분석하는 사례 탐구
– Threat Hunting 실습

[MITRE ATT&CK]

1. MITRE ATT&CK 개념
– 현실 세계를 기반으로 적(Adversary)의 전술(Tactics), 기술(Techniques)과 절차(Procedures)를 체계화한 ‘MITRE ATT&CK’ 개념

2. 분석 보고서와 MITRE ATT&CK 연결 사례 및 실습
– MITRE ATT&CK을 실무에 적용하는 절차
– 분석 보고서와 매핑하는 방법론 및 실습

3. Raw 데이터와 MITRE ATT&CK 연결 사례 및 실습
– Raw Data(원시데이터)를 MITRE ATT&CK 와 연결해 직관적인 인지와 분석을 할 수 있는 방법론 및 실습

4. MISP의 MITRE ATT&CK 적용 실습
– 다양한 MITRE ATT&CK 의 적용 사례
– 실무 적용 방법 실습

실습도구

1. Software
− Virtualization Software : VMWare, VirtualBox
− Hex Editor : HxD, PEViewer, FileInsight
− YARA Editor : YARA, Yara GUI, Yara-Editor
− Text Editor : Notepad++

2. WebService
− Cyber Threat Intelligence Platform : MISP(Malware Intelligence Sharing Platform)
− Malware & Threat Search : VirusTotal, ReversingLabs A1000 
− Sandbox : JoeSandbox, ANY.RUN, Cuckoo 
− Information & Data Search • Google, Bing 및 Yahoo 등의 웹사이트 검색 엔진

교육을 듣기 전 필요한 지식은?

컴퓨터 공학 및 소프트웨어 공학

정보보안 관련 도메인(Domain) 지식

DFIR(Digital Forensic and Incident Response)
관련 지식과 경험

위협헌팅 및 악성코드 헌팅
관련 지식과 경험

악성코드 분석 및 리버스 엔지니어링(Reversing Engineering) 관련 지식과 경험

강사소개

장영준

수석연구원

유상윤

선임연구원

김태형

선임연구원

조한국

전임연구원

장영준

수석연구원

유상윤

선임연구원

김태형

선임연구원

조한국

전임연구원

교육 후기

한국 정부기관 교육생

CTI

CTI와 관련된 교육은 타사에서도 많이 들어 봤는데, 이번 교육은 보안전문 회사의 관점에서 강의를 들을 수 있었던 것이 좋았습니다. 기존에 알고 있던 내용을 다시 정리할 수 있었고, CTI 영역의 현 상황에 대해 이해할 수 있는 자리가 되었습니다. 실전 경험과 실습이 균형있게 진행되었고, 실무를 경험해본 사람만이 알 수 있는 노하우를 배워갈 수 있었습니다.

한국 OO기업 교육생

CTI

Cyber Threat Intelligence에 대한 전반적인 내용과 기법들을 이해하는 데 많은 도움이 되었습니다. 제가 어떤 부분에서 부족하고, 어떤 부분을 더 공부해야하는지 확인할 수 있던 교육이었습니다. 교육 내용 및 업무 관련 내용에 대해 질문을 많이 드렸었는데, 질의응답을 성심성의껏 해주신 점이 가장 좋았습니다. 또한, 보조강사님들이 상세히 지도해 주셔서 실습 진행에 많은 도움이 되었습니다.

교육 미리보기

사전안내

원활한 교육진행과 교육생들의 편의를 위해 아래와 같은 사항을 제공합니다.

1) 노트북 대여
저희 교육의 대부분은 실습교육으로 이루어져 있으므로 필요한 소프트웨어를 노트북에 모두 설치하여 제공합니다.

2) 교육자료
교육자료는 교재(인쇄물)의 형태로 제공합니다.

3) 교육비용
교육비용에는 교육비, 점심식사, 다과 등이 포함되어 있습니다.
교통비, 숙박, 저녁식사 비용은 포함하지 않습니다.

4) 수료증
교육과정을 모두 이수하신 분께는 교육수료증을 드립니다.

교육장소

서울특별시 중구 남대문로 78, 이비스 앰배서더 서울 명동

수강신청 및 결제방식

교육비 결제는 계좌이체(세금계산서 O) 또는 카드 결제로 가능합니다.

계좌이체 선택 시

NSHC 보안교육팀 이메일 (training@nshc.net) 로 [사업자 등록증 사본] 및 [세금계산서 담당자 성명/이메일/전화번호]를 보내주세요.
수신이 확인되면 고객 측에 청구를 위한 세금계산서를 발행한 후, [NSHC 사업자등록증] 및 [NSHC 통장사본]을 송부해 드립니다.

카드 결제 선택 시

NSHC 보안교육팀 이메일 (training@nshc.net) 로 문의해주세요.
카드 결제 후 매출전표(영수증)를 이메일로 보내드립니다.

환불안내

교육 시작 일주일 전까지의 취소 건은 전액 환불이 가능합니다. 그 이후 취소하시는 경우, 취소 수수료 10%가 부과됩니다.

교육행사 시작 [7일 전]까지 취소한 경우 – 교육비 전액 환불 가능
교육행사 시작 [7일 전 ~ 당일]에 취소한 경우 – 취소 수수료 10% 부과

보안교육 ▸ CTI