김형식 교수 연구실 (보안공학연구실, SecLab), Network and Distributed System Security (NDSS) Symposium 2024 논문 게재 승인
2023-11-27
보안공학 연구실 (지도교수: 김형식, https://seclab.skku.edu)의 진범진(박사과정), 김은수(박사과정) 학생과 김형식 교수가 진행한 "Sharing cyber threat intelligence: Does it really help?" 논문이 정보 보안 분야 4대 컨퍼런스 중 하나인 Network and Distributed System Security (NDSS) Symposium 2024에 게재 승인되었습니다. 본 연구는 한국에너지공과대학교(KENTECH)의 이현우 교수님, 미국 테네시 대학교 (University of Tennessee)의 김두원 교수님, 퍼듀 대학교 (Purdue University)의 Elisa Bertino 교수님과 공동 연구로 진행되었습니다. 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence)란 해커의 동기, 대상, 공격 방법 및 대응 방안 등 사이버 상에서 발생하는 위협을 이해하기 위한 모든 종류의 데이터를 의미하며, 효과적인 사이버 위협 탐지 및 방어를 위한 대안으로 떠오르고 있습니다. 본 논문은 대표적인 사이버 위협 인텔리전스 표준인 Structured Threat Information eXpression (STIX) 형식의 데이터를 분석하여 문제점을 제시하고 현실적인 해결 방안을 제안하였습니다. 이를 위해, TAXII 서버 및 Web repository 등 다양한 공개적인 소스들에서 실제로 공유되는 600만개의 STIX 데이터를 수집하였으며, 데이터의 양 (Volume), 적시성 (Timeliness), 적용 범위 (Coverage) 및 데이터의 품질 (Quality)의 관점에서 STIX 데이터를 분석할 수 있는 프레임 워크 (CTI-Lense)를 제안하였습니다. 주요 결과로, 시간이 지남에 따라 더 많은 양의 STIX가 공유가 되고 있지만, 상당한 양의 데이터가 잘못된 값을 가지거나 표준을 부적절하게 사용하는 것을 확인하였습니다. Abstract - The sharing of Cyber Threat Intelligence (CTI) across organizations is gaining traction, as it can automate threat analysis and improve security awareness. However, limited empirical studies exist on the prevalent types of cybersecurity threat data and their effectiveness in mitigating cyber attacks. We propose a framework named CTI-Lense to collect and analyze the volume, timeliness, coverage, and quality of Structured Threat Information eXpression (STIX) data, a de facto standard CTI format, from a list of publicly available CTI sources. We collected about 6 million STIX data objects from October 31, 2014 to April 10, 2023 from ten data sources and analyzed their characteristics. Our analysis reveals that STIX data sharing has steadily increased in recent years, but the volume of STIX data shared is still relatively low to cover all cyber threats. Additionally, only a few types of threat data objects have been shared, with malware signatures and URLs accounting for more than 90% of the collected data. While URLs are usually shared promptly, with about 72% of URLs shared earlier than or on the same day as VirusTotal, the sharing of malware signatures is significantly slower. Furthermore, we found that 19% of the Threat actor data contained incorrect information, and only 0.09% of the Indicator data provided security rules to detect cyber attacks. Based on our findings, we recommend practical considerations for effective and scalable STIX data sharing among organizations.