제로 트러스트 엔드포인트 보안으로 침해 가정하기

시스템 엔지니어링 담당 이사, EMEA

5월 5, 2023

23 분 읽기

"보안이 잘 되어 있는데 어떻게 랜섬웨어가 통과할 수 있었나요?" - 대규모 사이버 침해가 발생한 후 많은 이사회 위기 회의의 시작이 되곤 하는 가슴 아픈 질문입니다. 많은 기업에게 중요한 시점에 브랜드 평판, 규정 준수 벌금, 투자자 신뢰 상실, 주가 변동, 심지어 몸값 지불 고려 등 많은 것이 걸려 있습니다.

그리고 실제로 이 질문은 전혀 엉뚱하지 않습니다. 엔드포인트 및 경계 보안 솔루션은 비즈니스 네트워크 전반에 걸쳐 어디에나 존재합니다. 그렇다면 의문이 생깁니다: 랜섬웨어가 어떻게 여전히 침투할 수 있으며, 가장 중요한 것은 왜 랜섬웨어가 여전히 빠르게 확산되어 놀라운 속도로 혼란을 야기할 수 있을까요?

이 글에서는 이러한 질문에 대해 살펴봅니다. 또한 지금까지 엔드포인트 보안을 지배해 온 전통적인 접근 방식에 대해서도 다시 생각해 볼 것입니다.

스토리: 같은 대본, 다른 배우

많은 경우, 위협 행위자들의 접근 방식은 익숙한 플롯에 섬뜩할 정도로 예측 가능한 결말을 가지고 있으며, 일반적으로 다음과 같은 방식으로 진행됩니다:

최종 사용자의 엔드포인트(자격 증명) 또는 웹 프론트엔드 서버와 같이 쉽게 노출될 수 있는 대상을 타겟팅하세요.
직접 및 간접 프로빙과 소셜 엔지니어링을 조합하여 초기 침해에 대응하세요.
손상된 컴퓨터에서 액세스하고 피벗할 수 있는 다른 항목 알아보기
다른 머신으로 이동할 수 있도록 권한을 에스컬레이션하세요.
고가치 시스템으로 계속 확산한 다음 악의적인 목표를 완료합니다.
헹구고 반복

이 이야기에서는 모든 사람이 표적이 됩니다.

예를 들어 고객에게 중요한 비즈니스 소프트웨어를 제공하기 위해 원격으로 작업하는 계약 개발자가 있다고 가정해 보겠습니다. 이들은 일반적으로 매우 촉박한 마감일에 맞춰 일하기 때문에 마감일 전에 프로젝트를 완료해야 한다는 압박감에 시달리기도 합니다. 이러한 유형의 엔드포인트 사용자는 공급망 공격의 이상적인 후보입니다. 엔드포인트가 손상되면 소스 코드 제어(CI/CD) 파이프라인에 침투하는 데 사용될 수 있기 때문입니다. 타깃 사용자의 또 다른 예로는 회의와 이벤트에 참석하느라 이동이 잦은 영업 및 마케팅 임원을 들 수 있습니다. 또한 보호되지 않은 공용 네트워크에 액세스할 가능성이 높기 때문에 소셜 엔지니어링 및 피싱 공격의 위험에 노출되어 있습니다.

이러한 사용자와 엔드포인트가 침해되면 위협 행위자는 공격을 계속할 수 있는 구심점을 확보할 수 있습니다. 그런 다음 더 높은 권한의 계정에 들어가 다른 시스템으로 이동한 후 데이터베이스 시스템, 문서 관리 시스템 또는 고객 관계 관리 시스템과 같은 중요한 시스템에 접근하려고 시도합니다. 이러한 자산은 조직의 중요한 비즈니스 및 개인 정보를 담고 있는 고가치 자산인 경우가 많습니다.

현 상황 사이버 방어 피로

정교한 코드 인젝션과 회피성이 뛰어난 랜섬웨어 페이로드를 활용하는 파일리스 멀웨어부터 교체가 쉽지 않은 매우 오래되었지만 중요한 비즈니스 코드를 호스팅하는 레거시 시스템에 대한 조직의 의존으로 인해 여전히 유효한 오래된 취약점까지, 위협 행위자들은 다양한 기술을 보유하고 있습니다. 공격자가 유리한 것처럼 보일 때가 있습니다.

방어자들은 점점 더 많은 악의적 기능을 갖춘 위협 행위자들에 직면하고 있기 때문에 그럴 수 있습니다. '방어자는 항상 제대로 해야 하고 공격자는 한 번만 제대로 하면 된다'는 말이 있듯이, 방어자는 항상 제대로 해야 합니다. 이 때문에 수비수들은 대부분의 시간 동안 대부분의 압박에 직면하게 됩니다.

요점을 더 자세히 설명하기보다는 하나의 페이로드에서 방어자가 어떤 상황에 처해 있는지 보여주는 Brute Ratel 페이로드와 관련 MITRE TTP 맵의 예시를 보여드리겠습니다. 그리고 이러한 기능을 가진 멀웨어에는 다양한 변종이 존재합니다.

이미지에서 맨 왼쪽에 있는 작은 점이 Brute Ratel 페이로드입니다. 오른쪽에는 이 단일 페이로드가 시스템을 감염시키고 탐지를 회피하며 악의적인 목적을 수행하기 위해 사용할 수 있는 다양한 전술과 기법이 나와 있습니다.

이는 안티바이러스(AV), 차세대 AV(NGAV), 엔드포인트 보호 플랫폼(EPP), 엔드포인트 탐지 및 대응(EDR) 등 엔드포인트 보안 도구의 놀라운 발전에도 불구하고 침해와 랜섬웨어 사례가 계속 증가하는 이유 중 일부를 설명합니다. 이러한 도구는 시그니처 분석, 애플리케이션/프로세스 제어, 휴리스틱, 행동 분석, 익스플로잇 방지, 샌드박싱 등 훨씬 더 긴 보호 기능 목록과 결합되어 현재 악화된 것으로 보이는 실제 문제를 해결할 것으로 예상됩니다. 지난 몇 년 동안 랜섬웨어가 확산되면서 문제의 심각성이 입증되었습니다.

그렇다면 멀웨어가 여전히 통과할 수 있는 이유는 무엇일까요?

여기에는 여러 가지 이유가 있을 수 있습니다. 기존의 탐지 우선 기반 보안 시스템에서는 위협을 완전히 놓치는 경우도 있었습니다. 이는 제로데이 취약점이나 고도의 회피 기술 때문일 수 있습니다. 또한 필요한 보안 모듈이 제대로 구성되지 않았거나 예산 제약 또는 오탐으로 인해 일상적인 비즈니스 사용 사례를 차단하는 오탐으로 인해 올바른 모듈이 전혀 구현되지 않았을 수도 있습니다.

최종 사용자 및 공급업체 측 취약점의 위협, 최신 네트워크(하이브리드 환경)의 복잡성 증가 등 거의 끝이 없는 공격 기능 목록을 배경으로 무언가 잘못될 수밖에 없는 상황입니다. 그리고 이것이 보통 그렇게 되는 이유입니다.

사이버 복원력: 제로 트러스트 엔드포인트 보안

그렇다면 다음은 무엇일까요? 협력적 보안 패러다임으로 전환하세요! 이는 기존의 탐지 엔드포인트 보안과 최신 제로 트러스트 엔드포인트 보안 접근 방식을 결합한 것입니다.

네트워크 및 시스템을 변경할 필요 없이 기존 보안 도구와 함께 작동하는 사전 예방적 보안 및 제로 트러스트 원칙에 기반한 새로운 보안 패러다임입니다. 이 기능은 지능적이고 확장 가능한 중앙 두뇌에서 중앙에서 분석하는 멀티 플랫폼 엔드포인트 데이터를 사용합니다.

몇 분 만에 완료되는 무중단 배포로 시작됩니다. 그런 다음 일반적으로 모니터링하는 남북 통신 외에도 동서 통신에 대한 인사이트를 제공합니다. 이는 조직이 다양한 운영 체제, 플랫폼 및 위치에서 동시에 커뮤니케이션을 보고 추적할 수 있어야 하기 때문에 반드시 필요한 기능입니다. 그리고 이 모든 것이 추가적인 시스템이나 네트워크 변경 없이 가능합니다. 여기에는 퍼블릭 클라우드 자산을 포함한 모든 다양한 엔드포인트와 서버 워크로드가 지정된 위치 이름에 따라 논리적으로(네트워크 변경 없이) 그룹화된 예가 나와 있습니다.

엔드포인트는 진공 상태로 존재하지 않기 때문에 다양한 시스템과 통신합니다. 심지어 다른 엔드포인트와 통신을 시도할 수도 있지만, 측면 이동의 위험이 높기 때문에 실제로 이러한 통신이 필요하지 않거나 바람직하지 않은 경우도 있습니다. 따라서 엔드포인트 통신에 대한 가시성을 확보하는 것은 매우 중요한 역량입니다.

엔드포인트는 서버 및 워크로드와도 통신합니다. 이 중 일부는 데이터 센터에서 조직의 통제 하에 있을 수 있고, 다른 일부는 타사 클라우드 SaaS 서비스일 수 있습니다. 이러한 엔드포인트와 연결되는 서버의 모든 위험을 이해하려면 이러한 커뮤니케이션에 대한 가시성을 확보해야 합니다.

위에서 설명한 가시성은 기존 엔드포인트 보안 및 EDR의 탐지 실패 후에도 차단을 제공하는 상시 실행을 위한 필수 전제 조건입니다. 시행 기능에는 멀웨어 콜백 통신을 차단하기 위한 ID 및 도메인 기반 정책, 나노 세분화를 위한 프로세스 기반 규칙, 방화벽 및 취약성 위협 기반 정책을 통한 통신 제어가 포함됩니다. 이 접근 방식은 또한 제로 트러스트 정책이나 거부 목록 경계가 있든 없든 트래픽 인텔리전스를 기반으로 보안 정책을 정의하고 프로비저닝한다는 의미이기도 합니다. 이러한 정보는 우리가 어떤 시스템을 보유하고 있는지, 어떤 기능을 하는지, 그리고 이를 바탕으로 어떻게 적절하게 보호할 수 있는지에 대한 정보여야 합니다. 위치 인식은 또한 기업 네트워크 안팎에서 정책 유연성을 향상시킵니다. 이 모든 것은 Windows, Linux, Mac, Unix, Cloud 및 컨테이너 등 다양한 플랫폼에 균일하게 적용되어야 합니다.

방어자의 관점에서 이러한 목표를 달성하려면 효과적으로 협업할 수 있는 팀과 도구가 필요합니다. 침해가 발생했다고 가정하는 조직은 탐지보다는 사이버 복원력에 초점을 맞출 가능성이 높습니다. 그들은 탐지만큼이나 격리 전략도 중요하게 생각합니다.

기존 탐지 도구를 보완하는 일루미오 엔드포인트

일루미오 제로 트러스트 세분화 플랫폼의 일부인 일루미오 엔드포인트는 기존 탐지 보안 도구를 보완하는 동시에 가시성 및 측면 이동 방지 기능의 가장 큰 격차를 메우도록 설계되었습니다.

이러한 유형의 격리 접근 방식은 최근 폭스 주교에 의해 시험대에 올랐습니다. 여러 차례의 공격 에뮬레이션을 통해 공격자가 이러한 차단 방법을 우회하여 탐지 도구가 포착할 수 있는 노이즈가 더 많이 발생하기 때문에 Illumio 제로 트러스트 세분화를 사용하면 위반이 최대 4배 더 빠르게 탐지된다는 사실을 발견했습니다.

전반적으로 엔드포인트에 대한 세분화는 기존 보안 투자와 함께 긍정적인 보안 태세로 이어져 훌륭한 엔드포인트 스토리를 만들어냅니다!

일루미오 엔드포인트에 대해 자세히 알고 싶으신가요? 무료 상담 및 데모를 원하시면 지금 바로 문의하세요.