마이크로소프트 익스체인지, 솔라윈즈, 버카다 침해: 보안 위생이 그 어느 때보다 중요한 이유

2021년이 시작된 지 불과 몇 달밖에 지나지 않았는데 벌써 세 가지 주요 사이버 사고가 발생했습니다: SolarWinds Orion 침해, Microsoft Exchange의 제로데이 취약점을 노린 공격, Verkada 해킹(그 영향은 아직 완전히 파악하기 어려울 수 있습니다). 이러한 사건은 이제 보안 침해는 피할 수 없다는 오래된 보안 신념을 상기시켜 줍니다. 궁극적으로 중요한 것은 개인과 조직이 침해의 영향을 얼마나 제한할 수 있는지, 그리고 위기 상황에서 기본적인 보안 위생이 얼마나 중요한지입니다.

보안 위생은 지원 프로세스와 기술적 제어를 통해 증폭되는 건전한 보안 행동입니다. 정찰부터 초기 침해 및 침해 후 활동까지 공격의 라이프사이클을 고려할 때, 공격 대상 조직이 보안 위생에 지속적으로 투자하면 공격자가 목표 데이터에 접근하지 못하게 하고 탐지 가능성을 높여 목표를 달성하기가 더 어려워집니다.

보안 위생과 관련하여 언급된 세 가지 주요 사건을 살펴보면 더 나은 관리의 여지가 있는 영역을 파악할 수 있습니다.

Verkada breach

공격자는 권한 있는 계정 관리 프로세스를 우회하여 여러 고객 사이트의 카메라에 대한 '슈퍼 유저' 액세스 권한을 획득할 수 있었습니다. 또한, 카메라를 나머지 기업 네트워크와 효과적으로 분리하지 않은 고객은 공격자가 측면으로 이동하여 다른 자산을 침해할 수 있는 기회를 열어두었습니다.

전반적으로 최소한의 권한으로 역할 기반 액세스 제어(RBAC) 를 구현하고 권한이 높은 계정에 MFA를 활용하며 측면 이동 제어 및 탐지를 통해 전반적인 계정 관리를 개선한 것이도움이 될 수 있었을 것입니다.
 

제로 데이 취약점 교환

패치되지 않은 여러 취약점이 존재하여 사서함 콘텐츠의 인증되지 않은 유출과 웹셸 업로드를 통해 지속성 및 측면 이동을 용이하게 할 수 있었습니다.

Exchange 서버와의 불필요한 트래픽 차단, 계정 생성 및 그룹 관리 이벤트 모니터링, 알 수 없는 대상과의 아웃바운드 연결 시도 모니터링, Windows 이벤트 및 IIS 서버 로그의 중앙 집중식 수집 등이 도움이 될 수 있습니다.
 

솔라윈즈 오리온 타협

공급업체의 패키징 프로세스가 손상되면서 트로이 목마 백도어가 포함된 소프트웨어 업데이트가 전달되어 공격자가 오리온을 실행하는 고객에게 직접 액세스할 수 있게 되었고, 공격자는 (오리온 플랫폼에서 부여한) 권한 있는 액세스 권한을 활용하여 대상 네트워크에 추가로 침투할 수 있었습니다.

솔라윈즈 오리온 NPM 서버에서 인터넷으로의 불필요한 트래픽을 차단하고 최소 권한이 부여된 계정을 모니터링하는 것이 도움이 될 수 있었습니다 .

마이크로 세분화를 통한 사이버 위생 개선

이 목록은 국가가 공격자로 추정되는 경우에도 기본적인 보안 위생이 도움이 될 수 있음을 보여줍니다. 이러한 직설적인 관행은 적대자를 공개적으로 드러내어 경종을 울리고 사건을 억제할 수 있는 가능성을 높이는 역할을 합니다.

일반적으로 사이버 위생을 달성하기 위한 일부 기술 구현은 다른 기술보다 더 복잡하고 시간이 오래 걸릴 수 있습니다. 예를 들어, 글로벌 네트워크에서 대규모로 권한 액세스 관리 기술을 완전히 구현하려면 호스트와 워크로드에서 네트워크를 변경하거나 아키텍처를 재설계할 필요가 없는 호스트 기반 마이크로세그멘테이션을 배포하는 것보다 훨씬 더 오랜 시간이 걸릴 수 있습니다.

이 경우, 마이크로세그멘테이션 제어는 배포가 빠르고 효과도 높기 때문에 권한 관리 배포가 진행되는 동안 필수적인 측면 이동 방지 제어이자 보완 제어가 됩니다.

일루미오의 마이크로세그멘테이션 솔루션은 다음과 같은 기능을 제공하여 사이버 위생을 개선합니다:

• 데이터 센터 트래픽 흐름에 대한 가시성이 크게 향상되고 무단 측면 이동을 감지하는 데 도움이 되는 추가 데이터가 제공됩니다.
• 가장 중요한 자산에 대한 노출을 제한하는 마이크로세그멘테이션 정책. Exchange의 경우, 여기에는 필요한 포트에 대해서만 액세스를 잠그는 Microsoft의 자체 모범 사례를 따르는 것이 포함됩니다. 자세한 내용은 Microsoft 보안 블로그를 참조하세요.

결론은 조직이 보안 침해를 유발하는 취약점을 인식하지 못하는 경우가 많다는 것입니다. 보안 위생과 같이 통제할 수 있는 것에 집중하면 조직의 보안 태세를 더욱 강화할 수 있습니다. 최근 헤드라인을 장식한 사이버 공격은 측면 이동을 제한하고 더 나은 침해 제어를 달성하기 위해 제로 트러스트 원칙을 채택해야 할 필요성을 더욱 강조합니다.

마이크로세그멘테이션이 Exchange 및 기타 중요 인프라의 모니터링과 보호를 개선하는 데 어떻게 도움이 되는지 자세히 알아보려면 여기를 참조하세요:

• Microsoft 환경 보안
• Illumio Core demo