사이버 회복탄력성 구축? MITRE ATT&CK 프레임워크를 북극성으로 사용하세요.

이 블로그에서는 사이버 복원력과 탐지에 대해 집중적으로 다룹니다. 사이버 복원력은 여러 영역에 적용될 수 있지만, 이번 대응 블로그 시리즈에서는 조직이 현재 진행 중인 침해를 막는 데 도움이 되는 기술과 전술에 초점을 맞추고 침해를 최대한 빨리 탐지하기 위해 무엇을 준비해야 하는지 알아볼 것입니다. 이 글에서는 탐지 및 보호에 Illumio 제로 트러스트 세분화를 사용하는 방법에 대해 설명하겠습니다.

조직에 있는 기존 도구 세트를 사용하여 Illumio를 통해 이를 달성하는 방법부터 시작하겠습니다. 올바른 도구를 사용하면 예방, 탐지 및 대응에 대비할 수 있습니다.

현관문을 닫아주세요! 중요 자산 보호

먼저 실제 사례에 대해 이야기해 보겠습니다.

집에는 누구나 자신에게 매우 특별한 무언가가 있습니다. 운이 좋다면 가보, 보석, 골드바 몇 개가 될 수도 있습니다. 이 예제에서는 이를 '중요 자산'이라고 부릅니다. 이러한 특별한 아이템은 항상 마음속에 있는 것이므로 어떤 대가를 치르더라도 보호해야 합니다.

전통적으로 중요한 자산을 보호하기 위해 무엇을 하고 있나요?

우리 집에는 비, 바람, 동물로부터 보호하기 위해 벽, 창문, 문이 있습니다. 이를 백분율로 환산하면 중요 자산에 대한 위험의 약 50%를 방지할 수 있다고 가정해 보겠습니다.

문과 창문은 있으면 좋지만 언제든지 열 수 있으므로 잠금 장치를 추가하여 나머지 10%의 위험을 차단합니다. 지금은 더 안전한 경계를 구축하고 있지만, 모든 것이 그렇듯 개선할 수 있습니다!

다음으로, 집 밖에 누가 있는지, 밤에 문이나 창문으로 몰래 들어오는 사람이 있는지 확인해야 합니다. 모션 센서가 움직임을 감지하면 조명이 울리도록 조명을 설치했습니다. 이제 우리는 2%의 보호 수준을 더 높이고 있으며, 느리지만 확실하게 그 목표를 향해 나아가고 있습니다.

하지만 밤새도록 불이 켜질 때까지 기다릴 수는 없습니다. 우리는 이런 일이 발생했을 때 알림을 받고 기록하기를 원합니다. 인터넷에 접속해 몇 번의 클릭만으로 다음날 동작 인식 녹화, 초인종 비디오 카메라, 문과 창문 센서가 장착된 새로운 카메라 시스템이 나타납니다! 이제 커버리지가 70%까지 확대되었습니다.

집의 경계는 점점 더 침입하기 어려워지고 있으므로 중요한 자산을 안전하게 보호해야 합니다.

하지만 어느 날 집에 돌아와 실수로 백도어가 열려 있는 것을 발견하면 중요한 자산이 탈취당했다는 사실에 당황하게 됩니다. 이번에는 다행히도 아무 일도 일어나지 않았습니다. 휴, 이번에는 안전하지만 생각하게 됩니다. 누군가 집의 뒷문이 열려 있는 것을 발견했다면 중요한 자산을 훔쳐갈 수 있었을까요? 보안 침해로부터 집을 보호하는 일은 아직 끝나지 않았다는 것을 깨닫게 됩니다.

중요 자산의 보안 수준이 70%에 불과하다면 어떻게 보안 침해로부터 완벽하게 보호할 수 있을까요? 제가 먼저 여러분의 거품을 깨드리겠습니다: 그럴 일도 없고, 그럴 수도 없습니다. 보안 침해는 피할 수 없습니다.

침해가 발생했을 때를 대비하려면 중요한 자산을 나머지 자산과 분리해야 합니다. 이렇게 하면 집의 한 부분이 침해당했을 때 중요한 자산에 대한 문을 닫고 악의적인 공격자가 접근하지 못하도록 할 수 있습니다.

지금쯤이면 위의 예와 조직의 사이버 보안 전략이 유사하다는 것을 알 수 있을 것입니다. 이러한 단계가 사이버 복원력 및 탐지를 위해 모두가 따라야 하는 일반적인 보안 모범 사례와 어떻게 연결되는지 살펴봅니다.

사이버 복원력 구축을 위한 MITRE ATT&CK 프레임워크 사용

Paul의 게시물은 MITRE ATT& CK 프레임워크를 언급했으며, 그럴 만한 이유가 있습니다. 공격자가 어떻게 생각하고, 중요 자산에 접근하기 위해 어떤 단계를 밟을지, 각 단계에서 공격자를 막는 방법에 대한 청사진입니다.

보안팀은 이 프레임워크를 사용하여 악의적인 공격자가 사용하는 공격 패턴으로부터 조직을 보호하는 방법을 배울 수 있습니다.

아래 프레임워크의 맨 오른쪽(유출 및 영향)에 도달하는 공격은 일반적으로 조직의 보안 성숙도가 초기 단계임을 나타냅니다.

공격자가 유출 단계에 도달했다면 조직은 보안 침해에 대해 사후 대응적인 사고방식을 취하고 있는 것입니다. 침해가 발생했을 때 EDR 도구만으로 침해를 막을 수 있기를 바랄 수 있지만, 침해가 그런 식으로 해결되는 경우는 거의 없습니다.

조직의 보안 성숙도는 어느 정도 수준인가요? 이미지 제공 CISOSHARE.

침해가 발생하면 가능한 한 빨리 차단하는 것이 목표가 되어야 하며, 제로 트러스트 세분화는 EDR 도구가 끝나는 지점을 포착하는 데 도움이 될 수 있습니다.

실제로 공격 보안 업체인 비숍 폭스에 따르면, 일루미오로 탐지 및 대응을 결합한 결과 공격자의 확산을 획기적으로 줄이면서 탐지 속도를 4배 더 높일 수 있었습니다.

다음 단계는 어디인가요? 조직의 보안 성숙도 향상

이 시리즈에서는 Paul의 시리즈에 대한 답변으로 사이버 보안 모범 사례와 Illumio 제로 트러스트 세분화의 도움을 받아 조직의 보안 성숙도를 개선하는 단계를 간략하게 소개합니다. 해커는 항상 진화하고 공격 방식을 바꾸고 있지만, 이러한 블루팀 전술은 시간의 시험을 견디는 데 도움이 될 수 있습니다.

다음 블로그 게시물을 읽기 전에 조직의 사이버 복원력을 개선하기 위한 첫 번째 단계가 무엇인지 생각해 보고, 조직의 현재 보안 상태에 대해 몇 가지 메모를 작성해 보세요. 이 내용을 참고하여 어떻게 쌓이는지 확인할 수 있습니다.

다음 달에 계속 읽어보시고 침해가 네트워크를 통해 최대한 빨리 확산되는 것을 막는 방법을 알아보세요.

일루미오 제로 트러스트 세분화에 대해 더 자세히 알고 싶으신가요? 상담 및 데모를 원하시면 지금 바로 문의하세요.