.png)
마이크로세분화의 효과를 측정할 수 있나요?
"측정할 수 없으면 제어할 수 없습니다." - 켈빈 경
정량적 측정은 다양한 제품을 비교하거나 프로젝트의 성공 여부를 결정하거나 스포츠 팀의 발전 상황을 추적하는 등 우리가 하는 모든 일에 정보를 제공합니다. 주관적인 의견에만 의존하는 것이 아니라 실제적이고 객관적인 '좋아요 대 좋아요' 비교를 할 수 있습니다. 하지만 기업용 보안 제품 중 상당수가 규정을 준수하고 보안을 개선하거나 위협을 탐지하는 더 나은 방법을 제공하는 제품에 만족하는 것 같습니다( 더 많은/개선된/더 나은 것은 모두 정성적인 척도입니다). 그러나 점점 더 많은 보안 구매자가 공급업체의 주장을 뒷받침할 수 있는 수치를 요청하는 것을 보고 있습니다. "해당 제품이나 솔루션의 성공을 어떻게 측정할 수 있을까요?"와 같은 질문을 하고 있습니다.
지난 몇 년 동안 보안 미디어에 쏟아져 나온 기사를 보면 마이크로세그멘테이션이 이제 모든 보안 전략에서 조직의 필수적인 보안 제어, 즉 '테이블 스테이크'임을 분명히 알 수 있습니다. 특히, 제로 트러스트 전략에서 마이크로세그멘테이션이 측면 이동을 제한하고 공격자가 네트워크를 탐색하여 의도한 대상을 찾는 능력을 방해한다는 점에서 마이크로세그멘테이션의 핵심 역할은 당연한 일입니다. 마이크로세그멘테이션은 '최소 권한'의 전형적인 예로, 통신이 허용되어야 하는 것만 통신을 허용하고 그 이상도 그 이하도 허용하지 않습니다. 그러나 마이크로세분화를 실행하고 있거나 실행을 고려하고 있는 기업들은 그동안 그 효과를 입증할 정량적 측정이 부족했습니다.
일루미오는 마이크로세그멘테이션의 이점, 환경 규모가 커질수록 영향이 어떻게 변화하는지, 그리고 이러한 결과를 자체 환경에서 검증하고자 하는 모든 조직이 반복할 수 있는 명확한 테스트 방법론을 정량적으로 입증하는 것이 중요하다고 생각했습니다. 이를 위해 저희는 레드팀 전문가인 비숍 폭스와 협력하여 업계 최초로 마이크로세분화의 효율성을 측정하는 방법에 대한 청사진을 MITRE ATT&CK® 프레임워크의 주요 구성 요소를 기반으로 수행 및 문서화했습니다.
비숍 폭스 팀은 여러 차례에 걸쳐 테스트 환경에서 한 쌍의 '크라운 주얼' 에셋을 찾아야 하는 임무를 받았습니다. 이를 '깃발 뺏기' 훈련이라고 생각하면 되지만, 환경을 적극적으로 방어할 블루팀은 없습니다. 대조군 테스트를 포함하여 총 네 차례의 테스트가 진행되었습니다. 테스트를 거듭할수록 마이크로세분화 정책은 점점 더 엄격해졌습니다:
- 제어 테스트 - 마이크로세분화 제어가 적용되지 않음(기본적으로 플랫 네트워크)
- 사용 사례 1 - 환경 분리(즉, 마이크로세분화가 매우 세분화되어 프로덕션, 테스트, 개발 등 서로 다른 환경의 워크로드가 동일한 환경의 다른 워크로드에만 연결할 수 있도록 보장하는 경우)
- 사용 사례 2 - 애플리케이션 링펜싱(특정 애플리케이션과 관련된 워크로드만(예 결제 처리 애플리케이션 또는 HRM 애플리케이션)가 특정 환경에서 서로 대화할 수 있습니다. 올가미를 조인다고 생각하세요.)
- 사용 사례 3 - 계층 세분화(즉, 가장 세분화된 형태의 마이크로세분화 정책 중 하나이며 특정 계층과 관련된 워크로드만(예 웹 티어 또는 DB 티어 등)가 특정 환경의 특정 애플리케이션에서 서로 통신할 수 있습니다.)
비숍 폭스 팀은 테스트 환경에 대한 사전 지식이 없었기 때문에 테스트할 때마다 전체 환경을 파괴하고 다시 구축해야 했습니다. 즉, 각 테스트 라운드에서 토폴로지 및 IP 주소 등 어떤 것도 이월되지 않았습니다. 모든 마이크로세분화 정책은 화이트리스트 또는 기본 거부 방식을 사용하여 정의되었습니다. 즉, 승인된 트래픽을 명시적으로 허용하도록 규칙이 작성되었으므로 규칙이 없는 것은 기본적으로 허용되지 않으므로 차단되었습니다. 초기 테스트는 100개 워크로드 환경(대부분의 중간 규모 조직의 배포 규모보다 훨씬 작은 규모)에서 수행되었으며, 500개 및 1000개 워크로드에서 사용 사례 2를 반복했습니다.
다음은 100개의 워크로드를 대상으로 한 테스트의 관찰 결과입니다:
이 데이터는 매우 단순한 환경 분리 정책(사용 사례 1)이라도 공격자가 열거하고 목표에 도달하는 데 최소 300%(% ) 이상의 어려움을 제공한다는 것을 보여줍니다. 그리고 애플리케이션 링펜싱 정책(사용 사례 2)을 적용하는 데 드는 노력이 상대적으로 적기 때문에 공격자의 난이도는 450% 증가합니다. 하지만 마이크로세그멘테이션을 강력한 보안 제어로 만드는 것은 노력의 명백한 증가뿐만이 아닙니다. 차단된 연결의 수가 증가하는 것에 주의를 기울이면 무단 연결을 시도하는 공격자를 탐지할 가능성이 높아지기 때문에 방어자 입장에서는 이러한 노력이 매력적인 투자라는 것을 알 수 있습니다. 이는 제어, 사용 사례 1 및 사용 사례 2 테스트에서 생성된 트래픽 양에서도 확인할 수 있습니다. 장기간에 걸쳐 시도하지 않는 한 이러한 연결량 급증은 SOC에서 경고를 트리거하여 조사로 이어져야 합니다.
또한 흥미로운 점은 사용 사례 3(계층 세분화가 적용된)에서 시도된 연결이 감소했다는 점입니다. 이러한 하락세는 환경이 너무 세분화되어(점심시간의 보아뱀을 생각해보십시오) 상대가 전술을 변경할 수밖에 없었기 때문으로 설명됩니다(vs. 사용 사례 2). 그러나 이러한 전술의 변화는 궁극적으로 공격자에게 더 효율적인 승리를 가져다주지는 못했습니다. 실제로 방어자가 마이크로세그멘테이션 정책을 강화하기 위해 상대적으로 적은 노력을 기울였음에도 불구하고 총 성공 시간은 여전히 증가하여 대조 실험보다 950% 더 길었는데, 이는보안 정책의 제한이 증가함에 따라 공격자의 접근 방식이 이전 사용 사례에 비해 크게 변경되었으며 이러한 변경으로 인해공격자가 훨씬 더 불리해졌음을 나타냅니다.
이번 첫 번째 테스트의 헤드라인은 '적의 작업을 3배에서 10배까지 더 어렵게 만들고 싶지 않으세요? 그렇다면 마이크로 세분화를 구현하세요.
다음은 100, 500 및 1000 워크로드의 사용 사례 2(애플리케이션 링펜싱)에 대한 데이터입니다:
여기서 중요한 점은 보호 대상 자산의 규모가 커질수록 세분화 정책의 특성을 변경하지 않더라도 공격자의 작업이 측정 가능하게 어려워진다는 것입니다(4.5배에서 22배 사이). 이는 고도로 전술적인 세분화 배포를 넘어 이점이 현실화되면 전체 자산으로 확장해야 한다는 강력한 근거가 됩니다.
이 모든 것이 무엇을 의미하는지 마지막으로 정리해 보겠습니다:
- 마이크로세그멘테이션은 화이트리스트 접근 방식을 취해야 합니다. 이 접근 방식을 취해야만 승인된 경로를 제외한 모든 경로를 제거하므로 보안 상태의 개선을 진정으로 측정할 수 있습니다.
- 마이크로세그멘테이션은 매우 간단한 환경 분리 정책을 사용하더라도 공격자가 결과를 달성하기 최소 3배 이상 어렵게 만들며, 이 기능에 투자해야 하는 강력한 명분 자체도 있습니다.
- 정책 정의를 변경할 필요 없이 마이크로세그멘테이션의 배포 규모를 늘리면 그 자체로 전반적인 보안 이점을 얻을 수 있습니다. 조직은 세분화를 작은 전술적 하위 집합이 아닌 전체 자산으로 확장하는 것을 목표로 해야 합니다.
- 마이크로세그멘테이션 정책의 정교함이 높아지면 공격자의 접근 방식이 변경되어야 하며, 이는 종종 시간 비용과 탐지 가능성을 높입니다.
