사이버 재해가 여전히 발생하는 이유와 해결 방법

역사적으로 공공 및 민간 부문의 사이버 보안은 예방과 탐지라는 한 가지 일관된 주제를 따랐습니다.

문제는 무엇일까요? 예방과 탐지만으로는 충분하지 않습니다. 침해는 여전히 발생하고 있습니다.

수십 년 동안 공격자의 직접적인 공격을 방지하고 탐지하려고 노력했지만 실패한 후에는 이제 차단으로 초점을 전환해야 할 때입니다. 아인슈타인이 실제로 말했든 아니든, 이 말은 여전히 정확합니다: 광기의 정의는 같은 일을 반복해서 하면서도 다른 결과를 기대하는 것입니다.

기존의 보안 방법으로는 현대의 공격자들과 싸우기에 충분하지 않습니다.

대부분의 보안팀은 데이터 센터나 클라우드에 위협이 유입되는 것을 막는 데 주력해 왔습니다.

신뢰할 수 없는 외부와 신뢰할 수 있는 내부의 경계인 남북 경계는 대부분의 보안 도구가 배치된 곳입니다. 이곳에는 차세대 방화벽, 안티바이러스 스캐너, 프록시 및 기타 보안 도구가 배포되어 들어오는 모든 트래픽을 검사하여 나쁜 트래픽이 통과하지 못하도록 합니다.

하지만 지난 몇 년간 발생한 모든 대형 보안 침해 사건에는 이러한 도구 중 하나 이상이 배포되어 있었고, 대부분 보안 요구 사항을 준수하고 있었습니다. 하지만 공격자들은 네트워크에 성공적으로 침입했습니다.

그리고 일단 네트워크에 침입하면 모든 공격자들은 한 가지 공통점이 있습니다. 이들은 동서로 횡방향으로 퍼져 호스트에서 호스트로 이동하며 데이터 유출을 위한 표적을 찾습니다.

이러한 침해의 대부분은 네트워크에 침입한 지 오래, 때로는 몇 달이 지난 후에 발견되었습니다. 예방에서 탐지로의 전환에도 불구하고 오늘날의 도구는 피해가 발생한 후까지 탐지를 피하는 데 능숙한 현대의 공격자들과는 상대가 되지 않습니다.

일단 손상되면 대부분의 네트워크는 동서 전파에 광범위하게 노출됩니다.

사이버 보안에 대한 기존의 접근 방식은 경계 밖의 모든 것을 신뢰할 수 없는 것으로, 경계 안의 모든 것을 신뢰할 수 있는 것으로 정의합니다. 그 결과, 공격자가 신뢰할 수 있는 코어 내부에 침투하면 측면으로 확산되는 것을 막을 수 있는 방법이 거의 없는 경우가 많습니다.

호스트와 호스트, 애플리케이션과 애플리케이션이 네트워크 세그먼트에 분산되어 있다는 것은 대부분의 워크로드가 빠르게 움직이는 공격자에게 노출되어 있다는 것을 의미합니다. 그리고 네트워크 세그먼트는 일반적으로 호스트 간에 확산되는 것을 방지하는 데 매우 효과적이지 않습니다.

네트워크 세그먼트는 DDoS 또는 ARP 스푸핑과 같은 네트워크 문제를 방지하도록 설계되었습니다. 이러한 문제를 제어하고 네트워크의 트래픽 엔지니어링을 지원하기 위해 VLAN, IP 서브넷, 라우팅 피어링 포인트, SDN 오버레이 네트워크가 만들어집니다. 그러나 공격자는 일반적으로 정상적인 트래픽처럼 보이는 포트를 통해 호스트 간에 전파하기 때문에 이러한 네트워크 세그먼트를 쉽게 통과할 수 있습니다.

네트워크 장치는 패킷 헤더를 보고 헤더에 어떤 포트가 있는지에 따라 트래픽을 차단하거나 허용합니다. 그러나 공격자를 발견하려면 패킷의 데이터 페이로드를 자세히 살펴봐야 하며, 이를 위해서는 모든 동서 트래픽 경로에 있는 모든 호스트 사이에 방화벽을 배포해야 합니다.

모든 패킷을 "열어" 검사하고 서명, "샌드박스," AI, 머신 러닝 또는 기타 복잡한 방법에 의존하여 네트워크 속도 저하 없이 공격자를 발견해야 하기 때문에 비용이 많이 들고 잠재적인 네트워크 병목 현상이 발생할 수 있습니다.

이러한 접근 방식을 시도하더라도 금방 포기하거나 축소하며, 어렵게 확보한 예산에 대한 ROI를 얻지 못합니다. 이렇게 하면 동서 전파를 막을 수 있는 방법이 거의 없으며 숙주는 여전히 열려 있습니다.

피할 수 없는 보안 침해가 발생하면 사람들은 서로를 손가락질하기 시작합니다.

제로 트러스트 세분화가 없는 조직은 이길 수 없는 전쟁을 치르고 있습니다.

모든 경계는 다공성입니다. 99% 효과적인 경계 보안 경계도 결국에는 뚫리게 마련입니다. 또는 실수로 또는 고의로 내부에서 보안 침해가 발생할 수 있습니다.

여전히 더 비싼 보안 도구를 경계에 배치하려고 하고 호스트가 네트워크에서 어떤 종류의 위협도 동서로 전파하지 않는다고 계속 믿고 있는 기업들은 다음 날 뉴스에서 직접 공격의 최신 피해자로 등장할 것입니다.

전체 이스트웨스트 패브릭에 걸쳐 보안을 구현하는 것을 무시하는 기업은 패배하는 싸움을 하고 있는 것입니다.

마이크로세그멘테이션은 모든 리소스가 네트워크 경계에서 분리된 신뢰 경계가 되는 제로 트러스트 아키텍처의 주요 부분입니다.

Illumio는 데이터 센터와 클라우드 내부의 동서 위협 벡터를 대규모로 보호합니다.

모든 단일 워크로드는 다른 모든 워크로드와 마이크로세그먼트화되어 네트워크 주소가 아닌 메타데이터 중심 모델을 사용하여 호스트를 식별함으로써 워크로드 간에 최소 권한 액세스 모델을 적용합니다. 즉, 호스트에 배포된 워크로드는 위치가 아닌 기능을 통해 식별되므로 호스트 간의 네트워크 동작을 명확하게 시각화할 수 있습니다.

여기에서 마이크로세그멘테이션에 대해 자세히 알아보세요.

애플리케이션이 네트워크에서 통신하는 방식에 대한 가시성 확보

애플리케이션 중심의 관점에서 애플리케이션 간의 네트워크 트래픽을 파악하는 것은 데이터센터의 물리적 디바이스나 퍼블릭 클라우드의 가상 디바이스 등 네트워크 디바이스만으로는 어렵습니다.

스위치, 라우터, 방화벽 또는 모니터링 도구에서 애플리케이션 동작 및 종속성을 시각화하려면 일반적으로 네트워크 동작을 애플리케이션 동작으로 변환하고 애플리케이션과 호스트 사이에서 누가 누구에게 무엇을" 하고 있는지 "파악해야 하기 때문입니다. 종종 이것은 드러내기보다 혼란스럽게 만드는 경우가 많습니다.

애플리케이션이 네트워크에서 서로 통신하는 방식을 시각화하려면 해당 애플리케이션이 상주하는 호스트에 직접 배포된 솔루션이 필요합니다.

Illumio를 사용하면 데이터센터와 클라우드의 모든 애플리케이션 간에 매우 명확하고 정밀한 종속성 맵을 만들 수 있습니다. 호스트는 기능이나 소유권 등의 메타데이터에 따라 그룹화되며, 호스트 간의 트래픽 흐름이 모두 명확하게 표시됩니다.

이를 통해 네트워크를 건드리거나 클라우드를 건드리지 않고도 규정 위반을 매우 빠르게 발견하고 호스트가 서로 통신하는 방식을 파악할 수 있습니다.

Illumio는 전체 환경에서 누가 누구에게 무엇을 하는지 대규모로 파악하여 호스트 간의 위험을 정량화하고 잠재적 침해에 노출된 위험한 포트를 보여줍니다.

일루미오 제로 트러스트 세분화를 구현하여 공격자의 동서 이동을 차단합니다.

예방 보안 모델은 구식이며 탐지 보안 모델은 측면 전파를 방지하기에 충분히 빠르지 않습니다.

최신 보안 모델에서는 침해가 발생하거나 이미 발생했다고 가정해야 합니다. 이러한 사고방식은 손상된 호스트의 건강을 보존하는 데 초점을 두는 것이 아니라 공격자가 누구인지 정확히 파악하지 않고도 공격자를 신속하게 격리하고 확산을 방지합니다.

애플리케이션의 관점에서 애플리케이션 중심 보안을 위한 Illumio의 솔루션을 사용하여 동서 위협 벡터를 적용하고 시각화할 수 있습니다.

국가가 지원하는 적이든 범죄 조직이든 침해가 발생하면 해당 위협은 격리되어 확산되지 않도록 방지됩니다.

광기는 멈춰야 하고, 멈출 수 있습니다.

일루미오 제로 트러스트 세분화에 대해 더 자세히 알고 싶으신가요? 지금 바로 문의하세요.