제로 트러스트 세분화가 단독 탐지 및 대응보다 4배 빠르게 랜섬웨어를 차단하는 방법

제로 트러스트는 사고방식이며 위반을 가정하는 것이 기본 원칙이라는 것은 잘 문서화되어 있습니다. 이는 무섭게 들릴 수 있지만, 실제로는 조직이 아직 침해당하지 않았다면 침해가 발생할 가능성이 높다고 가정해야 한다는 의미입니다. 보안 태세는 수동적이고 기다리는 방식에서 능동적이고 사냥하는 방식으로 바뀌어야 합니다. 이것이 그 어느 때보다 중요한 이유는 무엇인가요?

팬데믹은 비즈니스 혁신을 가속화하여 자동화 및 통합 공급망의 도입을 촉진하고 네트워크와 시스템의 전통적인 구조를 무너뜨리며 새로운 차원의 초연결성을 창출했습니다. 이제 병원 방문은 엔드투엔드 디지털 경험이 되었습니다. 소매점이나 은행 지점에 사람과 대면하지 않고도 출입할 수 있습니다.

이러한 변화는 사이버 범죄자들에게 상당히 새로운 공격 벡터와 기회를 창출했습니다. 이제 보다 능동적인 접근을 유도하는 "가정 위반" 사고방식을 채택하는 것이 유일한 방법입니다.

좋은 소식은 이러한 접근 방식에서 조직을 안내할 수 있는 여러 가지 프레임워크가 있다는 것입니다. 프레임워크의 표준은 미국 국립표준기술연구소(NIST)의 사이버 보안 프레임워크(CSF)입니다.

하지만 NIST CSF의 관행을 구현하면 조직이 불가피한 침해의 영향을 제한하는 데 어떻게 도움이 될 수 있을까요?

일루미오는 공격 보안 및 모의 침투 테스트 분야의 선두주자인 비숍 폭스(Bishop Fox)에 의뢰하여 일련의 에뮬레이트된 랜섬웨어 공격을 수행하여 정량적으로 측정했습니다. 이 글에서는 공격 시나리오와 주요 결과를 요약해 보겠습니다. 보고서 전문은 여기에서 확인할 수 있습니다.

보다 안전한 모델 구축 식별, 보호, 탐지, 대응

NIST CSF 프레임워크의 처음 두 단계는 잘 정립되어 있고 명확합니다:

식별

1. 어떤 자산이 공격받을 가능성이 가장 높은지, 어떤 자산이 침해될 경우 가장 큰 영향을 미칠지 파악하세요.
2. 모든 디바이스, IT와 OT 간의 데이터 흐름을 매핑하세요.

1. 각 디바이스의 취약점을 파악하여 매핑된 연결을 기반으로 해당 디바이스의 노출을 정량화합니다.

보호

1. 사용하지 않는 고위험 포트와 프로토콜을 모두 차단하세요.
2. 자산과 애플리케이션의 링펜싱을 구현하고 최소 권한에 따라 액세스를 허용하세요.

3단계(감지) 와 4단계(응답) 는 일이 세분화되는 단계입니다.

머신 러닝, 위협 피드 및 행동 이상 탐지의 등장으로 시그니처 시절과는 비교할 수 없을 정도로 많은 발전이 있었습니다. 엔드포인트 탐지 및 대응(EDR)이 처음 등장했을 때만 해도 엔드포인트에 대한 모든 공격에 대한 해답으로 여겨졌습니다. 모든 사이버 범죄가 그렇듯이 범죄자들은 이러한 새로운 제품을 회피하기 위해 시간과 자원을 투자했습니다. 현재 너무 많은 조직이 1단계와 2단계를 먼저 구현하지 않고 탐지 및 대응에 의존하고 있습니다.

지금까지는 이 접근법의 잠재적 약점에 대한 이해가 비공식적이고 입소문으로만 전해져 왔습니다.

랜섬웨어에 대한 제로 트러스트 세분화 및 EDR의 영향 테스트

공격 에뮬레이션의 일환으로, 탐지 및 대응만이 아닌 네 단계를 모두 구현하는 것과 비교했을 때, 레드팀은 호스트 감염을 시도하기 위해 MITRE ATT& CK 및 PRE-ATT& CK 프레임워크의 잘 확립된 전술, 기술 및 절차(TTP) 세트를 사용했습니다. 블루팀은 일루미오의 제로 트러스트 세분화와 결합된 탐지 및 대응 기술을 사용하여 활성 랜섬웨어 공격을 억제하는 데 있어 상대적인 효율성을 측정했습니다.

공격 시나리오 설명

테스트 시나리오가 포함되어 있습니다:

1. 단독 탐지
2. 사고 대응을 위한 탐지 및 제로 트러스트 세분화
3. 랜섬웨어가 사용하는 잘 알려진 포트를 선제적으로 차단하는 탐지 및 제로 트러스트 세분화
4. 전체 애플리케이션 링펜싱을 선제적으로 구현하는 탐지 및 제로 트러스트 세분화

각 테스트는 공격을 차단할 수 있는지 여부와 소요 시간, 감염된 호스트 수, 실행된 TTP 수를 측정했습니다. 시나리오는 두 명의 비숍 폭스 컨설턴트가 진행했는데, 한 명은 레드팀(공격)으로, 한 명은 블루팀(방어)으로 역할을 분담했습니다.

공격 시나리오 결과

시나리오 1 - 단독 탐지: 이 시나리오에서는 제로 트러스트 세분화 기능이 전혀 사용되지 않았으며 레드팀의 완벽한 성공으로 이어졌습니다. 이들은 2시간 28분 만에 모든 TTP를 실행하고 모든 호스트를 감염시킬 수 있었습니다.

시나리오 2 - 사고 대응을 위한 탐지 및 제로 트러스트 세분화: 이 모델에는 일루미오가 배포되었지만 처음에는 가시성 모드에서 SIEM 시스템에 경보를 제공했으며, 이 시스템은 EDR, 액티브 디렉토리, Sysmon 등으로부터 이벤트 데이터를 수집하고 있었습니다. 비정상적인 활동이 감지되면 블루팀은 격리 정책을 배포했습니다. 공격은 38분 만에 중단되었습니다.

시나리오 3 - 랜섬웨어가 사용하는 잘 알려진 포트를 선제적으로 차단하는 탐지 및 제로 트러스트 세분화: 이 시나리오에서는 랜섬웨어가 사용하는 일반적인 포트를 일루미오가 차단하여 측면 이동을 줄였습니다. 공격은 24분 후에 호스트 2곳만 손상된 채로 중단되었습니다.

시나리오 4 - 탐지 및 제로 트러스트 세분화로 전체 애플리케이션 링 펜싱을 선제적으로 구현: 전체 애플리케이션 링 펜싱을 배포하여 랜섬웨어가 확산되지 않았고 공격이 10분 이내에 차단되었습니다. 이 결과는 사후 대응 배포보다 4배 더 빨랐습니다.

추가 테스트 결과, 일루미오 코어는 사전 구성된 EDR 경보가 공격자의 행동을 제대로 탐지하지 못하는 위치에서 EDR 사각지대를 커버하는 데 "특히 유용"한 것으로 나타났으며, 랜섬웨어를 차단하는 현대적이고 탄력적인 보안 전략을 구축하는 데 탐지 및 대응 기술과 제로 트러스트 세분화가 모두 중요하다는 점을 강조했습니다.

이러한 결과를 종합하면 다음과 같습니다. EDR은 제로 트러스트 세분화와 함께 사용해야 합니다. 랜섬웨어 및 기타 사이버 공격에 가장 효과적으로 대응할 수 있습니다.

"침해 가정" 및 "최소 권한만 허용한다는 제로 트러스트 사고방식을 채택함으로써" EDR과 함께 제로 트러스트 세분화를 배포하는 조직은 랜섬웨어에 대한 보호 기능을 대폭 향상시킬 수 있습니다. 이는 사이버 공격이 발생했을 때 운영이 가능하냐, 아니면 중대한 비즈니스 장애가 발생하느냐의 차이를 의미할 수 있습니다.

자세한 내용은 랜섬웨어 시나리오 에뮬레이션 2022: 평가 보고서 전문을 다운로드하세요.