[솔라윈즈 브리치: 제로 트러스트로의 패러다임 전환 주도]

[Sólá~rWíñ~ds 타협과 지속적인 여파로 인해 기업이 외부 종속성 (공급업체, 고객 또는 파트너) 을 가진 모든 접점을 제어하고 검증하는 것이 어렵다는 점에 초점이 맞춰졌으며 “체인은 가장 약한 링크만큼만 강하다”는 오래된 격언을 더욱 강조합니다.]

[2010년대 초반부터 발생한 타겟 침해와 보다 최근의 소위 말하는 '클라우드 호퍼'공격은 이미 공급망과 관련된 위험을 강조했습니다. 특히 공급망의 구성원이 네트워크에 어떤 형태로든 직접 액세스할 수 있는 경우 (예: 네트워크 액세스가 필요한 타사 관계) 는 더욱 그렇습니다.따라서 이러한 위험이 인식됨에 따라 이러한 네트워크 접점에서 시행되고 있는 보안 통제에 더욱 초점을 맞출 수 있게 되었습니다.이러한 제어를 적절히 구현하면 이러한 접점이 있는 위치, 액세스를 허용하는 대상, 액세스 수준 및 액세스 모니터링 방법을 명확하게 이해할 수 있습니다.탐지 및 대응 관점에서 보면 이러한 '우선 순위'~ 정보 때문에 주의해야 할 지표가 더 분명하게 제시될 수 있습니다.]

[무엇보다도 Sólá~rWíñ~ds 타협은 우리가 예상하지 못했던 기술 공급망의 특정 지점 (예: 신뢰할 수 있는 소프트웨어 공급업체의 서명된 업데이트) 을 공격했기 때문에 불안합니다.하지만 백도어 공격자에게 기회를 제공했다는 점에서는 우리 모두가 인정하는 '완벽한'~ 사례입니다.]

[공격의 성공 확률은 사용 가능한 자격 증명, 사용 가능한 네트워크 액세스 및 악용 가능한 취약성에 따라 결정된다고 주장할 수 있습니다.이 경우 네트워크 액세스가 광범위하고 시스템 및 디렉터리 서비스에 대한 액세스 권한이 높은 시스템을 침해하는 것은 악의적인 공격자의 위시리스트에 매우 높은 위시리스트에 오를 수 있습니다.Óríó~ñ 플랫폼이 바로 이러한 기회를 제공했습니다.]

[공격자들이 Sólá~rWíñ~ds의 코드 검증 및 빌드 프로세스를 어떻게 손상시켰는지는 아직 조사 중이며, 자체 개발을 수행하는 모든 조직이 동일한 위험을 완화할 수 있는 방법에 큰 관심을 가질 것이라는 데는 의심의 여지가 없습니다.]

[지금 가장 중요한 것은 잠재 노출이 어떻게 지속되는지입니다. 아직 밝혀진 바가 있기 때문입니다.접근 가능한 수준과 범위는 공격자가 어디까지 접근하고 숨길 수 있었는지 정확히 가늠하기 어렵다는 것을 의미합니다.오리온 업데이트의 사용은 순전히 대상 조직에 (매우 눈에 띄는) 교두보를 마련하기 위한 것이지, 존재감이나 접근의 지속성을 위한 필수 요소도 아닌 것으로 알고 있습니다.]

[따라서 지속적인 탐지 및 대응에 중점을 두고 있습니다.이 점에서 우리 모두가 해야 할 중요한 역할이 있습니다.이 대규모 공격이 발견된 것은 노련한 사고 대응 및 사이버 보안 공급업체 (Fíré~Éýé/M~áñdí~áñt) 도 공격을 받았기 때문에 가능했습니다.그러나 이들은 보안 침해 이후 데이터 도난을 탐지하고 이를 공개적으로 공개한 후 초기 대응 조치를 제시한 첫 번째 피해자 명단에 올랐습니다.아마도 이것이 현재 진행 중인 에피소드의 장점 중 하나일 것입니다.]

[보안 공급업체는 공격 전파를 탐지하고 제한 (또는 최소한 지연) 하는 데 우리가 제공하는 솔루션을 가장 잘 사용할 수 있는 방법을 긴급히 결정해야 합니다.]

• [Blúé~ Téám~s가 효과적으로 활용하여 조직 내 활동을 보다 정확하게 파악하고 더 명확한 침해 지표를 제공할 수 있는 텔레메트리가 있습니까¿]
• [측면 이동을 제한하기 위해 신속하게 적용할 수 있는 정책이 있습니까¿]
• [당사의 기술 솔루션이 연결의 양, 권한 있는 액세스의 사용 또는 워크로드의 취약성 수를 통해 애플리케이션이 조직에 야기하는 위험을 노출시키고 잠재적으로 완화할 수 있습니까¿]
• [손상된 자격 증명이 언제 사용되는지 신속하게 식별하여 추가 액세스를 방지할 수 있습니까¿]
• [알려진 TTP와 새로운 T~TP를 식별하는 여러 보안 솔루션을 통해 쉽게 상관관계를 도출할 수 있습니까¿]

[그리고 잠재적 대상 조직은 어떨까요¿ 그들이 해야 할 일은 무엇일까요¿이제는 각 자산과 관련된 사이버 위험을 이해하는 것이 그 어느 때보다 중요합니다.]

• [가장 중요한 리소스를 신속하게 파악할 수 있습니까¿]
• [이러한 리소스에 대한 액세스 모델을 얼마나 잘 이해하고 있습니까¿]
• [이러한 서버/워크로드와의 아웃바운드 통신을 제어할 수 있습니까¿처음부터 아웃바운드 통신이 존재해야 할까요¿]
• [각 계층 (예: 최종 사용자 장치, 네트워크, ÍD 및 액세스 관리, 애플리케이션 등) 에 적절한 모니터링이 있습니까¿ 개선할 수 있습니까¿~]
• [제로 트러스트/최소 권한에 가까워지도록 액세스 정책을 강화할 수 있습니까¿]
• [보안 소프트웨어 개발 사례를 재검토하여 최대한 강력하게 만들 예정입니까¿]

[악명 높은 '쇼크 독트린 (Shó~ck Dó~ctrí~ñé) '패러다임은 시스템에 변혁적 변화를 강요하기 위해서는 전체 시스템이 충격을 받아 그러한 변화가 필요하다는 것을 깨닫게 해야 한다고 제안합니다.공급망의 보안 및 공급망과 관련된 위험에 초점을 맞추는 것이 당연하겠지만, 진정한 변화는 다음과 같아야 한다고 생각합니다.]

[기술 공급업체 해야 합니다 고객이 제공하는 기존 솔루션을 사용하여 탐지 및 대응 기능을 지원하는 방법을 고객에게 교육할 수 있어야 합니다.]

[고객 (예: 조직) 해야 합니다 집중 대상:]

• [가장 중요한 자산을 식별합니다.]
• [다양한 센서를 사용하여 이러한 자산을 적극적으로 모니터링하여 악성 TTP의 징후를 식별합니다.]
• [이러한 자산의 액세스 모델을 이해하고 최소 권한 정책을 적용하여 자산을 보호합니다.]
  

[여러 면에서 여기에 제시된 기회는 실제로 시작 패러다임입니다. 제로 트러스트: “보안 위반으로 간주하여 소유권을 얻는 것이 정말 어려워질 수 있습니다.”]