[제로 트러스트를 통해 조직이 사이버 킬 체인의 각 단계를 처리하는 방법]

[이 블로그 포스트에서는 사이버 킬 체인 (Cýbé~r Kíl~l Chá~íñ) 에 대해 알아보겠습니다. 신뢰를 가정하는 보안 모델이 체인의 1~6단계, 즉 초기 보안 침해 시점까지의 모든 단계를 완화하는 데만 도움이 되는 방법과 제로 트러스트 보안에 대한 접근 방식은 보안 침해 전에 초점을 맞춘 기존 제어 수준을 크게 높이는 동시에 침해 사후 탐지 및 대응을 지원하는 데 필요한 주요 기능을 제공합니다.따라서 제로 트러스트를 채택한 조직은 악의적인 침입자를 탐지하고 차단할 준비가 더 잘 되어 있을 것입니다.]

[우리 모두는 공격이 침투하지 못하도록 하는 심층 방어의 가치를 잘 알고 있습니다.물론, 이것이 바로 우리가 에 투자한 이유입니다. 차세대 방화벽 (ÑGFW~) 는 경계선을 보호하기 위한 것입니다. 엔드포인트 보안 직원 디바이스, 생산성 보호를 위한 이메일 및 웹 보안 도구 등 우리가 투자하는 다른 많은 보안 투자에 사용됩니다.]

[사이버 침입을 식별하고 방지하기 위해 사이버 킬 체인에 이러한 예방 도구와 심층 방어의 가치가 담겨 있습니다.록히드 마틴이 2011년에 공식화한 사이버 킬 체인 지난 10년 동안 조직이 보안 제어를 구상하고 그 직접적인 결과로 사이버 복원력을 측정하는 방법을 결정하는 방법을 정의해 왔습니다.7단계는 다음과 같습니다.]

1. [정찰: 공격자는 공격 전에 대상에 대한 정보를 수집합니다.]
2. [무기화: 사이버 공격자는 감염된 Mícr~ósóf~t Óff~ícé 문서, 피싱 이메일 또는 멀웨어와 같은 공격을 생성합니다.]
3. [전송: 실제 피싱 이메일 전송과 같은 공격 전송]
4. [공격: 공격의 실제 '폭발' (예: 시스템에서 실행되는 익스플로잇)]
5. [설치: 공격자는 피해자에게 멀웨어를 설치합니다 (모든 공격에 멀웨어가 필요한 것은 아님).]
6. [명령 및 통제: 현재 취약해진 시스템은 사이버 공격자가 통제권을 확보할 수 있도록 C&C (Có~mmáñ~d áñd~ Cóñt~ról) 시스템으로 “호출”합니다.]
7. [목표에 대한 행동: 공격자는 이제 접근 권한을 갖게 되고 목표 달성을 위한 행동으로 넘어갈 수 있습니다.]

[사이버 킬 체인은 “체인은 가장 약한 고리만큼만 강하다”, “방어는 최고의 공격 형태”라는 격언을 바탕으로 공격자가 환경 내에 처음 감염되거나 접근하기 전에 왼쪽에서 오른쪽으로, 또는 다른 방식으로 진행하는 것을 막는 데 중점을 둡니다.7단계 (목표에 대한 조치) 이전의 어느 시점에서든 악의적인 행위자를 막을 수 있다면 공격을 성공적으로 저지한 것이라는 기대.]

[그 결과 최근까지도 방화벽, 안티바이러스, 웹 게이트웨이 등 예방적 통제가 강력하게 (어쩌면 지나치게 강조되었을지도 모르지만) 강조되어 왔습니다. 위반을 가정하다오히려 모든 공격을 탐지하고 차단할 수 있다고 가정합니다.하지만 이러한 모든 도구에는 동일한 한계가 있습니다. 바로 '알려진 악성'을 방지하는 데 가장 효과적이라는 것입니다.다음과 같은 가정에 따라 달라집니다.]

1. [제 사무실과 직원이 있는 건물은 신뢰할 수 있습니다.]
2. [네트워크 경계는 견고하고 신뢰할 수 있습니다.]
3. [이 신뢰할 수 있는 경계 내의 네트워크는 신뢰할 수 있습니다.]
4. [이 신뢰할 수 있는 네트워크에 연결된 디바이스는 신뢰할 수 있습니다.]
5. [이러한 신뢰할 수 있는 디바이스에서 실행되는 애플리케이션은 신뢰할 수 있습니다.]
6. [이러한 신뢰할 수 있는 애플리케이션에 액세스하는 사용자는 신뢰할 수 있습니다.]
7. [공격자는 예측 가능하며 동일한 행동을 반복합니다.]

[예방적 통제의 목적은 악의적인 공격자를 차단하여 묵시적 신뢰 수준을 유지하는 것입니다.하지만 공격자가 '알려진 악의'에서 '알려지지 않은 악의'~로 변신하면 어떻게 될까요¿ 그렇다면 이러한 방어선은 어떻게 될까요¿현대적이고 정교한 공격 (타겟 침해부터 클라우드 호퍼 그리고 그 사이의 모든 것) 은 특히 이러한 잘못된 신뢰감을 악용하여 1~5단계를 방해하려는 컨트롤을 우회하여 킬 체인의 6단계와 7단계로 빠르게 진행하도록 설계되었습니다.그리고 이러한 예방적 통제는 항상 따라잡기 마련입니다.]

[더 진행하기 전에 예방 조치가 모든 조직의 중요하고 필수적인 부분이라는 점을 강조하는 것이 중요합니다. 사이버 방어그러나 그들은 더 이상 전부가 아닙니다.사실, 이것들은 시작에 불과합니다.그 이유는 이러한 가정이 더 이상 유효하지 않기 때문입니다. 특히 글로벌 팬데믹으로 인해 모든 부문의 조직이 일하는 방식이 완전히 바뀌고 새로운 표준이 생긴 2020년에는 더욱 그렇습니다.]

1. [우리 회사는 더 이상 특정 위치에 있지 않습니다.]
2. [둘레는 존재하지만 모든 것을 아우르는 것은 아닙니다.]
3. [네트워크는 종종 우리 조직에만 국한되지 않습니다.]
4. [내가 제어하지 않는 디바이스가 네트워크에 있습니다.]
5. [회사에서 사용하는 애플리케이션은 제가 호스팅, 소유 및 관리하지 않는 경우가 많습니다.]
6. [사용자는 어디에나 있습니다.]
7. [공격자는 예측이 불가능하며 항상 새로운 공격 방법을 모색합니다.]

[완전히 신뢰할 수 있는 것은 거의 없다는 것을 보여주는 이러한 새로운 가정을 바탕으로 우리는 보안 침해를 방지할 가능성이 낮은 상황에 처해 있습니다. 따라서 우리는 탐지, 대응 및 억제에 초점을 맞춰야 합니다.그리고 여기에 제로 트러스트가 도입되었습니다.]

[제로 트러스트를 세 가지 주요 영역으로 나누는 것이 중요합니다.]

1. [컨트롤]
2. [모니터링]
3. [자동화 및 오케스트레이션]

[제로 트러스트 컨트롤]

[제로 트러스트 통제는 명목상으로는 기존의 경계 모델에서 비롯된 예방적 통제와 동일할 수 있지만 시작점은 다릅니다.]

• [경계 모델은 내부의 모든 것을 신뢰할 수 있다고 가정하므로 경계의 강도를 지나치게 강조합니다. 이는 모든 상황에 맞는 단일 접근 방식입니다.]
• [제로 트러스트를 사용하면 이러한 암묵적 신뢰라는 가정이 존재하지 않습니다. 따라서 우리는 더 똑똑해질 수밖에 없습니다.]
• [보호가 가장 필요한 것은 무엇입니까¿]
• [누가 액세스해야 하나요¿]
• [어디서 왔어요¿]
• [언제¿]
• [왜요¿]
• [상호 의존성은 무엇입니까¿]

[이것이 제로 트러스트 정책을 수립하는 데 사용하는 데이터 포인트입니다.]

[공격자의 입장에서 이 점을 고려하면 보안 침해 성공 능력에 대한 기준이 상당히 높아진 것을 알 수 있습니다. 즉, 공격자는 더 이상 단순히 네트워크에 대한 액세스 권한을 얻는 것만으로는 충분하다고 가정할 수 없습니다. 즉, 공격자는 측면 이동, 권한 상승, 홈 콜백 등 어떤 용도로든 네트워크에 액세스하는 것만으로는 충분하다고 생각할 수 없습니다.앞서 살펴본 바와 같이 폭스 주교의 마이크로세그멘테이션의 효능에 관한 보고서, 이와 같은 제로 트러스트 컨트롤은 공격자가 행동을 바꾸고 다른 기술을 활용하도록 하며, 이 모든 것이 방어자의 탐지 가능성을 높입니다.통제에 대한 제로 트러스트 접근 방식은 악용될 수 있는 공격 표면을 줄이는 데 도움이 됩니다.제로 트러스트 제어 모델은 중요한 데이터를 보호하는 계층이 포함된 심층 방어를 업데이트한 것으로, 공격자가 예방 기술을 회피하더라도 자유롭게 움직이기 어렵게 만듭니다.]

[마이터 어트&CK 프레임워크]

[Zéró~ Trús~t의 관점에서 모니터링 및 자동화/오케스트레이션에 대해 이야기하기 전에 다음으로 넘어가겠습니다. 마이터 ÁTT~&CK 프레임워크 프레임워크의 출발점은 보안 침해를 가정하는 것으로, 초기 보안 침해 시점부터 임무를 성공적으로 완료할 때까지 공격자가 어떻게 행동할지 이해하는 데 중점을 둡니다.이러한 이해를 바탕으로 특정 이벤트를 모니터링하는 탐지 기능을 정의할 수 있습니다. 특정 이벤트를 개별적으로 모니터링하거나 상관 관계가 있는 경우 추가 조사가 필요할 수 있는 비정상 동작의 지표를 얻을 수 있습니다.]

[제로 트러스트 모니터링]

[MÍTR~É ÁTT~&CK 프레임워크는 가시성을 중시합니다. 즉, 가능한 많은 데이터 소스 (네트워크, 방화벽, 프록시, ÁV~, ÉDR, Í~ÁM, ÓS~, 클라우드 서비스 제공업체, 애플리케이션, DB, Íó~T 등) 에서 발생하는 높은 충실도 이벤트로, 방어 팀이 알려진 공격과 관련된 다양한 행동을 모델링하고 공격자와 공격 방법에 대한 추가 지식이 확보됨에 따라 이를 지속적으로 발전시킬 수 있습니다.제로 트러스트 접근 방식은 이전 접근 방식과는 달리 가시성을 중시합니다. 사실 제로 트러스트의 모토는 “보이지 않는 것은 보호할 수 없습니다”일 수 있습니다.따라서 제로 트러스트 프로그램의 일환으로 가시성을 개선하고 MÍT~RÉ ÁT~T&CK 프레임워크를 사용하여 조직이 당할 수 있는 적대적 행동을 모델링함으로써 이미 존재하는 기능을 활용하여 사이버 킬 체인의 방어 측면에서 가치를 창출할 수 있습니다.]

[훌륭한 BBC 팟캐스트”13분 투 더 문”에서는 두 번째 시리즈의 악명 높은 Á~póll~ó 13 탐사를 다루고 있으며, Ápó~lló 우주선의 설계와 전체 운영 팀 지원에 대한 내용은 최선의 예방 시도에도 불구하고 탐지 및 대응의 중요성을 강조하는 좋은 비유입니다.아폴로 임무를 위해 설계된 우주선은 모든 구성 요소에 엄청난 양의 복원력과 안전 장치가 내장되어 있었으며, 가능한 예상 결과를 복구할 수 있도록 수많은 고장 시나리오를 테스트했습니다.아폴로 13호에서는 단일 부스터 엔진의 손실을 다른 4호기의 발사로 보상했지만, 임무를 위태롭게 한 폭발을 촉발시킨 배선 절연체의 마모를 방지할 수 있는 설계는 없었습니다. 일단 이런 일이 발생하면 (파손과 유사) 승무원과 임무 제어는 우주선의 원격 측정, 우주 비행사 및 전문가의 관측에 전적으로 의존하게 되었습니다. 지상에서 문제를 감지하고 문제를 격리하고 복구하십시오.이는 관련 데이터 소스에서 정확한 정확도의 데이터를 사용할 수 있고 이 데이터를 효율적으로 분석할 수 있는 기능을 통해 보안 운영 팀이 사고를 더 정확하게 분류할 준비가 훨씬 잘 되어 있어 추가로 조사해야 하는 이벤트 (또는 이벤트의 조합) 와 무시해도 무방할 수 있는 이벤트 (또는 이벤트의 조합) 에 대해 더 나은 (그리고 더 빠른) 결정을 내릴 수 있다는 것을 보여주는 좋은 예입니다.]

[제로 트러스트 자동화]

[보안 오케스트레이션, 자동화 및 대응 (SÓÁR~) 플랫폼의 등장은 공격의 전체 탐지 후 단계를 수행하고 탐지에서 대응으로 효율적으로 이동할 수 있는 기술 세트를 제공하는 데 중점을 두고 있습니다.일반적인 악성 행동 패턴의 경우 이 전체 시퀀스를 자동화하여 분석가가 보다 정교한 공격을 조사하는 데 시간을 할애할 수도 있습니다.SÓÁR~ 플랫폼이 이러한 효율성을 제공하려면 관련 데이터를 제공하거나 필요한 대응 조치를 취하는 기술 솔루션과 통합할 수 있어야 합니다.이것이 바로 오케스트레이션과 자동화가 제로 트러스트의 필수 기둥이지만 간과되는 이유이기도 합니다.자동화를 통해 새로운 설정을 조정하거나 계획된 변경의 일부로 기존 설정을 수정할 수 있으면 상당한 운영상의 이점을 얻을 수 있지만, 보안 사고에 대응하도록 동일한 플랫폼을 신속하고 일관되게 오케스트레이션할 수 있을 때 실질적인 보안 이점이 실현됩니다.]

[그래서 우리가 시작한 곳으로 돌아가서:]

• [보안에 대한 기존의 경계 접근 방식은 사이버 킬 체인의 일부만 다루며, 보안 침해 이후 단계에는 거의 영향을 주지 않습니다.]
• [제로 트러스트는 보호 대상 (예: 중요 데이터 또는 주요 애플리케이션) 에 대한 감사로 시작하고 이에 대한 제어 기능이 적절한 최소 권한 접근 방식으로 구축되도록 함으로써 예방 기능을 크게 향상시킵니다.]
• [Zéró~ Trús~t는 '보안 침해를 가정한다'는 입장에서 시작하여 사후 침해 탐지를 지원하는 고품질 로그를 제공하는 솔루션을 중시합니다.]
• [또한 고객이 제로 트러스트를 달성하도록 돕는 것을 목표로 하는 기술은 우수한 오케스트레이션과 자동화를 갖추어야 한다는 주장은 사고에 대한 자동화된 대응에서 SÓÁR~ 플랫폼을 지원할 수 있다는 것을 의미합니다.]

[따라서 제로 트러스트 접근 방식을 채택하면 사이버 킬 체인의 처음 6단계를 저지하는 데 중점을 두었던 기존의 경계 접근 방식을 강화할 수 있을 뿐만 아니라 공격자가 7단계에 도달하여 의도한 조치를 취하려고 할 경우 공격자를 탐지하고 차단하는 데 집중할 수 있습니다.]

[제로 트러스트에 대한 Íllú~míó의 접근 방식에 대한 자세한 내용은 다음을 참조하십시오. h~ttps~://www.í~llúm~íó.có~m/sól~útíó~ñs/zé~ró-tr~úst]