제로 트러스트 엔드포인트 보안을 통한 보안 침해 추정

EMEA 시스템 엔지니어링 담당 디렉터

May 5, 2023

23 최소 읽기

“보안이 마련되었는데 어떻게 했을까요? 랜섬웨어 통과할 수 있을까요?”— 중대한 사이버 보안 침해 이후 많은 이사회 위기 회의를 시작하기도 했던 가슴 아픈 질문입니다.많은 기업이 이처럼 중요한 시기에 브랜드 평판, 규정 준수 벌금, 투자자 신뢰 상실, 주가 변동, 심지어 몸값 지불 고려 사항 등 많은 위험에 처해 있습니다.

사실, 이 질문은 결코 어색하지 않습니다.엔드포인트 및 경계 보안 솔루션은 비즈니스 네트워크 전반에 걸쳐 어디에나 있습니다.그러면 이런 의문이 생깁니다. 랜섬웨어는 여전히 어떻게 침투하고 있으며, 가장 중요한 것은 왜 아직도 랜섬웨어가 빠르게 확산되어 놀라운 속도로 대혼란을 야기할 수 있는가입니다.

이 기사에서는 이러한 질문을 살펴볼 것입니다.또한 시대를 지배해 온 전통적인 접근 방식에 대해서도 다시 생각해 볼 것입니다. 엔드포인트 보안 지금까지의 이야기.

스토리: 같은 대본, 다른 배우들

대부분의 경우 위협 행위자들의 접근은 섬뜩할 정도로 예측 가능한 결말과 함께 친숙한 줄거리를 만들며, 일반적으로 다음과 같이 진행됩니다.

최종 사용자의 엔드포인트 (자격 증명) 또는 웹 프런트 엔드 서버와 같이 활용도가 낮은 과일을 대상으로 합니다.
초기 절충을 위해 직접 및 간접 프로빙과 소셜 엔지니어링을 함께 사용하십시오.
그 밖에 액세스할 수 있는 것이 무엇인지 알아보고 손상된 시스템에서 피벗을 할 수 있습니다.
권한을 에스컬레이션하여 다른 머신으로 이동할 수 있습니다.
가치가 높은 시스템으로 계속 확산한 다음 악의적인 목표를 완료하십시오.
헹구고 반복하세요

이 이야기에서는 모두가 대상입니다.

예를 들어, 고객에게 중요한 비즈니스 소프트웨어를 제공하기 위해 원격으로 작업하는 계약 개발자를 예로 들어 보겠습니다.이들은 일반적으로 매우 촉박한 마감일까지 작업하기 때문에 때로는 마감일 전에 프로젝트를 완료하기 위해 최선을 다해야 한다는 압박을 받습니다.이러한 유형의 엔드포인트 사용자는 보안이 침해될 경우 엔드포인트가 소스 코드 제어 (CI/CD) 파이프라인에 침투하는 데 사용될 수 있기 때문에 공급망 공격의 이상적인 대상입니다.표적 사용자의 또 다른 예로는 이동 중에 회의 및 이벤트에 자주 참여하는 영업 및 마케팅 임원이 있습니다.또한 보호되지 않은 공용 네트워크에 액세스할 가능성이 높기 때문에 소셜 엔지니어링 및 피싱 공격의 위험에 노출됩니다.

이러한 사용자와 엔드포인트는 일단 보안이 침해되면 위협 행위자가 피봇 포인트를 사용하여 공격을 계속할 수 있습니다.그런 다음 사용자는 데이터베이스 시스템, 문서 관리 시스템 또는 고객 관계 관리 시스템과 같은 중요한 시스템으로 이동하기 전에 더 높은 권한의 계정에 접속하여 다른 컴퓨터로 이동하려고 시도합니다.이러한 자산에는 조직의 귀중한 비즈니스 및 개인 정보가 들어 있는 고부가가치 자산인 경우가 많습니다.

현상 유지: 사이버 방어 피로

위협 행위자는 정교한 코드 주입과 고도로 회피적인 랜섬웨어 페이로드를 활용하는 파일리스 멀웨어부터 조직이 매우 오래되었지만 중요한 비즈니스 코드를 호스팅하는 레거시 시스템에 의존하기 때문에 여전히 유효한 오래된 취약점에 이르기까지 다양한 기술을 보유하고 있습니다.때로는 공격자가 우위를 점하고 있는 것처럼 보일 수 있습니다.

방어 진영은 공격 주체가 무더기로 쏟아져 나와 악의적인 무기가 점점 더 많아지고 있기 때문에 그럴 수도 있습니다.속담처럼, 방어 진영은 항상 제대로해야 하지만 공격자는 한 번만 제압하면 됩니다.이 때문에 수비수들은 대부분의 시간 동안 압박을 받게 됩니다.

더 이상 요점을 말씀드리자면, Brute Ratel 페이로드와 관련 MITRE TTP 맵의 예시를 통해 방어 진영이 단 하나의 페이로드로 어떤 상황에 맞서는지 보여드리겠습니다.그리고 이러한 기능을 가진 다양한 멀웨어 변종이 있습니다.

이미지에서 맨 왼쪽에 있는 작은 점은 Brute Ratel 페이로드입니다.오른쪽에는 이 단일 페이로드가 시스템을 감염시키고 탐지를 회피하며 악의적인 목표를 수행하기 위해 사용할 수 있는 다양한 전술과 기법이 나와 있습니다.

이는 안티바이러스 (AV), 차세대 AV (NGAV), 엔드포인트 보호 플랫폼 (EPP), 엔드포인트 탐지 및 대응 (EDR) 등 엔드포인트 보안 도구의 놀라운 발전에도 불구하고 보안 침해 및 랜섬웨어 사례가 계속 증가하는 이유 중 일부를 보여줍니다. 이러한 도구는 시그니처 분석, 애플리케이션/프로세스 제어, 휴리스틱, 행동 분석, 익스플로잇 방지, 샌드 (Sandor Prevention) 과 같은 훨씬 더 긴 보호 기능과 결합되었습니다. 복싱, 그리고 목록은 계속 이어지는데, 지금까지는 있었던 것처럼 보이는 실제 문제를 해결할 수 있을 것입니다.악화되었습니다.지난 몇 년간 랜섬웨어가 확산되면서 문제의 심각성이 입증되었습니다.

그렇다면 멀웨어가 여전히 침투할 수 있는 이유는 무엇일까요?

여기에는 여러 가지 이유가 있을 수 있습니다.기존의 탐지 우선 기반 시스템이었던 기존 보안이 위협을 완전히 놓친 경우도 있었습니다.이는 제로데이 취약점이나 고도의 회피 기법 때문일 수 있습니다.또한 필요한 보안 모듈이 제대로 구성되지 않았거나, 예산 제약이나 일상적인 비즈니스 사용 사례를 가로막는 오탐지로 인해 올바른 모듈이 전혀 구현되지 않았을 수도 있습니다.

최종 사용자 및 공급업체 측 취약점의 위협과 현대 네트워크 (하이브리드 환경) 의 날로 증가하는 복잡성 등 공격 기능이 거의 끝없이 늘어나는 상황에서 무언가 잘못될 수밖에 없습니다.이것이 바로 보통 그렇게 하는 이유이기도 합니다.

사이버 레질리언스: 제로 트러스트 엔드포인트 보안

그럼 다음은 뭘까요?협력 보안 패러다임에 뛰어드세요!이는 기존의 탐지 엔드포인트 보안과 새로운 제로 트러스트 엔드포인트 보안 접근 방식을 결합한 것입니다.

사전 예방적 보안을 기반으로 하는 새로운 보안 패러다임이며 제로 트러스트 원칙 네트워크 및 시스템을 변경할 필요 없이 기존 보안 도구와 함께 작동합니다.이 기능은 지능적이고 확장 가능한 중앙 뇌가 중앙 집중식으로 분석하는 멀티 플랫폼 엔드포인트 데이터를 사용합니다.

몇 분 만에 이루어지는 무중단 배포로 시작됩니다.그런 다음 일반적으로 모니터링되는 남북 통신 외에도 동서 통신에 대한 통찰력을 제공합니다.이는 조직이 다양한 운영 체제, 플랫폼 및 위치 전반의 통신을 동시에 확인하고 추적할 수 있어야 하기 때문에 필요합니다.이 모든 것이 추가 시스템 및 네트워크 변경 없이 가능합니다.여기서는 퍼블릭 클라우드 자산을 비롯한 다양한 엔드포인트와 서버 워크로드를 지정된 위치 이름별로 논리적으로 (네트워크 변경 없이) 그룹화한 예제를 볼 수 있습니다.

엔드포인트는 진공 상태가 아니기 때문에 다양한 시스템과 통신합니다.심지어 다른 엔드포인트와 통신을 시도할 수도 있지만, 어떤 경우에는 이러한 통신이 실제로 필요하거나 바람직하지 않을 수 있습니다. 측면 이동.따라서 엔드포인트 통신에 대한 가시성을 확보하는 것이 매우 중요한 기능입니다.

엔드포인트는 서버 및 워크로드와도 통신합니다.이들 중 일부는 데이터 센터 내 조직이 통제할 수 있는 반면, 다른 일부는 타사 클라우드 SaaS 서비스일 수 있습니다.엔드포인트와 엔드포인트가 연결하는 서버의 모든 위험을 이해하려면 이러한 커뮤니케이션에 대한 가시성을 확보해야 합니다.

위에서 설명한 바와 같이 가시성은 기존 엔드포인트 보안 및 EDR의 탐지 실패 발생 시 이를 억제하는 상시 시행의 필수 전조입니다.적용 기능에는 멀웨어 콜백 통신을 차단하기 위한 ID 및 도메인 기반 정책, 다음에 대한 프로세스 기반 규칙이 포함됩니다. 나노 세분화, 방화벽 및 취약성 위협 기반 정책을 통한 통신 제어.또한 이러한 접근 방식은 다음과 같은 사항이 존재하는지 여부를 의미하기도 합니다. 제로 트러스트 정책 또는 거부 목록 경계, 보안 정책은 트래픽 인텔리전스를 기반으로 정의되고 제공됩니다.이 인텔리전스는 우리가 어떤 시스템을 보유하고 있고, 어떤 기능을 하는지, 그리고 이를 바탕으로 시스템을 적절하게 보호하는 방법에 관한 것이어야 합니다.또한 위치 인식은 기업 네트워크 내부 및 외부에서 정책 유연성을 향상시킵니다.이 모든 것이 윈도우, 리눅스, 맥, 유닉스, 클라우드, 컨테이너 등 다양한 플랫폼에 균일하게 적용되어야 합니다.

방어자의 관점에서 이러한 목표를 달성하려면 효과적으로 협업할 수 있는 팀과 도구가 필요합니다.보안 침해를 자처하는 조직은 탐지에만 초점을 맞추기보다는 사이버 복원력에 초점을 맞출 가능성이 높습니다.이들은 탐지 못지않게 격리 전략을 중요하게 생각합니다.

Illumio 엔드포인트는 기존 탐지 도구를 보완합니다.

의 일환으로 일루미오 제로 트러스트 세그멘테이션 플랫폼, 일루미오 엔드포인트 기존 탐지 보안 도구를 보완하는 동시에 가시성과 측면 이동 방지 기능의 가장 큰 격차를 메울 수 있도록 설계되었습니다.

이러한 유형의 격리 접근 방식은 최근에 다음과 같은 방법으로 테스트되었습니다. 비숍 폭스.여러 번의 공격 에뮬레이션을 통해 Illumio를 사용하여 보안 침해가 최대 4배 더 빠르게 탐지되었음을 확인했습니다. 제로 트러스트 세그멘테이션 공격자는 이러한 격리 방법을 우회해야 했기 때문에 탐지 도구가 탐지할 수 있는 노이즈가 더 많아졌기 때문입니다.

전반적으로 엔드포인트의 세분화는 긍정적인 결과로 이어집니다. 보안 태세 이는 기존 보안 투자와 협력하여 훌륭한 엔드포인트 스토리를 만들 수 있습니다!

Illumio 엔드포인트에 대해 더 알아보고 싶으신가요? 오늘 저희에게 연락하세요 무료 상담 및 데모를 제공합니다.