일루미오 인사이트로 클라우드에서 측면 움직임 감지 및 억제

클라우드 도입이 급증하면서 새로운 위협도 함께 증가하고 있습니다.  

공격자는 단순히 "침입"만 하는 것이 아닙니다. 이들은 네트워크를 최대한 빠르게 이동하며 방대한 클라우드 인프라에서 고부가가치 자산을 찾아냅니다. 이러한 수법을 측면 이동이라고 하며, 탐지하고 차단하기 가장 어려운 보안 침해 중 하나입니다.

기존의 위협 탐지 및 대응만으로는 충분하지 않습니다. 경보 피로, 사일로화된 도구, 사각지대로 인해 보안팀은 허둥대는 반면 악의적인 공격자는 동서 트래픽을 통해 조용히 숨어들고 있습니다.  

좋은 소식은 인공지능(AI)을 기반으로 하는 차세대 탐지 및 대응 도구가 게임의 판도를 바꾸고 있다는 점입니다.

이 글에서는 횡방향 이동이 무엇인지, 오늘날의 위협 환경에서 횡방향 이동이 왜 그렇게 중요한 위험인지, AI가 이상 징후를 탐지하고 공격자를 차단하는 데 어떻게 도움이 되는지, Illumio Insights가 더 스마트한 방법인 이유를 자세히 설명합니다.

측면 이동이란 무엇인가요?

공격자가 사용자 환경에 액세스하는 경우, 일반적으로 첫 번째 단계는 데이터를 유출하거나 랜섬웨어를 실행하는 것이 아닙니다.  

대신, 그들은 주위를 둘러봅니다. 이들은 연결을 검색하고 권한 상승을 시도하며 보안 제어의 허점을 악용하여 사용자 환경에 더 깊숙이 침투합니다.

이는 초기 발판이 마련되면 워크로드 전반에서 옆으로 이동하는 측면 이동입니다.

잠기지 않은 창문을 통해 침입하는 도둑이라고 생각하면 됩니다. 그들은 첫눈에 반하지 않습니다. 그들은 문을 탐색하고 테스트한 후 결국 뒷방에서 가장 귀중한 물건이 있는 금고를 찾습니다.

클라우드 환경에서는 그 '안전'이 '안전'할 수 있습니다:

• 고객 PII가 포함된 데이터베이스
• 비밀과 토큰이 있는 데브옵스 파이프라인
• 비즈니스 운영에 중요한 SaaS 통합

공격자의 목표는 지속성과 특권입니다. 측면 이동은 두 가지 모두에 이르는 길입니다.

클라우드에서 측면 움직임을 감지하는 것이 어려운 이유

보안팀은 남북 트래픽(사용자와 인터넷 간의 입출입 흐름)을 포착하는 데 자신감을 가지고 있습니다. 하지만 하이브리드 환경 내에서 워크로드 간에 발생하는 트래픽인 동서 트래픽은 또 다른 이야기입니다.

클라우드에서 측면 이동을 감지하는 것이 어려운 이유는 다음과 같습니다:

• 사각지대가 늘어납니다. 끊임없이 변화하는 클라우드 워크로드는 끊임없이 나타나고 사라집니다. 보안이 일관성 있게 변화하지 않으면 공격자는 그 틈새를 악용할 수 있습니다. ‍
• 알림이 쌓입니다. 수천 개의 신호를 생성하는 도구는 종종 노이즈와 실제 새로운 위협을 구분하지 못합니다. 이로 인해 보안 운영 센터(SOC) 팀의 알림 피로도가 높아지고 중요한 알림을 놓칠 가능성이 높아집니다. ‍
• 이상 징후는 눈에 잘 띄지 않는 곳에 숨어 있습니다. 스마트 행동 분석이 없으면 의심스러운 사용자 활동은 정상 트래픽과 똑같이 보입니다. 공격자는 클라우드 환경의 그림자 속에 오랫동안 숨어 탐지를 피할 수 있습니다.  ‍
• 신원 도용. 인증 정보를 탈취한 위협 공격자는 기존의 방어 체계를 우회하여 내부자처럼 행동할 수 있습니다. 로그인은 합법적으로 보이지만 공격자가 보안을 뚫고 들어올 수 있습니다. ‍
• 레거시 도구로는 따라잡을 수 없습니다. 레거시 탐지 및 대응 도구는 최신 클라우드 인프라 전반에서 횡방향 이동을 탐지하도록 설계되지 않았습니다. 이로 인해 공격자가 보안 공백 및 불일치를 발견하고 악용할 수 있습니다.

그 어느 때보다 많은 보안 지출에도 불구하고 조직은 하이브리드 클라우드 보안에 어려움을 겪고 있습니다. 악의적인 공격자들이 몇 주 동안 탐지되지 않고 은신하면서 파괴적인 공격을 준비할 수 있는 것은 당연한 일입니다.

오늘날 가장 인기 있는 탐지 및 대응 도구

조직은 위협 탐지 및 대응을 위해 여러 범주의 도구에 의존합니다.

SIEM  

SIEM(보안 정보 및 이벤트 관리)은 환경 전반에서 로그와 원격 분석을 수집합니다.  

방대한 양의 데이터를 보관하고, 알림을 상호 연관시키고, 규정 준수를 지원하는 데 탁월합니다. 하지만 실제로 SIEM은 종종 속도에 어려움을 겪습니다.  

분석가가 로그를 분석할 때쯤이면 악의적인 공격자는 이미 권한을 상승시키고 측면으로 이동했을 수 있습니다.  

SIEM은 반응형입니다. 실시간 모니터링에서 일어나는 일이 아니라 사후에 일어난 일을 알려줍니다.

EDR 및 XDR  

EDR(엔드포인트 탐지 및 대응) 도구는 프로세스, 파일 변경, 서버 및 디바이스의 사용자 활동 추적과 같은 엔드포인트 활동에 중점을 둡니다.

랜섬웨어나 노트북에 멀웨어를 심는 피싱 공격에 매우 효과적입니다. 그러나 클라우드 인프라 전반에서 측면 이동이 발생하는 경우 EDR이 엔드포인트 너머의 공격자를 항상 추적할 수는 없습니다.  

XDR(확장 탐지 및 대응) 플랫폼은 이메일, ID, 엔드포인트 전반에 걸쳐 가시성을 확장하지만 클라우드에서 횡방향 트래픽을 탐지하는 데는 여전히 사각지대가 존재합니다.

NDR  

NDR(네트워크 탐지 및 대응) 솔루션은 행동 분석과 머신 러닝을 적용하여 네트워크 흐름을 모니터링하고 트래픽의 이상 징후를 탐지합니다. 특히 비정상적인 측면 통신이나 숨겨진 명령 및 제어 채널을 발견하는 데 강합니다.  

그러나 워크로드가 지속적으로 증가 및 감소하는 탄력적이고 임시적인 클라우드 환경에서는 규모와 복잡성으로 인해 NDR에 어려움을 겪을 수 있습니다. 공격자는 네트워크 트래픽의 정상적인 패턴에 섞여 가장 똑똑한 필터도 통과할 수 있습니다.

IAM 및 PAM

대부분의 측면 이동은 손상된 자격 증명에 의존하기 때문에 IAM(ID 및 액세스 관리) 및 PAM(권한 액세스 관리) 도구가 매우 중요합니다. 보안 제어를 시행하고, 최소 권한을 관리하며, 확인되지 않은 권한 상승을 방지하는 데 도움이 됩니다.

하지만 공격자가 유효한 계정을 탈취한 후 어떤 행동을 하는지에 대한 가시성은 제공하지 않습니다. 즉, 초기 악용은 차단할 수 있지만 일단 접근 권한이 확보된 후에는 위협 행위자의 다운스트림 활동을 놓치는 경우가 많습니다.

SOAR  

SOAR(보안 오케스트레이션, 자동화 및 대응) 플랫폼은 워크플로우를 자동화하여 클라우드 침해 대응 속도를 높이도록 설계되었습니다. SIEM, EDR 및 기타 도구와 통합되어 위협이 감지되면 플레이북(예: 계정 비활성화 또는 호스트 격리)을 트리거합니다.  

하지만 SOAR의 효과는 전적으로 이 기능을 제공하는 탐지 품질에 달려 있습니다. 업스트림 도구가 측면 이동에서 감지된 이상 징후를 확인하지 못하면 SOAR가 이에 대응할 수 없습니다.

CSPM 및 CNAPP

CSPM(클라우드 보안 태세 관리) 및 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼) 와 같은 클라우드 네이티브 도구는 클라우드 환경에서의 구성 및 규정 준수에 중점을 둡니다. 서비스 및 워크로드 전반에 걸쳐 보안 기준선을 설정하여 위험을 줄입니다.  

잘못된 구성을 방지하는 데는 필수적이지만, 대부분 하이브리드 클라우드에서 횡방향으로 이동하는 활성 위협 행위자를 차단하도록 설계되지 않았습니다.

AI가 클라우드 탐지 및 대응을 강화하는 방법

각 클라우드 탐지 및 대응 도구는 퍼즐의 한 조각을 제공합니다. 방대한 데이터 세트를 분석하고, 맥락에서 이상 징후를 탐지하고, 하이브리드 환경 내에서 악의적인 공격자가 어떻게 움직이는지 파악하는 기능인 상관관계가 부족합니다.  

바로 이 지점에서 AI가 그림을 바꿉니다.

네트워크 보안에서 AI로의 전환은 필수적입니다. 공격자들은 이미 자동화하고 있습니다. 방어자는 AI를 활용하여 반격해야 합니다.

AI는 보안 팀에 빠르고 자동화된 방법을 제공합니다:

• 방대한 양의 데이터를 분석하세요. AI는 인간 팀이 관리할 수 없는 규모로 로그, 흐름, 원격 분석을 처리할 수 있습니다. ‍
• 네트워크를 실시간으로 모니터링하세요. 피싱 공격, 측면 이동 및 기타 행동이 발생했을 때 이를 탐지할 수 있습니다. ‍
• 이상 징후를 더 빠르게 감지하세요. AI 기반 행동 분석은 기존 도구가 놓치고 있는 위험을 강조합니다. ‍
• 위험도에 따라 알림의 우선순위를 정하세요. 분석가들은 수많은 경보가 아니라 가장 위험한 공격 경로를 먼저 확인합니다. ‍
• 행동 패턴을 빠르게 인식하세요. AI는 여러 환경에서 악의적인 행위자와 위협 행위자의 반복적인 행동을 식별합니다.

AI 보안 그래프: 클라우드의 숨겨진 공격 경로 매핑

사이버 보안의 핵심 AI 혁신은 보안 그래프입니다. AI 보안 그래프는 클라우드 인프라의 살아 숨 쉬는 지도를 구축합니다. 모든 워크로드, 사용자, 커뮤니케이션을 연결한 다음 AI를 사용하여 비정상적인 패턴을 강조합니다.

이를 통해 보안 팀은 다음과 같은 일을 할 수 있습니다:

• 대규모 동서 방향 트래픽 감지
• 컨텍스트에서 탐지된 이상 징후 보기
• '가정' 시나리오를 시뮬레이션하여 보안 제어를 테스트하세요.
• 성공하기 전에 권한 상승 시도 탐지
• 침해의 잠재적 폭발 반경 이해

AI를 활용함으로써 팀은 사후 대응적 알림을 넘어 사전 예방적 클라우드 침해 대응으로 나아갑니다.

일루미오 인사이트: AI 기반 침해 탐지 및 억제

바로 이 지점에서 일루미오 인사이트가 제공됩니다. 자동화된 세분화와 AI 기반 위협 탐지 및 대응을 결합한 최초의 플랫폼입니다.  

인사이트를 활용하면 잠금을 해제할 수 있습니다:

• AI 침해 탐지: 공격자가 숨기려는 측면 이동을 탐지합니다. ‍
• 통합 가시성: 하이브리드 클라우드 전반의 모든 워크로드와 사용자 활동을 매핑하세요. ‍
• 이상 징후 탐지: AI 기반 행동 분석을 사용하여 실시간 모니터링에서 이상 징후를 식별합니다. ‍
• 우선순위에 따른 대응: 가장 중요한 위협 행위자와 공격 경로를 파악하세요. ‍
• 자동화된 격리: 정책 시행을 통해 위험한 동서 연결을 즉시 차단합니다.

인사이트는 AI 보안 그래프를 활용하여 측면 이동 공격이 네트워크를 통해 확산되기 전에 이를 보고, 이해하고, 우선순위를 정하고, 차단할 수 있도록 지원합니다.

오늘날의 위협 환경에서 일루미오 인사이트가 중요한 이유

그 어느 때보다 중요한 시기입니다. 위협 행위자들은 AI 기반 공격을 사용하여 클라우드 인프라에 빠르고 조용하게 침투하는 등 빠르게 적응하고 있습니다.  

이들은 보안 제어의 허점을 악용하여 정상적으로 보이는 사용자 활동에서 자신의 움직임을 숨기고 있습니다.

방어자는 수동 방법만으로는 속도를 따라잡을 수 없습니다. 내부 위협 탐지, AI 침해 탐지, 방대한 양의 데이터를 실시간으로 분석할 수 있는 툴을 위한 AI가 필요합니다.

이것이 바로 일루미오 인사이트가 중요한 이유입니다. 보안팀은 AI를 사용하여 대규모로 탐지된 이상 징후를 파악하고, 침해를 즉시 차단하며, 공격 차단 능력에 대한 신뢰를 회복함으로써 악의적인 공격자와 동등한 조건에서 싸울 수 있는 역량을 갖추게 됩니다.

움직임을 억제하고 결과를 제어하세요

경계가 사라졌습니다. 보안 침해는 피할 수 없습니다. 진짜 문제는 일단 네트워크에 들어온 후에는 이동을 막을 수 있느냐는 것입니다.

일루미오 인사이트를 사용하면 가능합니다. 인사이트는 클라우드 보안을 위한 AI와 세분화를 결합하여 팀이 이상 징후를 탐지하고, 측면 이동을 억제하고, 새로운 위협이 지속적인 피해를 일으키기 전에 차단할 수 있도록 지원합니다.

오늘날의 위협 환경에서 살아남는 조직은 모든 침입을 막는 조직이 아닙니다. 이들은 실시간으로 측면 움직임을 감지하고 억제하는 역할을 합니다.

시작하기 일루미오 인사이트 무료 체험판 오늘.