마이크로세분화와 탐지 및 대응의 만남: 함께 사용하면 더 강력한 이유

오늘날의 사이버 공격은 그 어느 때보다 빠르고 은밀하며 적응력이 뛰어납니다. 이들은 사각지대를 빠져나가고, 동서 트래픽에 숨어 있으며, 사이버 방어의 아주 작은 틈새도 악용합니다. 이러한 공격은 스스로를 알리지 않습니다. 이미 내부에 들어가기 전까지는 일상적인 트래픽으로 표시됩니다.

공격자는 매우 쉽게 섞이기 때문에 방어자는 상황을 명확하게 파악하고 이를 형성할 수 있는 능력이 필요합니다. 따라서 조직은 가시성과 제어 기능을 통합하는 방법이라는 핵심 보안 과제를 안고 있습니다. 어둠 속에서 더듬어 볼 때는 컨트롤이 소용없고, 가시성만으로는 보이는 것을 행동으로 옮길 수 없습니다. 한쪽이 없으면 다른 한쪽은 위험한 공백이 생깁니다. 둘 다 필요합니다.

많은 보안 팀은 너무 늦을 때까지 자신이 얼마나 노출되어 있는지 깨닫지 못합니다. 그때쯤이면 공격자는 이미 측면으로 이동한 상태이며, 침해의 원인은 모니터링되지 않는 워크로드, 관리되지 않는 흐름, 지연된 대응에 묻혀 있습니다.

바로 이 지점에서 마이크로세그멘테이션과 탐지 및 대응 전략이 하나로 작동해야 합니다. 각각은 그 자체로 실질적인 가치를 제공합니다. 하지만 함께 사용하면 강력하고 자기 강화적인 방어 체계를 구축할 수 있습니다. 이를 통해 보안 침해가 비즈니스에 지장을 주는 사건으로 확대되는 것을 방지할 수 있습니다.

과제: 부분적인 보안으로 인한 사각지대 발생

많은 팀이 여기서 문제를 겪습니다. 많은 조직에서 세분화와 탐지를 별도의 프로그램으로 취급합니다. 이들은 각기 다른 도구, 로드맵, 우선순위를 가진 여러 팀과 함께 일하는 경우가 많습니다.  

세분화 팀은 동서 이동을 제한하는 최소 권한 정책에 중점을 둡니다. 탐지 및 대응 팀은 침해 및 의심스러운 활동의 지표를 찾아 공격을 신속하게 차단할 수 있습니다. 이러한 구분은 위험한 격차를 만듭니다:

• 탐지 없는 세분화는 조용한 실패로 이어집니다. 지나치게 광범위한 규칙이나 예기치 않은 워크로드 동작으로 인해 안전하지 않은 트래픽이 눈에 띄지 않게 통과할 수 있습니다. 의심스러운 활동에 대한 실시간 인사이트가 없으면 단속이 충분히 빠르게 대응할 수 없습니다.↪f_200D↩
• 세분화 없는 탐지 속도 저하 격리. 아무리 빠른 경보라도 환경이 개방되어 있으면 공격자를 막을 수 없습니다. 사전 정의된 시행 경계가 없으면 격리는 시간과의 싸움이 되고, 방어하는 쪽이 패배하는 경우가 많습니다.

결과는? 인시던트를 분류하는 데 시간이 오래 걸립니다. 응답자는 필요 이상으로 더 열심히 일해야 합니다. 무엇보다도 공격자가 움직일 수 있는 공간이 넓어집니다.

솔루션: 가시성, 집행 및 대응이 함께 작동합니다.

가장 탄력적인 조직은 다음과 같이 세분화와 탐지를 지속적인 피드백 루프로 통합합니다:

• 가시성은 위험하거나 예상치 못한 동작을 드러내며 워크로드, 애플리케이션, 환경 전반의 트래픽을 보여줍니다. ‍
• 탐지 기능은 해당 동작을 분석하여 손상 또는 비정상적인 측면 이동의 징후를 식별합니다. ‍
• 시행은 세분화 정책 또는 동적 격리를 적용하여 위협을 즉시 차단함으로써 거의 실시간으로 대응합니다. ‍
• 피드백을 통해 정책을 개선할 수 있으므로 시간이 지남에 따라 환경이 훨씬 더 안전해집니다.

이 접근 방식은 활성 위협만 차단하는 것이 아닙니다. 새로운 인사이트가 수집될 때마다 자세가 강화됩니다.

옴디아( ")의 수석 애널리스트인 존 그레이디(John Grady)에 따르면, 보안은 탐지 및 예방 관행이 통합될 때 가장 효과적입니다. 마이크로세그멘테이션과 탐지 및 대응을 단절된 기능으로 접근하는 조직은 위험을 가중시키고 있습니다. 보안팀은 통합 프레임워크의 일부로 가시성, 정책 시행 및 대응 워크플로우를 결합해야 합니다. 세분화와 탐지 사이에 이러한 피드백 루프를 개발하는 조직은 탐지 및 봉쇄 시간을 개선하여 궁극적으로 측면 이동과 전반적인 비즈니스 중단을 줄일 수 있습니다."

세분화와 탐지 및 대응을 통합하는 5가지 실용적인 단계

마이크로세분화와 탐지 및 대응을 연결하는 방법을 모색하고 있다면 다음 5가지 실행 가능한 단계부터 시작하세요.

1. 공유 가시성 계층 구축

세분화 및 탐지 팀에 통합 원격 분석, 워크로드 컨텍스트, 플로우 데이터라는 동일한 데이터 소스를 제공하세요. 모든 사람이 동일한 그림을 볼 수 있어야 합니다. 의사 결정을 조정하고 대응 속도를 높입니다.

2. 인시던트 발생 전에 시행 가능한 경계를 정의하세요.

최소 권한 세분화 영역은 예측 가능한 봉쇄를 가능하게 합니다. 환경이 준비되어 있을수록 더 빠르게 대응할 수 있습니다. 매 순간이 중요할 때 그 노력이 결실을 맺습니다.

3. 가능한 경우 정책을 사용하여 격리 자동화

기계는 사람보다 빠르게 행동합니다. 그 속도를 유리하게 활용하세요. 링크 감지는 세분화 작업으로 바로 트리거됩니다. 이는 워크로드 격리, 포트 강화 또는 격리 정책 시행을 의미할 수 있습니다. 자동화를 통해 공격자의 체류 시간을 줄이고 몇 초 만에 측면 이동을 차단할 수 있습니다.

4. 탐지 인사이트를 사용하여 세분화 구체화하기

모든 알림은 환경을 강화할 수 있는 기회입니다. 이러한 인사이트를 더 엄격한 규칙과 더 적은 수의 열린 경로로 전환하세요.

5. 세분화 팀과 보안 운영 센터(SOC)를 통합하세요.

공유된 플레이북과 워크플로는 특히 긴박한 순간에 핸드오프가 지연되는 것을 방지합니다. 공유된 게임 계획은 공격자가 악용할 수 있는 혼란을 제거합니다.

결과: 위협에 따라 확장되는 보안 태세

마이크로세그멘테이션과 탐지 및 대응이 함께 작동하면 세 가지 주요 방식으로 영향이 복합적으로 나타납니다:

• 중요한 사항을 확인할 수 있는 가시성을 확보할 수 있습니다.
• 이를 제어할 수 있는 권한이 부여됩니다.
• 위협이 확산되기 전에 차단하는 데 필요한 응답 속도를 확보할 수 있습니다.

작은 틈 하나만 있어도 공격자가 공격할 수 있는 세상에서 통합된 접근 방식은 사고가 대형 침해로 발전하기 훨씬 전에 조기에 사고를 억제할 수 있도록 보장합니다.

일루미오 인사이트 무료 체험 오늘부터 실제 세분화 작업을 통해 탐지를 통합할 수 있습니다.