사이버 재해가 여전히 발생하는 이유와 해결 방법
역사적으로 공공 부문과 민간 부문의 사이버 보안은 예방과 탐지라는 하나의 일관된 주제를 따랐습니다.
문제는 무엇일까요?예방과 탐지만으로는 충분하지 않습니다.보안 침해는 여전히 발생하고 있습니다.
수십 년간 적들의 직접적인 공격을 막고 탐지하기 위해 노력했지만 실패로 돌아간 지금, 격리에 초점을 옮겨야 할 때입니다.아인슈타인이 실제로 말했든 말하지 않았든, 진실은 여전히 정확합니다. 광기의 정의는 똑같은 일을 반복하면서 다른 결과를 기대하는 것입니다.
기존의 보안 방법으로는 현대의 적과 싸울 수 없습니다
대부분의 보안 팀은 위협이 데이터 센터 또는 클라우드에 침입하지 못하도록 하는 데 초점을 맞추고 있습니다.
신뢰할 수 없는 외부와 신뢰할 수 있는 내부 사이의 경계인 남북 경계에는 대부분의 보안 도구가 배치되어 있습니다.바로 이 지점입니다. 차세대 방화벽, 들어오는 모든 트래픽을 검사하여 잘못된 부분이 없는지 확인하는 바이러스 백신 스캐너, 프록시 및 기타 보안 도구가 배포됩니다.
그러나 지난 몇 년간 발생한 중대한 보안 침해는 모두 이러한 도구 중 하나 이상이 배포되었으며 대부분은 보안 요구 사항을 준수했습니다.하지만 공격자들은 성공적으로 네트워크에 침입했습니다.
일단 네트워크에 들어가면 모든 적들은 한 가지 공통점을 가지고 있습니다. 바로 이동을 좋아한다는 것입니다.이들은 측면, 동서로 확산되어 호스트에서 호스트로 이동하면서 의도한 데이터 유출 대상을 찾습니다.
이러한 보안 침해 중 상당수는 네트워크에 유입된 지 오래 후, 때로는 몇 달이 지난 후에 발견되었습니다.예방에서 탐지로 전환되었음에도 불구하고 오늘날의 도구는 피해가 발생한 후까지 탐지를 회피하는 데 능숙한 현대의 공격자들에게는 필적할 수 없습니다.
일단 손상되면 대부분의 네트워크는 동서 전파에 광범위하게 개방됩니다.
사이버 보안에 대한 전통적인 접근 방식은 경계 외부의 모든 것을 신뢰할 수 없는 것으로 정의하고 경계 내부의 모든 것을 신뢰할 수 있는 것으로 정의합니다.그 결과, 공격자가 신뢰할 수 있는 코어 내부로 침입한 후에는 외부로 확산되는 것을 막을 수 있는 방법이 거의 없는 경우가 많습니다.
호스트와 호스트, 애플리케이션에서 애플리케이션으로 네트워크 세그먼트로 확산되면 대부분의 워크로드가 빠르게 움직이는 공격자에게 방해가 됩니다.그리고 네트워크 세그먼트는 일반적으로 호스트 간 확산을 방지하는 데 매우 비효율적입니다.
네트워크 세그먼트는 DDoS 또는 ARP 스푸핑과 같은 네트워크 문제를 방지하도록 설계되었습니다.VLAN, IP 서브넷, 라우팅 피어링 포인트 및 SDN 오버레이 네트워크는 이러한 문제를 제어하고 네트워크에서 트래픽 엔지니어링을 지원하기 위해 만들어졌습니다.하지만 이러한 네트워크 세그먼트는 보통 정상적인 트래픽처럼 보이는 포트를 통해 호스트 간에 전파되기 때문에 공격자는 이러한 네트워크 세그먼트를 쉽게 통과합니다.
네트워크 디바이스는 패킷 헤더를 보고 이러한 헤더에 있는 포트를 기반으로 트래픽을 차단하거나 허용합니다.하지만 공격자를 발견하려면 패킷의 데이터 페이로드를 심층적으로 조사해야 하며, 이를 위해서는 모든 동서 트래픽 경로에 있는 모든 호스트 간에 방화벽을 구축해야 합니다.
이는 곧 비용이 많이 들고 잠재적인 네트워크 병목 현상이 발생합니다. 모든 패킷을 “크랙 오픈”하고 검사하여 시그니처, “샌드박스”, AI, 머신 러닝 또는 네트워크 속도 저하 없이 적을 탐지하기 위한 기타 복잡한 방법을 사용해야 합니다.
이러한 접근 방식을 시도하더라도 금세 포기하거나 축소되며 힘들게 확보한 예산으로는 ROI를 얻을 수 없습니다.이로 인해 동서 전파를 막을 수 있는 부분이 거의 없으며 호스트는 활짝 열려 있습니다.
불가피한 보안 침해가 발생하면 사람들은 손가락질하기 시작합니다.
제로 트러스트 세그멘테이션이 없는 조직은 이길 수 없는 전쟁을 벌이고 있습니다.
모든 둘레는 다공성입니다.99% 의 유효 경계 보안 경계도 결국에는 뚫릴 수 있습니다.또는 실수로 또는 의도적으로 보안 침해가 내부로부터 발생할 수도 있습니다.
여전히 더 비싼 보안 도구를 경계 구역에 배포하려고 하는 사람들, 그리고 자신의 호스트가 네트워크 전체에 어떤 종류의 위협도 전파하지 않는다고 계속 신뢰하는 사람들은 다음 날 뉴스에서 직접 공격의 가장 최근 피해자가 되는 자신을 발견하게 될 것입니다.
동서 조직 전체에 보안을 구현하는 것을 무시하는 사람은 패배하는 싸움을 벌이게 될 것입니다.
마이크로세그멘테이션은 의 주요 부분입니다. 제로 트러스트 아키텍처 여기서 모든 리소스는 네트워크 경계와 분리된 신뢰 경계입니다.
Illumio는 데이터 센터 및 클라우드 내부의 동서 위협 벡터를 대규모로 보호합니다.
모든 단일 워크로드는 다른 모든 워크로드로부터 마이크로 세그먼트화되어 최소 권한 액세스 모델을 적용합니다. 이때 호스트는 네트워크 주소가 아닌 메타데이터 기반 모델을 사용하여 식별됩니다.즉, 호스트에 배포된 워크로드는 위치가 아닌 함수를 통해 식별되므로 호스트 간의 네트워크 동작을 명확하게 시각화할 수 있습니다.
마이크로세그멘테이션에 대해 자세히 알아보기 이리.
네트워크상의 애플리케이션 통신 방식에 대한 가시성 확보
데이터 센터의 물리적 디바이스나 퍼블릭 클라우드의 가상 디바이스와 같은 네트워크 디바이스를 사용하면 애플리케이션 중심적 관점에서 애플리케이션 간 네트워크 트래픽을 가시화하기가 어렵습니다.
스위치, 라우터, 방화벽 또는 모니터링 툴에서 애플리케이션 동작과 종속성을 시각화하려면 일반적으로 네트워크 동작을 애플리케이션 동작으로 변환하고 애플리케이션과 호스트 간에 “누가 누구에게 무엇을 하고 있는지”를 파악해야 하기 때문입니다.종종 이런 상황이 드러나기보다 혼란스러울 때가 많습니다.
애플리케이션이 네트워크를 통해 서로 통신하는 방식을 시각화하려면 해당 애플리케이션이 있는 호스트에 직접 솔루션을 배포해야 합니다.
Illumio는 매우 명확하고 정확한 결과를 제공합니다. 종속성 맵 데이터 센터와 클라우드의 모든 애플리케이션 간호스트는 기능 또는 소유권과 같은 메타데이터를 기반으로 그룹화되며, 호스트 간의 트래픽 흐름이 모두 명확하게 표시됩니다.
이를 통해 네트워크나 클라우드를 건드리지 않고도 규정 준수 위반과 호스트가 서로 통신하는 방식을 매우 빠르게 발견할 수 있습니다.
Illumio는 전체 환경에서 누가 누구에게 무엇을 하고 있는지 대규모로 파악하여 호스트 간의 위험을 수치화하고 어떤 위험한 포트가 잠재적 침해에 노출되어 있는지 보여줍니다.
Illumio 제로 트러스트 세그멘테이션을 구현하여 적들의 동서 이동을 막으세요
예방 보안 모델은 시대에 뒤쳐져 있으며 탐지 보안 모델도 측면 전파를 방지할 만큼 빠르지 않습니다.
최신 보안 모델에서는 침해가 발생했거나 이미 발생했다고 가정해야 합니다.이러한 사고방식은 손상된 호스트의 상태를 유지하는 데 초점을 맞추는 대신 공격자가 누구인지 정확히 이해할 필요 없이 신속하게 공격자를 격리하고 확산을 방지합니다.
애플리케이션 중심 보안을 위한 Illumio의 솔루션을 사용하여 애플리케이션 관점에서 동서 위협 벡터를 적용하고 시각화할 수 있습니다.
보안 침해가 국가의 지원을 받는 적대자이든 범죄 조직으로부터 발생하든 관계없이 해당 위협은 격리되어 확산되지 않도록 차단됩니다.
광기는 멈춰야 하고 멈출 수 있습니다.
Illumio 제로 트러스트 세그멘테이션에 대해 자세히 알아보시겠습니까? 문의하기 오늘.