격리 없이 탐지가 실패하는 이유(그리고 보안 그래프가 이를 해결하는 데 도움이 되는 방법)

몇 년 전만 해도 보안팀은 침입을 얼마나 빨리 탐지할 수 있는지를 기준으로 성공 여부를 측정했습니다.

오늘날에는 의심스러운 행동을 몇 분, 때로는 몇 초 만에 발견할 수 있습니다. 최신 AI 기반 탐지 도구는 인간 분석가보다 더 빠르게 신호를 상호 연관시키고, 이상 징후를 표시하고, 표면 경고를 표시할 수도 있습니다.

하지만 침해 사고는 계속 증가하고 있습니다.

연이은 사건 사고에서 공격자는 조기에 발견되었음에도 불구하고 데이터를 훔치고 운영을 중단시키는 데 성공합니다. 알림은 제시간에 도착하지만 피해는 여전히 발생합니다.

이러한 단절은 현대 보안에서 가장 실망스러운 현실 중 하나가 되었습니다. 더 빠른 탐지가 더 나은 결과로 이어지지는 않습니다.

그 이유는 탐지 도구가 실패하기 때문이 아닙니다. 탐지만으로는 공격이 확산되는 것을 막을 수 없다는 것입니다.  

AI 보안 그래프에 기반한 기본 제공 침해 차단 기능이 없으면 아무리 빠른 경보라도 공격자가 네트워크 내부에 들어오면 측면 이동을 방지하거나 폭발 반경을 제한할 수 없습니다.

탐지의 한계

위협 탐지에는 한계가 있습니다. 하지만 새로운 AI 기능으로 인해 탐지가 더 스마트해진 것은 분명합니다. 

머신 러닝 모델은 비정상적인 행동을 인식하고 경고 피로를 줄일 수 있습니다. 보안팀은 기존의 규칙 기반 시스템보다 훨씬 더 나은 컨텍스트를 제공할 수 있습니다.  

특히 신호가 잡음이 많고 변화가 끊임없는 복잡한 하이브리드 클라우드 환경에서는 이러한 진전이 중요합니다.

하지만 아무리 좋은 탐지 도구라도 여전히 관찰에 초점을 맞추고 있습니다. 문제를 표시하고, 어떤 일이 일어날 수 있는지 제안하며, 분석가가 대응의 우선순위를 정할 수 있도록 도와줍니다.  

설계상 공격자가 다음에 도달할 수 있는 대상을 제한하는 것은 아닙니다.

공격자는 일단 발판을 마련하면 이동하는 것이 목표입니다. 이들은 환경을 탐색하고, 합법적인 자격 증명을 재사용하며, 보안팀이 흔히 안전하다고 생각하는 표준 프로토콜을 사용하여 워크로드 전반에서 피벗합니다. 

공격자는 사고 대응 프로세스가 완전히 시작되기 전에 빠르고 조용하게 측면으로 이동하는 경우가 많습니다.

AI 탐지 도구는 이러한 활동이 전개되는 것을 확인할 수 있습니다. 이미 경계를 강화하기 위한 다른 조치가 마련되지 않는 한 이를 막을 수는 없습니다.  

대부분의 침해 사고가 한 번의 침해에서 본격적인 사고로 발전하는 경우가 바로 이 지점에서 발생합니다.

조기 발견이 여전히 주요 침해로 이어지는 이유

감지가 주요 제어 수단인 경우, 봉쇄는 사후 대응으로 바뀝니다.  

보안팀은 알림을 수신하고, 이를 조사하고, 의도를 확인한 다음 대응 방법을 결정합니다.  

이론적으로는 그럴듯하게 들립니다. 실제로는 사람들이 항상 공격자보다 빠르게 움직일 수 있다고 가정합니다.

실제 침해가 발생하면 이러한 가정은 무너집니다. 분석가는 여러 개의 알림을 처리해야 할 수도 있습니다. 인시던트 대응 단계에서는 팀 간의 협력이 필요할 수 있습니다. 격리 조치에는 승인 및 배포에 시간이 걸리는 수동 변경이 포함될 수 있습니다.

한편 공격자들은 기다리지 않습니다. 연결이 성공할 때마다 액세스를 확장하고 영향력을 증가시키면서 계속해서 측면으로 이동합니다. 최종적으로 봉쇄가 이루어질 때는 이미 폭발 반경이 필요한 것보다 훨씬 커진 상태입니다.

그렇기 때문에 많은 팀이 역설처럼 느껴지는 상황에 직면하고 있습니다. 그 어느 때보다 공격을 조기에 탐지하지만 여전히 랜섬웨어 공격, 데이터 손실, 장기간의 서비스 중단을 겪고 있습니다.  

탐지는 제대로 작동했습니다. 다만 봉쇄 조치가 너무 늦게 내려졌을 뿐입니다.

누락된 보안 침해 제어

봉쇄는 방정식을 바꿉니다. 공격자가 탐지되기 전이 아니라 탐지된 후에 할 수 있는 일을 제한합니다.  

격리 조치는 사람들이 압박감 속에서 완벽하게 반응하는 데 의존하는 대신, 항상 존재하는 경계를 설정합니다.

봉쇄가 적용되면 손상된 워크로드가 도달할 수 있는 다른 모든 항목에 자동으로 액세스하지 않습니다. 동서 방향 통행이 제한됩니다. 기본적으로 신뢰는 확장되지 않습니다. 측면 이동 경로가 축소되거나 완전히 제거됩니다.

이 모델에서는 강제된 한도 내에서 작동하기 때문에 탐지가 더욱 강력해집니다. 알림은 더 이상 시간과의 경쟁이 시작되었음을 알리는 것이 아니라 이미 포함된 이벤트에 대한 알림입니다.

하이브리드 클라우드 환경에서 제로 트러스트를 구축하는 데 이것이 중요한 이유

제로 트러스트는 액세스가 명시적이고 제한적이며 지속적으로 평가되어야 한다는 생각에 기반합니다.

동적인 하이브리드 클라우드 환경에서는 연결에 대한 가시성 없이 이러한 수준의 제어를 달성하는 것은 거의 불가능합니다.

보안 그래프는 제로 트러스트에 필요한 가시성을 제공합니다. 그리고 제로 트러스트 전략의 기본 요소인 세그멘테이션은 실행을 제공합니다. 이 둘을 함께 사용하면 탐지 도구가 위협을 발견할 때 해당 위협이 이미 설계에 포함되어 있는지 확인할 수 있습니다.

이러한 접근 방식은 변화가 끊임없이 일어나고 정적 제어가 금방 구식이 되는 클라우드 및 하이브리드 환경에서 특히 중요합니다.  

지속적으로 업데이트되는 보안 그래프는 새로운 워크로드, 연결 및 위험이 나타나는 대로 반영합니다. 이를 통해 환경 자체와 보조를 맞춰 격리할 수 있습니다.

일루미오가 탐지를 봉쇄로 전환하는 방법

일루미오는 보안 침해는 피할 수 없지만 광범위한 피해가 발생할 필요는 없다는 생각에서 시작되었습니다.  

일루미오는 수년 동안 보안에서 가장 중요하고 어려운 문제 중 하나인 공격자가 네트워크 내부로 침투한 후 측면 이동을 차단하는 데 집중해 왔습니다.

일루미오의 차별점은 탐지, 가시성, 봉쇄를 별개의 문제로 취급하지 않는다는 점입니다. 환경이 실제로 어떻게 작동하는지에 대한 공유된 이해를 통해 서로를 연결합니다.

이러한 공유된 이해가 바로 AI 보안 그래프입니다.

Illumio 플랫폼의 핵심은 지속적으로 업데이트되는 사용자 환경의 실시간 모델입니다. 클라우드, 온프레미스, 하이브리드 인프라 전반의 워크로드, 트래픽 흐름, 위험 관계를 매핑합니다.  

보안 그래프는 환경 변화에 따른 실제 연결, 실제 동작, 실제 노출을 반영합니다.

일루미오 인사이트와 일루미오 세분화를 포함한 일루미오의 모든 서비스는 이러한 토대 위에 구축됩니다.

일루미오 인사이트: 단순한 경고가 아닌 실시간 컨텍스트를 통한 탐지

Illumio Insights는 AI 기반 보안 그래프를 사용하여 하이브리드 클라우드 환경에 대한 실시간 가시성을 확보합니다.

인사이트는 이벤트를 개별적으로 분석하는 대신 시스템이 어떻게 연결되어 있는지, 공격자가 실제로 어떻게 움직이는지에 대한 렌즈를 통해 행동을 살펴봅니다.

이는 모든 의심스러운 활동이 동일한 위험을 수반하는 것은 아니기 때문에 중요합니다. 아무데도 연결되지 않는 연결 시도와 중요한 시스템에 대한 명확한 경로를 열어주는 연결 시도는 크게 다릅니다.  

인사이트는 네트워크 트래픽 흐름에 대한 가시성을 통해 팀이 훨씬 더 많은 컨텍스트에서 새로운 위협을 조기에 발견하고 우선순위를 지정할 수 있도록 지원합니다. 공격자가 측면 액세스를 시도하고 있음을 나타내는 위험한 행동, 노출된 공격 경로, 비정상적인 이동 패턴을 강조 표시합니다.

알림이 더 많아서가 아니라 알림이 잠재적 영향과 직접적으로 연결되기 때문에 결과적으로 더 잘 탐지됩니다. 보안팀은 잡음을 쫓는 대신 가장 중요한 일에 집중할 수 있습니다.

또한 인사이트의 일부인 인사이트 에이전트는 사용자 환경의 백그라운드에서 지속적으로 실행되는 페르소나에 맞춘 AI 기반 어시스턴트를 제공합니다. 위협 헌터, 규정 준수 책임자, 클라우드 엔지니어 또는 기타 보안 역할에 관계없이 사용자의 언어를 사용하는 신뢰할 수 있는 팀원처럼 작동하며 가장 관련성이 높은 결과를 사용자에게 직접 제공합니다.

에이전트는 실시간 워크로드 통신 및 네트워크 흐름을 분석하여 의심스러운 동작을 MITRE ATT&CK 프레임워크에 매핑합니다. 이상 징후를 감지한 다음 이상 징후가 무엇을 의미하는지, 왜 중요한지, 어떻게 대응해야 하는지 설명합니다.

일루미오 세분화와 통합되어 있기 때문에 탐지에서 멈추지 않습니다. 클릭 한 번으로 봉쇄 옵션을 제공하여 측면 이동을 차단하고 손상된 워크로드를 즉시 격리할 수 있습니다.

일루미오 세분화: 설계를 통한 격리 적용

일루미오 세분화는 워크로드 간에 최소 권한 액세스를 적용하여 침해가 환경을 통해 확산되기 전에 차단합니다.  

세분화는 평평한 네트워크나 광범위한 신뢰 영역에 의존하는 대신 어떤 시스템과 어떤 조건에서 통신할 수 있는지 제한합니다.

세분화가 적용되면 공격자가 측면 이동 경로를 악용하기 전에 이를 줄이거나 제거할 수 있습니다. 워크로드가 손상된 경우 다른 시스템에 도달할 수 있는 기능이 이미 차단된 상태입니다.  

따라서 봉쇄가 환경의 기본 상태가 됩니다.

격리 없는 탐지만으로는 더 이상 충분하지 않습니다

AI는 보안팀이 위협을 얼마나 빨리 발견할 수 있는지에 대한 기대치를 높였습니다. 공격자들은 액세스를 얼마나 빨리 악용할 수 있는지에 대한 기대치를 높이고 있습니다.

탐지에만 의존하는 팀은 여전히 불완전한 조건에서 사람의 완벽한 대응에 의존하고 있습니다. 이러한 베팅은 리더들이 인정하는 것보다 더 자주 실패합니다.

보안 그래프에 따라 결과가 달라집니다. 보안 팀이 인식뿐 아니라 격리 지원에 필요한 컨텍스트를 제공합니다. 보안 침해가 불가피한 경우, 그 영향을 제한하는 것이 보안 사고와 비즈니스 위기를 구분하는 기준이 됩니다.

그렇기 때문에 봉쇄는 더 이상 선택 사항이 아닙니다. 조기 발견을 진정한 회복탄력성으로 전환하는 것은 바로 제어입니다.

일루미오 인사이트 무료 체험 에서 AI 기반 보안 그래프를 통해 실시간으로 보안 침해를 차단하는 방법을 확인하세요.