제로 트러스트 제어의 효과를 지속적으로 테스트하기
보안 실무자, 공급업체, 고객들이 제로 트러스트 프레임워크에 대해 이야기하는 것을 들어보면 다섯 가지 핵심 요소에 대해 많은 사랑을 받고 있는 것을 알 수 있습니다: 디바이스, 데이터, 워크로드, 네트워크, 사람 - 모두 보호가 필요한 매우 실질적인 '자산'이며, 이러한 보호를 달성하는 데 도움이 되는 다양한 기능이 존재합니다.
제로 트러스트의 '벨트 및 교정기'
전체적인 제로 트러스트 전략은 이 다섯 가지 요소 각각에 대해 고려하고 적용 범위를 제공해야 합니다. 하지만 자동화 & 오케스트레이션 및 가시성 & 분석 - 위의 다이어그램을 보면 알 수 있듯이 이 두 가지가 제로 트러스트의 5가지 기둥을 하나로 묶는 '벨트 및 버팀대'라고 비유적으로 표현할 수 있습니다. 안타깝게도 실제 제로 트러스트 여정에서 가장 소홀히 취급되는 경우가 많습니다.
왜 그럴까요? 자동화 및 가시성은 공급업체가 보안 제품에서 제공하는 데 있어 가장 비용이 많이 들고 복잡한 영역일 수 있으며, 고객은 적절한 자동화 또는 분석을 위한 전문 지식이 부족한 경우가 많습니다.
보이지 않는 것은 세분화할 수 없습니다.
일루미오에서는 이 두 가지 영역(자동화와 가시성)을 부차적인 것이 아니라 그 자체로 핵심 축이라고 생각합니다. 고객이 마이크로 세분화 성과를 달성하기 위한 여정은 '가시성 및 분석'에서 시작됩니다." 워크로드의 원격 측정과 CMDB의 메타데이터를 활용하여 상세한 애플리케이션 종속성 맵을 구축하여 고객이 애플리케이션 주변에 마이크로페리미터를 설정하기 위한 세분화 정책 구축을 시작할 수 있는 실행 가능한 트래픽 보고서를 제공합니다. 이 경우 가시성은 중요하지 않습니다. 바로 케이크입니다.
어떤 단일 벤더도 "제로 트러스트 인증(" )"을 할 수 없습니다.
아무리 단순해 보이는 기업이라도 모든 기업은 똑같이 복잡하고 다양한 기술 스택을 가진 복잡한 유기체라는 사실을 인식하고 처음부터 '자동화 및 오케스트레이션'을 제품의 '필수' 핵심 요소로 삼았습니다. 저희 제품은 다른 시스템에 통합되고 문서화된 개방형 API를 통해 프로그래밍 방식으로 액세스할 수 있도록 설계되었습니다. 사실 제품 UI는 REST API 위에 스킨을 얹은 것입니다. 자동화 및 오케스트레이션 없이는 제로 트러스트도 없다고 주장할 수 있습니다.
이 기능이 작동하는지 어떻게 알 수 있나요?
일반적인 고객 여정은 다음 단계를 따릅니다:
- 원격 분석 및 메타데이터를 가져와 지도 구축하기
- 맵을 사용하여 마이크로 세분화 정책 구축하기
- 적용하기 전에 정책 테스트
- 정책 시행
또한 전체적으로 모니터링이 이루어지기 때문에 정의된 정책을 위반하는 경우 사용자가 필요한 시정 조치를 취할 수 있습니다.
그렇다면 이 모든 것의 요점은 무엇일까요? 특정 제로 트러스트 제어가 어떻게 작동하는지 이해하는 것은 매우 중요하지만(예: 마이크로 세분화 정책 일치/위반), 조직의 전체 제로 트러스트 전략이라는 큰 맥락에서 제어의 효과는 어떨까요?
"보안 침해가 발생한다고 가정하고 " 보안 사고가 발생하면 조직은무엇을, 언제, 누가, 어떻게, 왜라는 질문에 얼마나 빨리 답할 수 있을까요? 그리고 가장 중요한 것은 현재 보유하고 있는 시스템 중 어떤 시스템이 이러한 질문에 대한 답을 자동으로 정확하게 얻을 수 있도록 함께 작동할 수 있을까요?
잠시 주제를 벗어날까요?
잠시 시간을 내어 MITRE ATT& CK 프레임워크에 대해 잠시 이야기해 보겠습니다.
MITRE ATT&CK 프레임워크는 악의적인 공격자가 공격(예: 지능형 지속 위협(APT) 기반 공격)에 활용하는 적대적 전술, 기술 및 절차(TTP)를 매핑하여 표적에 대한 공격을 수행합니다. 조직은 이러한 정보와 이러한 TTP를 활용하는 공격자의 행동에 대한 공유된 공통 지식을 사용하여 이러한 악성 활동의 부정적인 영향을 제한하고 이상적으로는 예방할 수 있는 방어 전략을 개발할 수 있습니다. 또한, 이 프레임워크는 '침해 가정'의 입장에서 시작하므로 '침해당할 것이라고 가정하고 침해당하기 어렵게 만드는 데 집중한다'는 사후 방어에 전적으로 초점을 맞추고 있습니다. 블루팀의 관점에서 볼 때, 관련 소스로부터 최대한 많은 이벤트 데이터에 액세스하는 데 중점을 둔 ATT&CK 프레임워크는 이러한 데이터를 집계하고 상관관계를 파악하여 악의적인 행동을 적절히 식별하고 필요한 대응을 추진하는 프로세스를 알려줍니다. MITRE의 ATT& CK 101 블로그 게시물은 ATT에 대한 모든 것&CK에 대한 훌륭한 출발점입니다.
마이크로 세분화의 효과 측정하기
최근 ' 마이크로 세분화의 효율성 테스트' 작업을 진행하는 동안 레드팀 전문가인 비숍 폭스는 '깃발 잡기'를 시도할 때 활용할 수 있는 기법과 MITRE ATT&CK 프레임워크의 관련 부분을 매핑하는 것으로 시작했습니다.

이렇게 적의 기법을 파악한 후, 일루미오 적응형 보안 플랫폼이 이러한 공격을 탐지하고 방어하는 데 얼마나 효과적인지 확인할 수 있었습니다. MITRE는 ATT&CK 프레임워크를 사용하여 사이버 위협을 효과적으로 찾는 방법에 대한 훌륭한 글을 작성했습니다.
따라서 조직은 높은 충실도의 가시성과 API를 통한 전체 액세스를 제공하고 MITRE ATT&CK와 같은 모델링 프레임워크를 제공하는 보안 툴셋을 통해 제로 트러스트 제어를 모니터링하고 원격 측정을 분석하며 자동으로 대응하여 적절한 조치를 취할 수 있는 툴을 구축할 수 있습니다. 그렇다면 이 툴의 효과를 어떻게 모니터링할 수 있을까요?
지속적인 테스트를 제로 트러스트 DNA의 일부로 만들기
물론 독립적인 레드팀 전문가를 고용하여 공격자 역할을 수행하는 한편, 조직의 블루팀은 세심하게 구축된 분석 및 보안 제어 기능을 활용하여 모니터링 및 대응하는 것도 한 가지 방법입니다. 이는 매우 중요하며 주기적으로 권장됩니다. 레드팀 활동과 블루팀 대응을 모두 자동화할 수 있는 방법이 있다면 어떨까요? 조직은 모델링 및 제어의 효과를 지속적으로 테스트하고 지속적으로 개선하는 접근 방식을 취할 수 있습니다. 그리고 이것이 바로 AttackIQ와 같은 공급업체가 현재 실현하고 있는 것입니다. 이 기술을 통해 고객은 특정 보안 제어의 효과를 검증할 수 있으며, 더 흥미롭게도 정교한 공격자에 대한 방어 체계를 확인할 수 있습니다.
고객이 제로 트러스트 투자에 대한 가치를 측정하고 확인할 수 있어야 한다는 점을 잘 알고 있기 때문에, 일루미오는 AttackIQ의 선제적 보안 교환 프로그램 출시에 협력하게 되어 매우 기쁩니다. 고도로 구성 가능하고 자동화된 반복 가능한 테스트 플랫폼을 제공하는 AttackIQ는 제로 트러스트 제어의 효과를 측정하는 것을 조직의 달성 가능한 목표로 삼을 수 있게 해줍니다. 아시다시피, 무언가를 측정할 수 있으면 개선할 수 있습니다.
제로 트러스트 보안 페이지에서 일루미오가 제로 트러스트 여정에 어떤 도움을 줄 수 있는지 자세히 알아보세요.