전체 공격 표면에서 마침내 '알 수 없는 사항' 찾기
CISO는 보안 팀이 탐지하지 못하여 보호하지 못한 자산, 취약성, 구성 오류 및 시스템 약점 같은 '알 수 없는' 사항을 두려워합니다. 이러한 사각지대는 공격자에게는 절호의 기회이며 조직에는 주요 보안 위험이 됩니다.
'알 수 없는 사항'. 이 말은 제가 일하면서 “밤잠을 못 자게 하는 게 무엇입니까?”라는 질문에 대해 CISO와 기타 보안 책임자로부터 들은 가장 일관된 대답입니다. 대부분의 보안 프로그램은 보안 환경에 대한 광범위한 가시성을 제공하고 조직이 가장 위험에 노출된 위치를 식별하도록 구축되었습니다. 이러한 인사이트를 바탕으로 손실이 비즈니스에 미치는 잠재적 영향을 줄이기 위해 위험을 가장 잘 완화하는 방법과 위치에 대한 결정을 내릴 수 있습니다. 여러모로 위험 관리 프로그램 내에서 원동력이 되는 것은 모든 보안 작업의 핵심 임무입니다. 가시성을 제공하는 데 기여하는 많은 도구와 기술이 있지만 '알 수 없는 사항'을 발견하고 이해하여 알려진 영역으로 전환하는 데는 여전히 많은 어려움이 있습니다. 일단 가시화되고 설명 가능해지면 보안 팀은 위험 의사 결정 엔진을 활용하고 알려진 다른 모든 위험과 마찬가지로 이러한 위험을 완화할 수 있습니다.
최근 몇 년 동안 우리는 특히 보안 팀이 이러한 '알 수 없는 사항'에서 간격을 줄이는 데 두 가지 기술, 즉 외부 공격 표면 관리(EASM) 및 공격 경로 분석(APA)이 도움이 되는 것을 확인했습니다. 이러한 기술이 무엇인지, 왜 이러한 기술이 성숙한 보안 프로그램의 중요한 부분이 되는지, 보안 조직이 보안 환경의 공격 표면을 방어하는 데 이러한 기술이 어떻게 도움이 되는지 설명해 보겠습니다.
공격 표면 관리
조직 인프라에서 흔히 '알 수 없는 사항'을 숨기고 있고 이해하고 관리하기가 특히 어려운 영역 중 하나는 외부 연결 부분입니다. 인터넷에서 공개적이고 지속적으로 액세스할 수 있는 자산은 공격자가 연결해서 심지어 조사할 수 있을 것으로 예상되기 때문에 가장 먼저 보고 가장 먼저 공격을 시도하는 자산이 됩니다. 이때 방어자에게 문제가 되는 경우는 방어자가 알지 못하는 자산이 공개된 공간에 있는 경우입니다. 예를 들어 사기를 저지르려는 공격자가 하이재킹할 수 있는 남겨진 DNS 항목이 될 수도 있고 좋은 의도를 가진 개발자가 테스트로 만들었지만 조직의 도메인 정보가 포함되어 있고 보안이 취약한 서버 또는 웹 애플리케이션이 될 수도 있습니다. 일반적으로 조직에는 보안 팀은 인식하지 못하지만 공격자는 인식할 가능성이 매우 높은 수십 개의 자산과 서비스가 있습니다.
EASM 기술은 공개 자산을 지속적으로 스캔하고 모니터링하여 특히 이 문제를 해결합니다. 이러한 도구는 조직의 공개 자산(예: 도메인 이름, IP 주소 공간 등)과 연결된 모든 발견 항목에 대해 쉽게 이해할 수 있는 검색 기능을 제공합니다. 올바르게 사용하면 EASM은 어떤 공개 자산이 어느 위치에 있든 공개 자산에 대한 일관되고 지속적인 가시성을 제공합니다. 제가 이전에 조직에서 컨설턴트로 일했을 때를 이야기해 보면, EASM 도구는 대부분의 보안 팀이 생각하는 것보다 훨씬 더 많은 공개 자산을 식별합니다. 그리고 클라우드 인프라와 환경이 등장하면서 개발자, IT 직원 그리고 심지어 보안 팀까지도 일관되게 기록되거나 식별되지 않을 수 있는 새로운 자산을 만드는 것이 그 어느 때보다 쉬워졌습니다. 그러나 EASM을 활용하면 이러한 잠재적인 공격 벡터가 알려지게 되고 조치를 취하여 위험 완화 작업의 범위 내로 가져오거나 완전히 제거하여 더 이상 악의적으로 활용되지 않도록 할 수 있습니다. EASM은 인터넷에 노출된 자산을 찾고 식별하고 구성할 수 있는 자동화된 도구 세트 없이는 해결하기 매우 어려운 영역에 빛을 비추는 강력한 도구입니다.
공격 경로 분석
EASM이 공격자의 잠재적 진입점을 식별하는 데 도움이 된다면 APA는 어떤 취약성, 구성 오류 및 기타 시스템 약점이 중요한 데이터 세트와 자산에 도달하는 데 사용되는지를 식별할 수 있습니다. 가장 기본적인 수준에서 APA는 보안 팀이 모르는 사이에 공격당할 수 있는 위치 또는 보안 컨트롤을 우회하여 중요한 대상에 도달할 수 있는 영역을 정확히 찾아내기 위해 서로 다른 유형의 보안 결과 간의 관계를 만듭니다. 일부 SIEM 도구와 BAS(Breach Attack Simulation) 제품은 취약성 간의 이러한 관계를 식별하려고 하지만, 이러한 제품의 기능은 범위가 제한적이거나 단일 취약성에 대해 알려진 공격만 정적인 방식으로 복제합니다. 그러나, APA 기술은 취약성 평가 및 위험 노출 관리 작업을 활용하여 상향식으로 접근하므로 각 자산의 구성, 취약성 상태 및 위험 컨텍스트에 대한 보다 완전한 이해를 제공합니다. 이러한 방식으로 APA 도구는 각 자산의 보안 포스처에 대해 훨씬 더 효과적인 그림을 만들기 때문에 모든 데이터 간의 관계에 대한 보다 포괄적인 보기를 제공할 수 있습니다.
이렇게 생각해 보십시오. 못에 찔려 타이어에 구멍이 날 수 있다면 우리는 위협(못)과 취약성(고무는 구멍이 날 수 있음)이 있다는 것을 알고 있습니다. 우리는 이 정보를 사용하여 다른 타이어를 테스트하고 못에 찔릴 위험에 노출되어 있는지 확인할 수 있습니다. 그러나 동일한 위협을 자동차의 다른 부분에 적용하려고 하면 분석에 실패합니다. 못으로 금속을 찌르면 자동차 차체는 고무를 찔렀을 때와 동일한 충격을 받지 않습니다. 엔진 블록은 전혀 손상되지 않을 수도 있습니다. 자동차 전체에 대한 위험을 평가하는 데 하나의 위협과 취약성 유형을 계속해서 사용하면, 무엇이 위험에 노출되어 있고 무엇이 잘못될 수 있는지에 대한 의미 있는 정보를 알 수 없습니다.
서로 다른 유형이지만 서로 관련 있는 위협을 연관시키면 어떻게 될까요? 못에 찔리면 타이어는 구멍이 날 수 있고 바람이 완전히 빠진 상태로 너무 오래 주행하면 서스펜션 또는 브레이크 시스템에 구조적 손상을 일으킬 수 있습니다. 자동차가 오래되었거나 제대로 관리되지 않았으면 도미노 효과가 계속 나타나 엔진이나 냉각 시스템에 손상을 줄 수 있습니다. 이 경우, 우리는 현재 다양한 유형의 위협과 약점을 보고 있지만, 위협을 서로 연결하면 하나의 초기 위협에서 더 광범위하고 전체적인 오류가 어떻게 발생할 수 있는지를 알 수 있습니다.
우리 조직 내의 최신 공격 표면에 대해서도 정확히 같은 방식이 적용됩니다. 공개 자산은 잘못 구성된 포트 때문에 손상될 수 있고, 이렇게 되면 공격자는 기업 웹 애플리케이션에 대해 해당 호스트에서 SQL 삽입 공격을 시작할 수 있습니다. 침해된 애플리케이션은 데이터를 노출시키고, 거기에서 공격자는 다른 호스트에 액세스할 수 있는 사용자 이름과 암호를 얻을 수 있습니다. 그러면 공격자는 악용 가능한 알려진 Windows 취약성에 대해 광범위한 공격을 시작할 수 있습니다. 내부 네트워크를 통과하여 원하는 중요한 자산에 도달하는 데 사용할 수 있는 높은 수준의 관리 액세스 권한을 얻기 위해서입니다. 이것이 공격이 전개되는 방식에 대한 더 사실적인 그림입니다. 공격을 성공적으로 방어하려면 전체 경로 그리고 하나의 취약성 유형이 다른 취약성(완전히 다른 유형의 취약성인 경우가 많음) 유형을 악용할 수 있는 위치를 이해해야 합니다. 이렇게 하는 것이 우리가 이전에 알지 못했던 방어의 허점을 메울 수 있도록 신속하게 배포되고 비용 효율적인 보안 컨트롤을 구현할 위치를 결정하는 핵심입니다.
심층 방어 전략은 우리가 알고 있는 자산과 경로를 보호하는 방식으로 항상 보안 컨트롤을 계층화하는 것이었습니다. APA는 공격자가 보안 환경을 공격하고 통과할 가능성이 높은 위치에 대한 '알 수 없는 사항'을 노출시켜 이러한 특정 공격 벡터를 '알려진 사실'로 만들고 팀이 컨트롤을 확장하여 이러한 간격을 좁힐 수 있도록 합니다.
'알 수 없는 사항'은 이제 그만
보안 환경이 점점 더 복잡해짐에 따라 '알 수 없는 사항'인 공격 벡터의 가능성이 기하급수적으로 증가합니다. 취약성 평가, 구성 평가 및 위험 관리에 대한 기존 모범 사례를 활용하여 이러한 모든 결과 간의 관계 분석을 위한 기반으로 사용하면 보안 팀이 인프라를 보호하고 '알 수 없는 사항'의 수를 줄이며 밤에 잠을 좀 더 편히 잘 수 있게 해주는 귀중한 도구를 얻을 수 있습니다.
보안 전략에 대한 추가 참고 자료를 원하십니까? 보안 전문가가 지금 바로 보안을 강화하는 데 사용할 수 있도록 작년 위협 환경에 대한 포괄적인 분석을 제공하는 Tenable의 2021 Threat Landscape Retrospective를 확인하고 웨비나 “최신 공격 표면에 대한 위험 노출 관리: 보안 환경에서 가장 위험에 노출되어 있고 가장 먼저 수정해야 할 것이 무엇인지 식별하고 커뮤니케이션하기”
관련 기사
- Attack Surface Management
- Executive Management