마이크로세그멘테이션의 효과를 측정할 수 있습니까?

“측정할 수 없다면 통제할 수 없습니다.” — 로드 켈빈

정량적 측정은 다양한 제품 비교, 프로젝트 성공 여부 결정, 스포츠 팀 개발 추적 등 우리가 하는 모든 일에 영향을 미칩니다.주관적인 의견에만 의존하지 않고 실제적이고 객관적이며 “비슷한” 비교를 할 수 있습니다.하지만 대다수 엔터프라이즈용 보안 제품에 대해서는 우리를 도와줄 수 있는 제품에 만족하는 것 같습니다. 더 준수, 개선 당사의 보안 또는 제공 ...보다 나은 위협 탐지 방법 — 더 많음/개선/개선이 모두 질적 측정 — 이것은 흥미로운 접근 방식입니다.하지만 이제 정통한 보안 구매자가 공급업체 클레임을 뒷받침하기 위해 수치를 요구하는 사례가 점점 더 많아지고 있습니다.그들은 “해당 제품 또는 솔루션의 성공 여부를 어떻게 측정할 것인가?” 와 같은 질문을 던지고 있습니다.

지난 몇 년간 보안 매체에 쏟아진 기사를 보면 다음과 같은 사실이 분명해집니다. 마이크로세그멘테이션 이제 조직의 필수 보안 제어로, 모든 보안 전략에서 '테이블 스테이크'입니다.특히 마이크로 세그멘테이션이 모든 제로 트러스트 전략에서 핵심적인 역할을 하는 것은 측면 이동을 제한하고 공격자가 의도한 표적을 찾기 위해 네트워크를 탐색하는 것을 방해한다는 점을 감안하면 그리 놀라운 일이 아닙니다.마이크로세그멘테이션은 “최소 권한”의 전형적인 예입니다. 즉, 통신이 허용되어야 하는 사물만 통신을 허용하는 것이죠. 그 이상도 그 이하도 아닙니다.그러나 과거에는 마이크로세그멘테이션을 구현 (또는 구현을 고려 중인) 업체에서는 마이크로세그먼테이션의 효능을 입증할 정량적 측정이 부족했습니다.

Illumio에서는 마이크로세그멘테이션의 이점, 환경 규모가 커짐에 따라 미치는 영향이 어떻게 변하는지, 그리고 이러한 결과를 자체 환경에서 검증하고자 하는 모든 조직에서 반복할 수 있는 명확한 테스트 방법론을 정량적으로 입증하는 것이 중요하다고 생각했습니다.이를 위해 우리는 레드팀 전문가들과 협력했습니다. 비숍 폭스 MITRE ATT&CK® 프레임워크의 주요 구성 요소를 기반으로 마이크로세그멘테이션의 효과를 측정하는 방법에 대한 업계 최초의 청사진을 수행하고 문서화합니다.

Bishop Fox 팀은 일련의 라운드를 통해 테스트 환경에서 '왕관 보석' 자산 한 쌍을 찾는 임무를 맡았습니다.이를 '깃발 뺏기' 연습과 비슷하지만 환경을 적극적으로 방어할 블루 팀이 없는 상황이라고 생각하시면 됩니다.컨트롤 테스트를 포함하여 총 네 차례의 테스트가 진행되었습니다.테스트를 할 때마다 마이크로세그멘테이션 정책이 점점 더 엄격해졌습니다.

• 제어 테스트 — 마이크로세그멘테이션 제어가 제대로 이루어지지 않음 (기본적으로 플랫 네트워크)
• 사용 사례 1 — 환경 분리 (즉, 마이크로세그멘테이션은 매우 세분화되어 있어 운영, 테스트, 개발 등 다양한 환경의 워크로드가 동일한 환경의 다른 워크로드에만 연결될 수 있음)
• 사용 사례 2 — 애플리케이션 링펜싱 (Application Ringfencing): 특정 환경의 특정 애플리케이션 (예: 결제 처리 애플리케이션 또는 HRM 애플리케이션) 과 관련된 워크로드만 서로 통신할 수 있는 차세대 마이크로세그멘테이션 세분화이러한 상황을 실제로 완화하는 것으로 생각하면 됩니다.
• 사용 사례 3 — 계층 세분화 (즉, 계층 세분화 정책 중 가장 세분화된 형태로, 특정 환경의 특정 애플리케이션에 있는 특정 계층 (예: 웹 계층 또는 DB 계층 등) 에 연결된 워크로드만 서로 통신할 수 있도록 합니다.

Bishop Fox 팀은 테스트 환경에 대한 사전 지식이 없었으며 각 테스트마다 전체 환경을 파괴하고 다시 구축했습니다.즉, 각 테스트 라운드마다 아무 것도 전달되지 않았습니다. 특히 토폴로지와 IP 주소는 날아가 버렸습니다.모든 마이크로세그멘테이션 정책은 화이트리스트 또는 기본 거부 접근 방식을 사용하여 정의되었습니다. 즉, 규칙은 인증된 트래픽을 명시적으로 허용하도록 작성되었으므로 규칙이 없는 모든 것은 기본적으로 허용되지 않아 차단되었습니다.초기 테스트는 워크로드가 100개인 환경 (대부분의 중간 규모 조직의 배포 규모보다 훨씬 작음) 을 대상으로 수행되었으며, 사용 사례 2는 500개 및 1,000개의 워크로드에서 반복되었습니다.

100개의 워크로드를 포함하는 테스트에 대한 관찰 결과는 다음과 같습니다.

이 데이터는 아주 간단한 환경 분리 정책 (사용 사례 1) 으로도 공격자가 열거하고 목표에 도달하는 데 300% 이상의 난이도를 제공한다는 것을 보여줍니다. 그리고 상대적으로 적은 양의 점진적 노력은 애플리케이션 링펜싱 정책 (사용 사례 2) 을 적용하면 공격자의 난이도가 450% 증가합니다..하지만 마이크로세그멘테이션을 매력적인 보안 제어 수단으로 만드는 것은 눈에 띄는 노력의 증가만이 아닙니다.차단된 연결 수의 증가에 주목해 보면 무단 연결을 시도하는 공격자를 탐지할 수 있기 때문에 방어 측 입장에서는 이러한 노력이 매력적인 투자로 작용한다는 것을 알 수 있습니다.이는 컨트롤, 사용 사례 1 및 사용 사례 2 테스트에서 생성된 트래픽의 양에서도 확인할 수 있습니다. 매우 오랜 기간 시도하지 않는 한 이러한 연결 볼륨의 급증은 SOC에서 경고를 트리거하여 조사로 이어져야 합니다.

또한 흥미로운 점은 계층 세분화가 적용된 사용 사례 3에서 시도한 연결 끊김입니다.이러한 하락은 환경이 너무 촘촘하게 세분화되어 (예: 점심 시간에 보아 콘스트릭터를 생각해 보세요) 공격자가 전략을 바꾸도록 강요받았기 때문입니다 (사용 사례 2와 비교).하지만 이러한 전술 변경이 궁극적으로 공격자의 보다 효율적인 승리로 이어지지는 못했습니다.실제로 방어 진영이 마이크로세그멘테이션 정책을 강화하려는 노력이 비교적 적었음에도 불구하고 성공에 이르는 총 시간은 여전히 증가했으며 대조 실험보다 950% 높았으며, 이는보안 정책의 제한이 증가하면 공격자의 접근 방식이 크게 변경됩니다., 이전 사용 사례와 비교했을 때, 이러한 변경조차도 훨씬 더 나빠졌습니다.

첫 번째 테스트의 헤드라인 — 적의 작업을 3배~10배 더 어렵게 만들고 싶지 않으세요?그렇다면 마이크로 세그멘테이션을 구현하세요.

다음은 100, 500 및 1000 워크로드의 사용 사례 2 (애플리케이션 링펜싱) 에 대한 데이터입니다.

여기서 중요한 점은 보호 구역의 규모가 커질수록 공격자의 역할은 눈에 띄게 더 어려워집니다 (4.5배에서 22배 사이). 구현된 분할 정책의 성격이 바뀌지 않더라도 말입니다. 이는 고도의 전술적 세그멘테이션 구축을 넘어서서 실질적인 이점이 있는 만큼 이 기능 세트를 전체 부동산으로 확장하는 것에 대한 강력한 근거입니다.

이 모든 것이 무엇을 의미할까요? 제 최종 생각은 다음과 같습니다.

1. 마이크로세그멘테이션은 화이트리스트 접근 방식을 취해야 합니다. 승인된 경로를 제외한 모든 경로를 제거하므로 이 접근 방식을 취해야만 보안 태세의 개선 효과를 진정으로 측정할 수 있습니다.
2. 마이크로 세그멘테이션은 아주 간단한 환경 분리 정책을 사용하더라도 공격자가 결과를 달성하기가 최소 3배 더 어렵게 만듭니다. 이는 이 기능에 투자해야 하는 강력한 근거가 되기 때문입니다.
3. 정책 정의를 변경할 필요 없이 마이크로세그멘테이션의 배포 규모를 늘리면 그 자체만으로도 전반적인 보안 이점을 얻을 수 있습니다. 조직은 세분화를 작은 전술적 하위 집합이 아니라 전체 자산으로 확장하는 것을 목표로 삼아야 합니다.
4. 마이크로세그멘테이션 정책이 점점 더 정교해짐에 따라 공격자의 접근 방식이 바뀌게 되는데, 이는 종종 시간이 많이 걸리고 탐지 가능성이 높아집니다.

자세한 내용은 사본을 다운로드하십시오. 보고서 오늘 저희와 함께 하세요 라이브 웨비나 6월 16일 화요일에

‍