솔라윈즈 브리치: 제로 트러스트로의 패러다임 전환 주도

SolarWinds 타협과 지속적인 여파로 인해 기업이 외부 종속성 (공급업체, 고객 또는 파트너) 을 가진 모든 접점을 제어하고 검증하는 것이 어렵다는 점에 초점이 맞춰졌으며 “체인은 가장 약한 링크만큼만 강하다”는 오래된 격언을 더욱 강조합니다.

2010년대 초반부터 발생한 타겟 침해와 보다 최근의 소위 말하는 '클라우드 호퍼'공격은 이미 공급망과 관련된 위험을 강조했습니다. 특히 공급망의 구성원이 네트워크에 어떤 형태로든 직접 액세스할 수 있는 경우 (예: 네트워크 액세스가 필요한 타사 관계) 는 더욱 그렇습니다.따라서 이러한 위험이 인식됨에 따라 이러한 네트워크 접점에서 시행되고 있는 보안 통제에 더욱 초점을 맞출 수 있게 되었습니다.이러한 제어를 적절히 구현하면 이러한 접점이 있는 위치, 액세스를 허용하는 대상, 액세스 수준 및 액세스 모니터링 방법을 명확하게 이해할 수 있습니다.탐지 및 대응 관점에서 보면 이러한 '우선 순위' 정보 때문에 주의해야 할 지표가 더 분명하게 제시될 수 있습니다.

무엇보다도 SolarWinds 타협은 우리가 예상하지 못했던 기술 공급망의 특정 지점 (예: 신뢰할 수 있는 소프트웨어 공급업체의 서명된 업데이트) 을 공격했기 때문에 불안합니다.하지만 백도어 공격자에게 기회를 제공했다는 점에서는 우리 모두가 인정하는 '완벽한' 사례입니다.

공격의 성공 확률은 사용 가능한 자격 증명, 사용 가능한 네트워크 액세스 및 악용 가능한 취약성에 따라 결정된다고 주장할 수 있습니다.이 경우 네트워크 액세스가 광범위하고 시스템 및 디렉터리 서비스에 대한 액세스 권한이 높은 시스템을 침해하는 것은 악의적인 공격자의 위시리스트에 매우 높은 위시리스트에 오를 수 있습니다.Orion 플랫폼이 바로 이러한 기회를 제공했습니다.

공격자들이 SolarWinds의 코드 검증 및 빌드 프로세스를 어떻게 손상시켰는지는 아직 조사 중이며, 자체 개발을 수행하는 모든 조직이 동일한 위험을 완화할 수 있는 방법에 큰 관심을 가질 것이라는 데는 의심의 여지가 없습니다.

지금 가장 중요한 것은 잠재 노출이 어떻게 지속되는지입니다. 아직 밝혀진 바가 있기 때문입니다.접근 가능한 수준과 범위는 공격자가 어디까지 접근하고 숨길 수 있었는지 정확히 가늠하기 어렵다는 것을 의미합니다.오리온 업데이트의 사용은 순전히 대상 조직에 (매우 눈에 띄는) 교두보를 마련하기 위한 것이지, 존재감이나 접근의 지속성을 위한 필수 요소도 아닌 것으로 알고 있습니다.

따라서 지속적인 탐지 및 대응에 중점을 두고 있습니다.이 점에서 우리 모두가 해야 할 중요한 역할이 있습니다.이 대규모 공격이 발견된 것은 노련한 사고 대응 및 사이버 보안 공급업체 (FireEye/Mandiant) 도 공격을 받았기 때문에 가능했습니다.그러나 이들은 보안 침해 이후 데이터 도난을 탐지하고 이를 공개적으로 공개한 후 초기 대응 조치를 제시한 첫 번째 피해자 명단에 올랐습니다.아마도 이것이 현재 진행 중인 에피소드의 장점 중 하나일 것입니다.

보안 공급업체는 공격 전파를 탐지하고 제한 (또는 최소한 지연) 하는 데 우리가 제공하는 솔루션을 가장 잘 사용할 수 있는 방법을 긴급히 결정해야 합니다.

• Blue Teams가 효과적으로 활용하여 조직 내 활동을 보다 정확하게 파악하고 더 명확한 침해 지표를 제공할 수 있는 텔레메트리가 있습니까?
• 측면 이동을 제한하기 위해 신속하게 적용할 수 있는 정책이 있습니까?
• 당사의 기술 솔루션이 연결의 양, 권한 있는 액세스의 사용 또는 워크로드의 취약성 수를 통해 애플리케이션이 조직에 야기하는 위험을 노출시키고 잠재적으로 완화할 수 있습니까?
• 손상된 자격 증명이 언제 사용되는지 신속하게 식별하여 추가 액세스를 방지할 수 있습니까?
• 알려진 TTP와 새로운 TTP를 식별하는 여러 보안 솔루션을 통해 쉽게 상관관계를 도출할 수 있습니까?

그리고 잠재적 대상 조직은 어떨까요? 그들이 해야 할 일은 무엇일까요?이제는 각 자산과 관련된 사이버 위험을 이해하는 것이 그 어느 때보다 중요합니다.

• 가장 중요한 리소스를 신속하게 파악할 수 있습니까?
• 이러한 리소스에 대한 액세스 모델을 얼마나 잘 이해하고 있습니까?
• 이러한 서버/워크로드와의 아웃바운드 통신을 제어할 수 있습니까?처음부터 아웃바운드 통신이 존재해야 할까요?
• 각 계층 (예: 최종 사용자 장치, 네트워크, ID 및 액세스 관리, 애플리케이션 등) 에 적절한 모니터링이 있습니까? 개선할 수 있습니까?
• 제로 트러스트/최소 권한에 가까워지도록 액세스 정책을 강화할 수 있습니까?
• 보안 소프트웨어 개발 사례를 재검토하여 최대한 강력하게 만들 예정입니까?

악명 높은 '쇼크 독트린 (Shock Doctrine) '패러다임은 시스템에 변혁적 변화를 강요하기 위해서는 전체 시스템이 충격을 받아 그러한 변화가 필요하다는 것을 깨닫게 해야 한다고 제안합니다.공급망의 보안 및 공급망과 관련된 위험에 초점을 맞추는 것이 당연하겠지만, 진정한 변화는 다음과 같아야 한다고 생각합니다.

기술 공급업체 해야 합니다 고객이 제공하는 기존 솔루션을 사용하여 탐지 및 대응 기능을 지원하는 방법을 고객에게 교육할 수 있어야 합니다.

고객 (예: 조직) 해야 합니다 집중 대상:

• 가장 중요한 자산을 식별합니다.
• 다양한 센서를 사용하여 이러한 자산을 적극적으로 모니터링하여 악성 TTP의 징후를 식별합니다.
• 이러한 자산의 액세스 모델을 이해하고 최소 권한 정책을 적용하여 자산을 보호합니다.
  

여러 면에서 여기에 제시된 기회는 실제로 시작 패러다임입니다. 제로 트러스트: “보안 위반으로 간주하여 소유권을 얻는 것이 정말 어려워질 수 있습니다.”