제로 트러스트를 통해 조직이 사이버 킬 체인의 각 단계를 처리하는 방법

이 블로그 포스트에서는 사이버 킬 체인 (Cyber Kill Chain) 에 대해 알아보겠습니다. 신뢰를 가정하는 보안 모델이 체인의 1~6단계, 즉 초기 보안 침해 시점까지의 모든 단계를 완화하는 데만 도움이 되는 방법과 제로 트러스트 보안에 대한 접근 방식은 보안 침해 전에 초점을 맞춘 기존 제어 수준을 크게 높이는 동시에 침해 사후 탐지 및 대응을 지원하는 데 필요한 주요 기능을 제공합니다.따라서 제로 트러스트를 채택한 조직은 악의적인 침입자를 탐지하고 차단할 준비가 더 잘 되어 있을 것입니다.

우리 모두는 공격이 침투하지 못하도록 하는 심층 방어의 가치를 잘 알고 있습니다.물론, 이것이 바로 우리가 에 투자한 이유입니다. 차세대 방화벽 (NGFW) 는 경계선을 보호하기 위한 것입니다. 엔드포인트 보안 직원 디바이스, 생산성 보호를 위한 이메일 및 웹 보안 도구 등 우리가 투자하는 다른 많은 보안 투자에 사용됩니다.

사이버 침입을 식별하고 방지하기 위해 사이버 킬 체인에 이러한 예방 도구와 심층 방어의 가치가 담겨 있습니다.록히드 마틴이 2011년에 공식화한 사이버 킬 체인 지난 10년 동안 조직이 보안 제어를 구상하고 그 직접적인 결과로 사이버 복원력을 측정하는 방법을 결정하는 방법을 정의해 왔습니다.7단계는 다음과 같습니다.

1. 정찰: 공격자는 공격 전에 대상에 대한 정보를 수집합니다.
2. 무기화: 사이버 공격자는 감염된 Microsoft Office 문서, 피싱 이메일 또는 멀웨어와 같은 공격을 생성합니다.
3. 전송: 실제 피싱 이메일 전송과 같은 공격 전송
4. 공격: 공격의 실제 '폭발' (예: 시스템에서 실행되는 익스플로잇)
5. 설치: 공격자는 피해자에게 멀웨어를 설치합니다 (모든 공격에 멀웨어가 필요한 것은 아님).
6. 명령 및 통제: 현재 취약해진 시스템은 사이버 공격자가 통제권을 확보할 수 있도록 C&C (Command and Control) 시스템으로 “호출”합니다.
7. 목표에 대한 행동: 공격자는 이제 접근 권한을 갖게 되고 목표 달성을 위한 행동으로 넘어갈 수 있습니다.

사이버 킬 체인은 “체인은 가장 약한 고리만큼만 강하다”, “방어는 최고의 공격 형태”라는 격언을 바탕으로 공격자가 환경 내에 처음 감염되거나 접근하기 전에 왼쪽에서 오른쪽으로, 또는 다른 방식으로 진행하는 것을 막는 데 중점을 둡니다.7단계 (목표에 대한 조치) 이전의 어느 시점에서든 악의적인 행위자를 막을 수 있다면 공격을 성공적으로 저지한 것이라는 기대.

그 결과 최근까지도 방화벽, 안티바이러스, 웹 게이트웨이 등 예방적 통제가 강력하게 (어쩌면 지나치게 강조되었을지도 모르지만) 강조되어 왔습니다. 위반을 가정하다오히려 모든 공격을 탐지하고 차단할 수 있다고 가정합니다.하지만 이러한 모든 도구에는 동일한 한계가 있습니다. 바로 '알려진 악성'을 방지하는 데 가장 효과적이라는 것입니다.다음과 같은 가정에 따라 달라집니다.

1. 제 사무실과 직원이 있는 건물은 신뢰할 수 있습니다.
2. 네트워크 경계는 견고하고 신뢰할 수 있습니다.
3. 이 신뢰할 수 있는 경계 내의 네트워크는 신뢰할 수 있습니다.
4. 이 신뢰할 수 있는 네트워크에 연결된 디바이스는 신뢰할 수 있습니다.
5. 이러한 신뢰할 수 있는 디바이스에서 실행되는 애플리케이션은 신뢰할 수 있습니다.
6. 이러한 신뢰할 수 있는 애플리케이션에 액세스하는 사용자는 신뢰할 수 있습니다.
7. 공격자는 예측 가능하며 동일한 행동을 반복합니다.

예방적 통제의 목적은 악의적인 공격자를 차단하여 묵시적 신뢰 수준을 유지하는 것입니다.하지만 공격자가 '알려진 악의'에서 '알려지지 않은 악의'로 변신하면 어떻게 될까요? 그렇다면 이러한 방어선은 어떻게 될까요?현대적이고 정교한 공격 (타겟 침해부터 클라우드 호퍼 그리고 그 사이의 모든 것) 은 특히 이러한 잘못된 신뢰감을 악용하여 1~5단계를 방해하려는 컨트롤을 우회하여 킬 체인의 6단계와 7단계로 빠르게 진행하도록 설계되었습니다.그리고 이러한 예방적 통제는 항상 따라잡기 마련입니다.

더 진행하기 전에 예방 조치가 모든 조직의 중요하고 필수적인 부분이라는 점을 강조하는 것이 중요합니다. 사이버 방어그러나 그들은 더 이상 전부가 아닙니다.사실, 이것들은 시작에 불과합니다.그 이유는 이러한 가정이 더 이상 유효하지 않기 때문입니다. 특히 글로벌 팬데믹으로 인해 모든 부문의 조직이 일하는 방식이 완전히 바뀌고 새로운 표준이 생긴 2020년에는 더욱 그렇습니다.

1. 우리 회사는 더 이상 특정 위치에 있지 않습니다.
2. 둘레는 존재하지만 모든 것을 아우르는 것은 아닙니다.
3. 네트워크는 종종 우리 조직에만 국한되지 않습니다.
4. 내가 제어하지 않는 디바이스가 네트워크에 있습니다.
5. 회사에서 사용하는 애플리케이션은 제가 호스팅, 소유 및 관리하지 않는 경우가 많습니다.
6. 사용자는 어디에나 있습니다.
7. 공격자는 예측이 불가능하며 항상 새로운 공격 방법을 모색합니다.

완전히 신뢰할 수 있는 것은 거의 없다는 것을 보여주는 이러한 새로운 가정을 바탕으로 우리는 보안 침해를 방지할 가능성이 낮은 상황에 처해 있습니다. 따라서 우리는 탐지, 대응 및 억제에 초점을 맞춰야 합니다.그리고 여기에 제로 트러스트가 도입되었습니다.

제로 트러스트를 세 가지 주요 영역으로 나누는 것이 중요합니다.

1. 컨트롤
2. 모니터링
3. 자동화 및 오케스트레이션

제로 트러스트 컨트롤

제로 트러스트 통제는 명목상으로는 기존의 경계 모델에서 비롯된 예방적 통제와 동일할 수 있지만 시작점은 다릅니다.

• 경계 모델은 내부의 모든 것을 신뢰할 수 있다고 가정하므로 경계의 강도를 지나치게 강조합니다. 이는 모든 상황에 맞는 단일 접근 방식입니다.
• 제로 트러스트를 사용하면 이러한 암묵적 신뢰라는 가정이 존재하지 않습니다. 따라서 우리는 더 똑똑해질 수밖에 없습니다.
• 보호가 가장 필요한 것은 무엇입니까?
• 누가 액세스해야 하나요?
• 어디서 왔어요?
• 언제?
• 왜요?
• 상호 의존성은 무엇입니까?

이것이 제로 트러스트 정책을 수립하는 데 사용하는 데이터 포인트입니다.

공격자의 입장에서 이 점을 고려하면 보안 침해 성공 능력에 대한 기준이 상당히 높아진 것을 알 수 있습니다. 즉, 공격자는 더 이상 단순히 네트워크에 대한 액세스 권한을 얻는 것만으로는 충분하다고 가정할 수 없습니다. 즉, 공격자는 측면 이동, 권한 상승, 홈 콜백 등 어떤 용도로든 네트워크에 액세스하는 것만으로는 충분하다고 생각할 수 없습니다.앞서 살펴본 바와 같이 폭스 주교의 마이크로세그멘테이션의 효능에 관한 보고서, 이와 같은 제로 트러스트 컨트롤은 공격자가 행동을 바꾸고 다른 기술을 활용하도록 하며, 이 모든 것이 방어자의 탐지 가능성을 높입니다.통제에 대한 제로 트러스트 접근 방식은 악용될 수 있는 공격 표면을 줄이는 데 도움이 됩니다.제로 트러스트 제어 모델은 중요한 데이터를 보호하는 계층이 포함된 심층 방어를 업데이트한 것으로, 공격자가 예방 기술을 회피하더라도 자유롭게 움직이기 어렵게 만듭니다.

마이터 어트&CK 프레임워크

Zero Trust의 관점에서 모니터링 및 자동화/오케스트레이션에 대해 이야기하기 전에 다음으로 넘어가겠습니다. 마이터 ATT&CK 프레임워크 프레임워크의 출발점은 보안 침해를 가정하는 것으로, 초기 보안 침해 시점부터 임무를 성공적으로 완료할 때까지 공격자가 어떻게 행동할지 이해하는 데 중점을 둡니다.이러한 이해를 바탕으로 특정 이벤트를 모니터링하는 탐지 기능을 정의할 수 있습니다. 특정 이벤트를 개별적으로 모니터링하거나 상관 관계가 있는 경우 추가 조사가 필요할 수 있는 비정상 동작의 지표를 얻을 수 있습니다.

제로 트러스트 모니터링

MITRE ATT&CK 프레임워크는 가시성을 중시합니다. 즉, 가능한 많은 데이터 소스 (네트워크, 방화벽, 프록시, AV, EDR, IAM, OS, 클라우드 서비스 제공업체, 애플리케이션, DB, IoT 등) 에서 발생하는 높은 충실도 이벤트로, 방어 팀이 알려진 공격과 관련된 다양한 행동을 모델링하고 공격자와 공격 방법에 대한 추가 지식이 확보됨에 따라 이를 지속적으로 발전시킬 수 있습니다.제로 트러스트 접근 방식은 이전 접근 방식과는 달리 가시성을 중시합니다. 사실 제로 트러스트의 모토는 “보이지 않는 것은 보호할 수 없습니다”일 수 있습니다.따라서 제로 트러스트 프로그램의 일환으로 가시성을 개선하고 MITRE ATT&CK 프레임워크를 사용하여 조직이 당할 수 있는 적대적 행동을 모델링함으로써 이미 존재하는 기능을 활용하여 사이버 킬 체인의 방어 측면에서 가치를 창출할 수 있습니다.

훌륭한 BBC 팟캐스트”13분 투 더 문”에서는 두 번째 시리즈의 악명 높은 Apollo 13 탐사를 다루고 있으며, Apollo 우주선의 설계와 전체 운영 팀 지원에 대한 내용은 최선의 예방 시도에도 불구하고 탐지 및 대응의 중요성을 강조하는 좋은 비유입니다.아폴로 임무를 위해 설계된 우주선은 모든 구성 요소에 엄청난 양의 복원력과 안전 장치가 내장되어 있었으며, 가능한 예상 결과를 복구할 수 있도록 수많은 고장 시나리오를 테스트했습니다.아폴로 13호에서는 단일 부스터 엔진의 손실을 다른 4호기의 발사로 보상했지만, 임무를 위태롭게 한 폭발을 촉발시킨 배선 절연체의 마모를 방지할 수 있는 설계는 없었습니다. 일단 이런 일이 발생하면 (파손과 유사) 승무원과 임무 제어는 우주선의 원격 측정, 우주 비행사 및 전문가의 관측에 전적으로 의존하게 되었습니다. 지상에서 문제를 감지하고 문제를 격리하고 복구하십시오.이는 관련 데이터 소스에서 정확한 정확도의 데이터를 사용할 수 있고 이 데이터를 효율적으로 분석할 수 있는 기능을 통해 보안 운영 팀이 사고를 더 정확하게 분류할 준비가 훨씬 잘 되어 있어 추가로 조사해야 하는 이벤트 (또는 이벤트의 조합) 와 무시해도 무방할 수 있는 이벤트 (또는 이벤트의 조합) 에 대해 더 나은 (그리고 더 빠른) 결정을 내릴 수 있다는 것을 보여주는 좋은 예입니다.

제로 트러스트 자동화

보안 오케스트레이션, 자동화 및 대응 (SOAR) 플랫폼의 등장은 공격의 전체 탐지 후 단계를 수행하고 탐지에서 대응으로 효율적으로 이동할 수 있는 기술 세트를 제공하는 데 중점을 두고 있습니다.일반적인 악성 행동 패턴의 경우 이 전체 시퀀스를 자동화하여 분석가가 보다 정교한 공격을 조사하는 데 시간을 할애할 수도 있습니다.SOAR 플랫폼이 이러한 효율성을 제공하려면 관련 데이터를 제공하거나 필요한 대응 조치를 취하는 기술 솔루션과 통합할 수 있어야 합니다.이것이 바로 오케스트레이션과 자동화가 제로 트러스트의 필수 기둥이지만 간과되는 이유이기도 합니다.자동화를 통해 새로운 설정을 조정하거나 계획된 변경의 일부로 기존 설정을 수정할 수 있으면 상당한 운영상의 이점을 얻을 수 있지만, 보안 사고에 대응하도록 동일한 플랫폼을 신속하고 일관되게 오케스트레이션할 수 있을 때 실질적인 보안 이점이 실현됩니다.

그래서 우리가 시작한 곳으로 돌아가서:

• 보안에 대한 기존의 경계 접근 방식은 사이버 킬 체인의 일부만 다루며, 보안 침해 이후 단계에는 거의 영향을 주지 않습니다.
• 제로 트러스트는 보호 대상 (예: 중요 데이터 또는 주요 애플리케이션) 에 대한 감사로 시작하고 이에 대한 제어 기능이 적절한 최소 권한 접근 방식으로 구축되도록 함으로써 예방 기능을 크게 향상시킵니다.
• Zero Trust는 '보안 침해를 가정한다'는 입장에서 시작하여 사후 침해 탐지를 지원하는 고품질 로그를 제공하는 솔루션을 중시합니다.
• 또한 고객이 제로 트러스트를 달성하도록 돕는 것을 목표로 하는 기술은 우수한 오케스트레이션과 자동화를 갖추어야 한다는 주장은 사고에 대한 자동화된 대응에서 SOAR 플랫폼을 지원할 수 있다는 것을 의미합니다.

따라서 제로 트러스트 접근 방식을 채택하면 사이버 킬 체인의 처음 6단계를 저지하는 데 중점을 두었던 기존의 경계 접근 방식을 강화할 수 있을 뿐만 아니라 공격자가 7단계에 도달하여 의도한 조치를 취하려고 할 경우 공격자를 탐지하고 차단하는 데 집중할 수 있습니다.

제로 트러스트에 대한 Illumio의 접근 방식에 대한 자세한 내용은 다음을 참조하십시오. https://www.illumio.com/solutions/zero-trust