RSAC에서 생중계합니다!테스트, 검증, 검증

00:02 라구 난다쿠마라: 더 세그먼트에 오신 것을 환영합니다.제로 트러스트 리더십 팟캐스트.저는 호스트 라구 난다쿠마라 (Raghu Nandakumara) 입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자입니다.오늘은 공격 보안 및 침투 테스트 분야의 선두주자인 Bishop Fox의 수석 연구원인 롭 레이건 (Rob Ragan) 이 저와 함께합니다.Bishop Fox에서 Rob은 고객과 기술을 위한 실용적인 솔루션에 초점을 맞추고 지속적인 보안 자동화를 위한 회사의 전략을 감독합니다.10년 이상의 사이버 경험을 갖춘 롭은 이전에 휴렛팩커드와 SPI Dynamics에서 다양한 소프트웨어 엔지니어링 역할을 맡았습니다.이번 특별판 에피소드에서는 Rob이 RSAC에서 생방송으로 나와 다양한 유형의 위협, 공격적 보안 트렌드, 사이버 복원력 개선을 위한 새로운 기회를 지속적으로 찾는 방법을 알아보았습니다.현재 상황에 도달하기 위해 어떤 진로를 거쳐야 했나요?여러분의 배경에 대해 조금 말씀해 주세요.

00:57 롭 레이건: 저한테는 정말 개인적인 열정과 취미로 시작했어요.운 좋게도 어린 나이에 비슷한 생각을 가진 사람들을 만날 수 있었어요.사실 2600: Hacker Quarterly Magazine을 통해서였는데 그 당시에는 그다지 선한 영향을 미치지 못한 친구가 웹 사이트를 훼손하는 방법에 대해 알려주었고, 웹 사이트와 문제를 일으키는 부분은 건너뛰겠습니다. 하지만 이 커뮤니티도 있고 컴퓨터를 이런 식으로 바라보는 사람들이 있을 가능성이 있다는 사실이 정말 눈을 뜨게 해주었습니다.거기서부터 저는 항상 제가 소프트웨어 엔지니어가 되겠다고 생각했습니다.저는 IT 컨설턴트로 일하면서 기술 지원부터 네트워크 관리자, 시스템 관리자에 이르기까지 모든 일을 해냈고...하지만 실제로 코딩을 할 기회가 생기기 시작한 것은 소프트웨어를 테스트하고 디버깅을 하고 버그 수정을 도와주면서 웹 애플리케이션 개발자가 되면서부터요.그래서 저는 약 7년 동안 전문적으로 웹 애플리케이션 개발자로 일했습니다.그 후 저는 보안 제품 분야에서 첫 번째 역할을 맡게 되었습니다. SPI Dynamics라는 회사에서 웹 애플리케이션을 크롤링하고 자동화된 방식으로 취약점을 검사하는 WebInspect라는 제품을 만들고 있었습니다.

02:05 롭 레이건: 그리고 저는 이렇게 말했습니다. “네.이게 정말 제가 하고 싶은 일이에요.”저는 그 엔진에 대해 연구하고 있었는데, 그 회사에서 정적 분석 관련 일을 하게 되었죠.하지만 사실 제가 처음 맡은 일은 취약한 웹 애플리케이션을 개발해서 우리 제품에서 찾을 수 있도록 하는 것이었습니다.그래서 응용 프로그램을 구축하는 잘못된 방법을 모두 깊이 연구해야 했습니다. 예를 들어, 우리 제품이 코드 수준과 실제 응용 프로그램 테스트 수준에서 이러한 문제를 찾아내는지 확인하기 위해 SQL 삽입을 구현할 수 있는 다양한 방법은 무엇일까요?하지만 그곳에서 처음으로 침투 테스트를 맛보게 된 곳이기도 합니다.그들은 실제로 저를 한 무리의 사람들과 함께 2주 동안 한 조직을 조사할 수 있게 해주었습니다.그리고 정말 최악이었어요.제가 말했죠. “잠깐만요.이걸 전문적으로 할 수 있어요?사람들이 매일 하루 종일 이 일을 하면 돈을 주겠다고요?”그러자 정말 눈이 떠졌어요. “네.좋아요.이건...변화를 꾀하고 싶어요.이게 제가 하고 싶은 일이에요.정말 신나는 일이에요.”

02:52 라구 난다쿠마라: 정말 멋지네요.그나저나 수석 연구원으로서 당신이 맡은 역할에서 그 제목이 마음에 들어요.위협의 성격을 살펴보고 “위협 환경”이라는 상투적인 용어를 사용한다면, 이 분야에 열성적으로 참여했던 지난 10~15년간 상황이 어떻게 변했을까요?

03:17 롭 레이건: 네.이에 대한 우리의 이해가 많이 변하고 발전했다고 생각합니다.저는 여전히 근본적으로 일관된 진실이 있다고 생각해요. 그래서...저는 우주의 위협이 어떤 조직을 표적으로 삼는지 전혀 신경 쓰지 않는 기회주의적 위협 해커와 정말 비슷하다고 생각하고 싶습니다.그들은 아마도 최신 CVE가 무엇이든, 가장 최근에 발생한 문제가 무엇이든 인터넷 전체를 샅샅이 뒤져 누가 취약한지 확인하고, 리소스를 수집하고, 자산을 수집하고, 초기 액세스 벡터를 얻고, 나중에 그들이 어디에 있는지를 알아내고 있을 것입니다.그리고 동기가 부여된 위협도 있다고 생각하는데...특정 조직을 표적으로 삼겠다는 목표가 있거나...그리고 궁극적으로는 “내가 원하는 것을 얻을 때까지 포기하지 않겠다”는 지속적인 위협이 뒤따르죠.지난 10~15년간 이런 상황이... 으로 진화한 것을 볼 수 있는 것 같아요.이런 기회주의적 위협은 훨씬 더 많지만, “좋아요.이제 제가 어떤 조직에 속해 있는지 알게 되었어요.이건 정말 잘 익은 랜섬웨어의 표적입니다.그리고 그걸 팔아도 될 것 같은데...심지어 초기 액세스 벡터를 다른 그룹에 팔아도 그 랜섬웨어 도구를 실제로 실행하고 그 회사를 강탈하는 과정을 자동화하려는 의욕이 더 강하죠.”

04:26 라구 난다쿠마라: 그래서 제가 하고 싶은 건...악의적 행위자 멀웨어의 경제 전체를 약간만 다루셨는데요, 잠시후에 다시 설명하도록 하겠습니다.하지만 동기 부여에 대해 말씀하셨는데 저는 “오.” 라는 말에서 동기 부여의 진화를 알 수 있습니다.저는 이런 방법을 찾았어요. 근본적으로 무언가를 방해하고, 어떤 사람들을 약간 짜증나게 하고, 어쩌면 조직을 짜증나게 하고 그냥 놔두는 거죠.”그리고 물론 랜섬웨어는 “어떻게 하면 수익을 창출하고 시스템에 대한 데이터 액세스를 복원할 수 있게 되면 몸값을 요구할 수 있을까?” 의 대표적인 예가 될 수 있습니다.그리고 마지막 종류에 걸쳐...특히 지난 번엔...제 생각엔 그게...지난 12개월 동안 이 용어가 유행했지만, 확실히 그랬던 것은 정치적 사건 등 거대한 규모의 혼란에 관한 것이었기 때문입니다.그 결과 일종의 “사이버 레질리언스”라는 용어가 이제 고객들, 물론 벤더들 사이에서 “좋아요.” 라는 용어가 정말 원하는 용어로 자리 잡았다는 것을 분명히 보고 들었습니다.더 나은 사이버 레질리언스를 달성할 수 있도록 도와드립니다.”공격의 주요 동기가 성가신 공격에서 금전적 장애로, 대규모 장애로 바뀌는 것도 보신 적이 있으신가요?

05:32 롭 레이건: 맞아요.그리고 제 생각엔 그게 정말 조직에만 특화되는 것 같아요...기업은 무중단 업무 운영 계획이나 복원력 계획 중 “가용성에 초점을 맞추고 싶은 부분인가?” 라는 레질리언스 계획에서 집중하고자 하는 대상을 찾는 데 점점 더 성숙해지고 있습니다.즉, 운영 중단이 발생하면 수익에 어떤 영향을 미치나요? 보호하려는 자산일까요, 아니면 제가 집중하고 싶은 다른 것일까요?”이런 조직들은 임원급에서도 앉아서 동료들에게 영향을 미친다고 생각되는 다양한 시나리오의 사고 대응 계획에 대해 실제로 논의하고 싶어하는 것을 보고 있습니다. 그리고 언제 이 문제를 해결해야 하는지가 문제입니다. 실제로 복구 방법을 계획하여 앞서 나가는 것이 관건입니다.임원진의 모든 직급에서도 이 분야에서 법무 팀의 역할은 무엇일까요?이 분야의 HR 팀은 무엇이고, PR 팀은 무엇인가요?이런 일이 발생했을 때 어떻게 복구할 것인지에 대한 계획과 대응책이 미리 작성되어 있나요? 그래서 우리가 압박을 받고 실수를 저지르느라 분주하지 않도록 말이죠.

06:31 라구 난다쿠마라: 물론이죠.다시 돌아와서 조직과 위협 환경 등을 살펴보고 전체를 연결하면...공격의 주된 동기가 대규모 파괴라는 이야기를 나눴습니다.이와 관련해서 말하자면, 최근에는 특히 국가적 중요 인프라에 초점이 맞춰지고 있는 것으로 보입니다. OT 연장선상에서 말이죠...대규모 OT/IoT 네트워크, 그리고 IT와 OT/IoT가 만나는 지점입니다.이것이 위협 연구원이자 공격형 보안 공급업체로서 여러분의 관행에 실제로 어떤 영향을 미치고 있나요?

07:10 롭 레이건: 우리는 운 좋게도 세계에서 가장 큰 회사들과 함께 일할 수 있게 되었습니다...상장 기업 중 우리와 파트너 관계를 맺고 있는 기업은 존 디어 (John Deere) 입니다.따라서 조직의 규모와 OT를 모든 트랙터의 일부로 보는 방식을 살펴볼 때마다, 상호 연결된 수만 또는 수십만 개의 장치가 위성 네트워크를 통해 생산, 텔레매틱스, 데이터 센터 등에 연결되어 글로벌 식품 공급망에 대한 가시성을 확보하고 있습니다. OT 장치가 중단되면 운영 능력에 영향을 미칠 수 있습니다. 국가 전체를 먹여 살리고 전체 경제에 영향을 미치기 위해서죠.우리가 할 수 있는 일은 그들이 사고 대응 능력을 연습하고 싶어하는 다양한 위협 행위자의 시작 상태가 무엇인지 총체적으로 살펴보도록 돕는 것입니다. 즉, 장치의 헤드업 디스플레이 장치를 손상시키는 것은 어떤 모습일까요?클라우드 환경에 손상된 워크로드가 있다면 어떤 모습일까요?만약에...시작 상태는 기업 환경의 노트북인가요, 아니면 직원의 노트북인가요?그런 다음 어떤 제어 수단이 필요한지에 대한 시나리오에서 실제로 계획을 세울 수 있게 되면 가시성을 확보하고 이러한 유형의 공격이 발생하고 있음을 감지하는 데 도움이 될 것으로 기대됩니다.예방 관점에서 볼 때 이들이 가지고 있는 통제는 무엇일까요?

08:43 롭 레이건: 그리고 우리는 그들이 실제로 관련된 모든 구성 요소가 무엇인지 시각화하도록 도울 것입니다.아직 개발되지 않았더라도 우리는 조직이 이러한 구성 요소의 아키텍처와 설계를 구상할 수 있도록 돕고 있습니다. 그래야 레드팀 구성의 관점에서 전체론적으로 바라보고 우리가 의도한 신뢰 범위가 어디인가라는 질문에 답할 수 있습니다.사고 대응을 촉발하고 싶다고 생각하는 영역은 어디입니까?그런 다음 공격자의 관점에서 우리가 보는 것을 공격 그래프로 실제로 시각화하도록 도와주죠.이러한 환경에서 공격을 실행할 때마다 방향을 바꾸는 데 사용하는 MITRE ATT&CK 프레임워크 TTP는 무엇이며 개선의 기회는 어디에 있습니까?우리가 이 액세스 권한을 통해 이 시스템에 구현한 것처럼 고객이 이 그래프를 통해 시각화할 수 있도록 돕고 있습니다.다른 시스템으로 전환했는데 여기서 컨트롤을 발견했거나 예상했던 컨트롤을 만나지 못했는데, 이것이 개선의 기회가 될 수 있습니다.또는 제어 기능을 발견한 경우 다른 경로를 택해야 했습니다. 부분적인 탐지가 있는 부분과 부분적인 방지가 있는 부분을 실제로 이해하도록 돕고 있습니다. 하지만 여기에는 가시성이 부족했거나 개선할 수 있는 잘못된 구성이 있었을 수 있습니다.

09:35 롭 레이건: 그리고 많은 팀들이 공격자의 관점을 모방해서 보고 싶어하는 것 같아요.그리고 저널링 기능이 있는 자체 멀웨어 이식 프레임워크에 대해서도 자세히 알아보겠습니다.그래서 우리는 시스템에 있을 때마다 이 명령을 실행한 날짜와 타임스탬프를 기록하고 있습니다. 그래서 블루 팀이 연구를 진행해서... Splunk나 다른 로그에서 해당 활동을 확인했는지, 아니면 합법적으로 사용할 수 없는 활동인지, 인시던트 대응에서 발생하는 새로운 이벤트로 트리거할 수 있기를 원하는지 연구할 수 있도록 하죠.

10:09 라구 난다쿠마라: 방금 말씀하신 것에 대한 보답을 드리기 위해 아주 기본적인 질문을 드리고 싶습니다.흔히 IT, OT, IoT의 위협인 IT에 대해 이야기할 때, 마치 IT와 OT의 경계에 초점을 맞추는 것과 같은 경우가 많습니다.이러한 상호 연결이 발생하는 경우 위험을 단순하게 표현하면 IT의 손상이 OT 네트워크의 손상으로 이어지고, 예를 들어 제조가 중단되거나 의료 조직이 환자 서비스를 제공할 수 없게 됩니다.하지만 실제 위협이나 위험은 그보다 훨씬 더 복잡하며 심지어 IT와의 상호 작용 없이 OT 네트워크 자체가 손상될 수도 있다고 확신합니다.이건 진짜 위협이에요.그렇다면 실제 위협이 무엇인지 더 잘 표현한 것은 무엇이라고 생각하시나요?

11:00 롭 레이건: 네.실제로 파헤치고 싶어하는 조직들이 보이고 있습니다...경우에 따라 해당 장치의 펌웨어를 테스트하고 실제로 조직이 구축할 때 역할을 맡지 못했지만 이제는 이러한 구성 요소 사용에 대한 공동 책임과 보안을 갖는 타사 구성 요소가 무엇인지 파악하려고 노력하고 있습니다.이전에는 테스트와 분석을 하지 않았던 경우가 많지만, 특히 공급망 위험에 초점을 맞추고 특히 취약점이 될 수 있는 부분에 초점을 맞출 때 이러한 문제가 드러나고 있습니다. 이전에는 테스트를 진행하지 않고 취약점을 찾아내려고 노력하지 않았습니다.하지만 그게 해당 기기를 침해할 수 있는 가장 취약한 고리일 수도 있습니다.그리고 위협은...따라서 공격자들은 이러한 장치에서 일반적으로 사용되는 이러한 구성 요소를 연구하고 있습니다.아마도 칩셋에 내재된 문제들이 내재되어 있고 실제로 고칠 수 없는 문제일 수도 있습니다.그래서 그들은 이걸 보고 있는데, 만약 제가 그걸 악용한다면 제가 인터넷에서 찾아서 볼 수 있는 모든 장치에 영향을 미칠 거예요.그리고 조직은 이 질문에 대한 답을 알아야 합니다. 다른 완화 조치를 마련해야 할지 아니면 수십 년 동안 지속될 것이라면 이에 대한 계획을 세워야 하는지도 알아야 합니다.

12:02 라구 난다쿠마라: 그리고 실제로 뭔가를 건드렸잖아요...우리가 오프라인 상태였던 거 알아요.우리는 공격형 보안 팀이나 공급업체로서 여러분이 완전히 새로운 기술이나 아주 오래된 기술을 골라서 깊이 파고들 수 있는 기회를 갖게 된다는 이야기를 나누었습니다.OT 분야는 이처럼 다양한 기술이 존재하는 곳을 보여주는 좋은 예라고 생각합니다.각 제조업체는 대부분 각자의 일을 합니다.따라서 이러한 부분에 대해 깊이 파고드는 것은 정말 어려운 일이지만 동시에 매력적인 역할임에 틀림없습니다.

12:31 롭 레이건: 그거야.재미있어져요.기회가 자주 생기는데...파워 유틸리티를 사용해 작업한 예를 들어볼게요.그리고 그들은 미국 전역에 걸쳐 있는 변전소의 위험성에 대해 우려했습니다.그리고 그 변전소에 있는 장비들은 90년대 제품이었죠.이들이 사용한 프로토콜은 보안을 염두에 두지 않고 설계되었습니다. 제로 트러스트와는 정반대죠.완전 신뢰죠.사람들은 뭐든 믿어요. 인증도, 권한 부여도 없고, 신원에 대한 개념도 없으니까요.그리고 우리는 연구실에서 이런 것들이 어떻게 작동하는지 연구할 수 있었고, 수십 년 동안 업데이트되지 않은 프로토콜을 연구할 수 있었으며, 실제로 전원을 켰다가 끄는 스위치를 켜거나 끄라는 명령을 어떻게 보낼 수 있는지를 보여줄 수 있었습니다. 그것이 우리의 네트워크에 영향을 미칠 수 있다면 전력망에 치명적인 고장을 일으킬 수 있습니다.

13:31 롭 레이건: 그리고... 하지만 우리는 고객이 실제로 이 점을 이해하도록 돕고 있습니다. 위험을 입증하여 위험 완화 계획을 세운 다음 팀과 경영진의 의견에 집중할 수 있도록 돕고 있습니다. 사실 저는 이 문제에 대해 뭔가 조치를 취해야 한다는 것을 알고 있습니다.그 증거와 이것이 가능하다는 증거를 확보하는 것은 예산과 리소스에 영향을 미치는데 도움이 됩니다. “이 문제에 대해 다른 완화 조치를 취해야 하고, 이 장치가 네트워크에 있는 다른 사물과 원격으로 통신할 수 없도록 해야 합니다.” 그리고 정말로 저는 그것을 세분화하고 관련 내용을 화이트리스트에 추가하라고 말하고 싶습니다.

13:58 라구 난다쿠마라: 제로 트러스트라는 단어를 말씀하셨는데요, 잠시 후에 다시 설명하도록 하겠습니다.이 팟캐스트는 결국 제로 트러스트 팟캐스트입니다.하지만 저는 OT/IoT 보안 공간 전체를 떠나 다른 분야로 넘어가기 직전에 보안 공급업체들이 OT와 IoT의 보안을 강화하기 위해 어떤 조치를 취하고 있는지가 분명히 크게 발전하고 있다는 것을 알고 싶었습니다.그리고 그 일부에 초점을 맞추는 공급업체도 많이 있습니다.OT와 IoT의 보안을 강화하기 위해 무엇보다 필요한 것은 무엇이라고 생각하시나요?

14:30 롭 레이건: 보안이 내장되어 있지 않거나 보안이 전혀 설계되지 않은 일부 장치에 실제로 보안을 적용하기가 더 쉬워지는 것이 유용성에 도움이 된다고 생각합니다.해결해야 할 문제가 있을 경우 이를 적용하기가 더 쉬워졌습니다.쉽지 않다면 쉽지 않을 것입니다.

14:48 라구 난다쿠마라: 네.물론이죠.좋아요.좋아요.기어를 좀 바꿔보죠.제로 트러스트라는 용어를 말씀하셨는데요.안 했어요.알겠어요.그렇다면 보안 전문가로서 제로 트러스트는 어떤 의미일까요?

15:00 롭 레이건: 네.제 관점에서는 이 작업을 인증하고 승인할 수 있는 능력입니다.환경과 시스템에서 일어나는 모든 작업이 바로 이 곳에서 누가, 어떻게 하고 있는지, 권한 부여를 받았는지 확실하게 이해할 수 있는 곳입니다.

15:16 라구 난다쿠마라: 괜찮아.자, 공격적 보안과 폭스 주교가 하는 일 같은 역할을 맡으셨는데 제로 트러스트에 대해 어떤 대화를 나누고 계신가요?약속에 관한 건데, 어떻게 그런 일이 일어나는지 우리에게 조금 얘기해 주실 수 있나요?논의하고 있는 요점은 무엇이며, 일반적으로 어떤 결과가 나오나요?

15:36 롭 레이건: 네.대화에서 고객이 해당 지역에 투자한 것처럼 느껴진다고 말할 때 떠오릅니다.솔직히 우리는 거의 항상 하이브리드 환경이라고 생각합니다.누군가 “우리는 제로 트러스트 환경을 구현했습니다”라고 말하더라도, 일반적으로 이러한 원칙을 따르지 않는 하이브리드 환경도 있습니다.이는 고객이 팀의 한계를 뛰어넘거나 그러한 유형의 프레임워크를 구현하기 위해 들인 통제와 투자를 기반으로 환경의 사각 지대를 파악하고 이해하고자 할 때 많이 떠오릅니다.아마도 CISO가 이렇게 말할 수도 있을 것입니다. “저는 애플리케이션 화이트리스팅을 구현했습니다.제 환경에서 이 기능을 우회하려면 어떻게 해야 할까요?”그래서 우리는 이렇게 말할 수 있는 시나리오를 만들고 있습니다. “좋아요.만약 우리를 직원 시스템이나 노트북에 맡긴다면 이미 설치된 멀웨어가 이를 침해한 것으로 가정할 것입니다.”환경의 다른 부분에 액세스할 수 있는 권한을 가진 애플리케이션에 DLL을 주입하는 등 실제 공격자가 하는 일을 실제로 살펴보고 에뮬레이션하는 것입니다.

16:32 롭 레이건: 그리고 그 역할과 애플리케이션의 ID를 맡아서 화이트리스트에 올랐지만 목표가 무엇이든 수행하도록 도와주거나 추가적인 악의적인 행동을 할 수 있도록 도와줄 수 있는 멀웨어를 주입했습니다.그리고 거기서부터는 위험을 탐지하거나 완화할 수 있는 다른 통제 수단도 마련되어 있습니다.하지만 그들은 우리가 이러한 시나리오를 검토하여 사고 대응 능력에 도움이 될 다른 트리거 요인이나 기타 이벤트가 있는지 연습하고 확인할 수 있기를 정말로 원합니다.

16:57 라구 난다쿠마라: 그렇다면 추천은 어떤 모습일까요?왜냐면 어떻게 하면...공격자처럼 느껴지니까 모든 종류의 것들을 테스트할 수 있는 능력이 있거든요.그리고 고객으로서 그들이 집중하는 것들은 한정되어 있습니다. 그리고 “나머지는 제가 위험을 감수합니다.” 라고 말하죠.그렇다면 고객이 이것이 중요하다고 말하도록 어떻게 안내할 수 있을까요?

17:20 롭 레이건: 그 중 많은 부분이 그들의 성숙도 수준에 따라 매우 구체화됩니다.고객이 이미 애플리케이션 화이트리스팅을 보유하고 있다면 대부분의 고객보다 성숙도가 더 높습니다.이를 통해 고객은 어떤 다른 제어 기능이 있으며 공격자를 잡을 수 있는 기회는 어디에 있는지 이해하는 데 도움이 됩니다. 공격자가 이를 달성하기 위해 소비해야 하는 시간과 노력, 리소스가 이미 증가했기 때문입니다.화이트리스트에 있는 응용 프로그램을 찾아야 한다면 그 응용 프로그램에 주입할 방법을 찾아 그 응용 프로그램과 해당 응용 프로그램을 실행 중인 사용자의 신원을 파악하는 것이 좋습니다.이벤트를 트리거하고 위협을 억제하고 근절하기 위해 공격자가 해당 환경에서 수행할 수 있었던 다른 작업이나 다른 단계 및 명령이 무엇인지가 관건입니다.그래서 우리는 이러한 시나리오를 지속적으로 실행하는 경우가 많습니다. 단지 이들이 계속 연습할 수 있도록 돕고 새로운 기회를 찾아낼 수 있도록 돕기 위해서죠.그리고 그 한 가지 통제에만 의존하는 게 아니죠.전체론적으로 보입니다.마치 우리가 사용할 수 있는 다른 것이 있다면 그 상황을 촉발시킬 수 있는 타협의 지표가 되는 것과 같습니다.

18:19 롭 레이건: 그리고 실제로 우리는 많은 경우에 고객이 노출 지표가 무엇인지, 취약성 지표가 무엇인지 더 잘 이해할 수 있도록 돕고 있습니다. 이를 통해 우리는...환경에 매우 중요한 OT 디바이스를 테스트하는 것으로 시작하거나, 이해하기 위해 사용하는 일부 애플리케이션을 테스트하는 것일 수도 있습니다. 공격자가 더 큰 공격 체인의 일부로 이를 악용하지 못하도록 해결하고 수정할 수 있는 취약점이나 약점이 있습니까?

18:46 라구 난다쿠마라: 왜냐하면 지금 말씀하신 것처럼 보안 조직 전체의 고객을 위한 교육이 매우 중요하다고 생각하기 때문입니다. 왜냐하면 현재 사이버 전문가가 되기 위해 필요한 기술이 이제는 정말 강조되고 있는 5년 전과는 크게 다른 것처럼 느껴지기 때문입니다. “위협의 본질을 이해하고 있습니까?그리고 공격자가 어떻게 발전할지 이해하고 계신가요?”바로 오늘 제 동료 중 한 명으로부터 “해커처럼 생각해서 더 나은 레질리언스를 구축하라”는 강연이 있었던 것 같아요.그렇다면 고객층에서 기술 수준이 향상되는 것을 어떻게 보고 계신가요?

19:27 롭 레이건: 네.많은 사람들이 보다 사전 예방적인 테스트와 지속적인 테스트를 기꺼이 채택하고 있습니다. 그리고 항상 시나리오가 무엇이었는지, 테스트의 목표가 무엇인지 재평가하고, 달성하려는 결과에 맞게 이를 조정하고 개선합니다.다음과 같은 사람들이 훨씬 더 많아지고 있습니다.보안 엔지니어들은 이제 블루 팀에 속해 있습니다. 그들도 레드 팀 연습과 테스트에 참여하고 위협 모델을 구축하면서 이러한 기술을 적용하는 방법을 배울 수 있는 방법을 실제로 이해하고 싶어하죠.그리고 이런 일을 좀 더 정기적으로 수행하는 사람들이 점점 더 빠르게 성숙하고 있다는 것을 알 수 있습니다.그리고 그들이 구현한 것을 테스트에 반영하지 않는다면, 아직 알려지지 않은 취약성이 있는 부분에 대해 오랜 기간과 긴 격차가 있을 수 있습니다.

20:14 라구 난다쿠마라: 이해했습니다.자, 조금 더 말씀드리자면, 지난 12개월 동안 상당한 투자가 필요한 주요 분야는 무엇이라고 생각하시나요?

20:26 롭 레이건: 네.아직도 많은 사람들이 공격 표면을 파악하기 위해 우리를 찾아오는 걸 볼 수 있어요.이해해...그리고 우리가 보게 될 것은 단지 외부 공격 표면이 아니라 인증된 애플리케이션 공격 영역이 될 것이라는 점입니다.내부 네트워크와 사설 네트워크의 공격 영역이 될 것입니다.클라우드 환경, VPC 공격 영역 및 해당 환경에 있는 공급망 및 공급업체를 포함한 모든 상호 관련된 시스템.아직...이것이 바로 사람들이 집중하려는 모습입니다. 특히 인수를 하자마자 차질을 빚는 것처럼 느껴지는 기업에서는 더욱 그렇습니다.

21:04 라구 난다쿠마라: 네.

21:04 롭 레이건: 보안 팀은 핵심 환경에서 무엇을 위해 사용했는지를 파악하려고 애쓰다가 이제 이 회사를 인수했고 보호해야 할 책임이 있는 것을 이해하려고 노력하고 있습니다.이러한 변화가 일어나고 있고 매일 일어나고 있기 때문에 우리는 계속해서 더 나은 정의를 얻기 위해 투자를 계속할 것이라고 생각합니다.이러한 요소에 대한 가시성을 확보한 다음 취약성 징후를 사전에 테스트하고 그 중 어떤 것이 가장 중요한지 먼저 결정할 수 있어야 합니다.그리고 많은 사람들이 문제 해결 우선순위에 대해 도움을 요청하는 것을 보고 있습니다.“고칠 수 있는 것들이 너무 많아요. 무엇을 먼저 고칠지 결정하는 데 도움을 주세요.”그래도 가장 좋은 방법은 철저하게 테스트하고 악용의 영향을 실제로 입증하는 것이라고 생각합니다.그걸 할 수 없다면, 그걸 보여줄 수 없다면...여기에 문제가 있는 것 같아요. 취약할 수도 있겠지만, 실제로는 어떤 모습일까요?이를 악용하는 것이 가능할까요, 아니면 완화 요인을 악용할 수 있을까요? 악용될 경우 실제로 어떤 영향을 미치나요?거기서 얻을 수 있는 데이터는 무엇이라고 생각하시나요?질문에 대한 답을 얻으면 문제를 해결하는 데 있어 우선 순위가 어떻게 될지 결정하는 데 도움이 됩니다.

22:11 라구 난다쿠마라: 문제는 그 안에 어떻게 주입할 수 있느냐는 것입니다. 악용될 확률은 얼마나 될까요?왜냐하면 공격형 보안 요원으로서... 근본적으로, 가서 뭔가를 하라는 요청을 받았기 때문이죠.그럼 가능성은 어떻게 매길 수 있을까요? 둘 중 하나만 골라야 할 때 X를 선택할 것인지 Y를 선택할 것인지에 대한 거의 핵심 요소이기 때문이죠.

22:33 롭 레이건: 네.저희는 실제로 보고서의 심각도 등급을 변경하여 중요한 사항을 할당하는 대상을 좀 더 선별적으로 조정했습니다. 이는 아마도 다른 많은 공급업체들이 하고 있는 것과는 정반대일 수 있습니다.그들은 이렇게 운전을 하더군요. “아니요.모든 게 중요해요모든 게 빨간색이야.”고객들은 우리가 이 점을 자세히 살펴보고 그 정도의 관심을 받을 만한 가치가 있는지 더 자세히 살펴보길 간절히 원한다는 것을 알 수 있습니다.저희가 이 일을 많이 하고 있는 이유는, 다시 돌아가서, “필요도 없고, 초기 액세스 요소도 없고, 직원의 역할을 맡을 방법도 없는, 기회주의적 공격자가 인증되지 않은 상태에서 악용할 수 있는 것일까요?아니면 우리가 밝혀낸 복잡한 다단계 체인에 비해 더 동기가 부여되고 이미 자격 증명이 있고 이 취약점을 찾아낸 의도적이지 않은 의도적 또는 의도적인 내부자 위협에 가까울까요? 하지만 이 한 가지 문제만 해결하면 이를 방지할 수 있는 기회가 있을 수 있습니다.”그래서 우리는 가장 효과적인 해결책이나 해결책이 무엇이라고 생각하는지, 또는 조치를 취할 수 있는 완화 조치가 있는지에 초점을 맞춥니다.이를 문제 해결보다 우선순위에 따라 권고안을 제시하는 방식에 반영하고 있습니다.

23:42 라구 난다쿠마라: 알겠어.제가 짚고 넘어갈 수 있는 정말 좋은 지점이에요.그리고 지난 12개월 동안, 보안 언론에 보도된 내용 중에 일관된 주제가 있었다면 말이죠.주제 중 하나는 ROI였습니다.조직은 예산 제약이 있을 때 어떻게 베팅을 할까요?그리고 지금은 보안 투자의 ROI를 정당화하라는 요청을 그 어느 때보다 많이 받고 있습니다.그리고 몇 주 전에 한 게스트와 이야기를 나눈 적이 있는데, 그 게스트의 입장은 보안 팀에서는 안 된다는 것이었습니다...ROI는 보안 투자에 대해 요구하는 것이 되어서는 안 됩니다.그 가치는 리스크를 얼마나 줄일 수 있는가에 달려 있습니다.가치에 대해 생각할 때 생각하시는 것은 무엇입니까? 단지 보안상의 이점일까요, 아니면 솔루션의 전체 TCO이기도 한가요?

24:32 롭 레이건: 총 소유 비용을 말씀해 주셔서 감사합니다.대부분의 경우 보안 투자는 특정 제품이나 솔루션을 구매하여 이루어지는데 총 소유 비용이 얼마인지 명확하지 않습니다.구현 단계와 사용 방법을 자세히 살펴보기 전까지는 명확하지 않습니다. 이로 인해 팀에 얼마나 많은 작업이 발생하고 있는지, 그리고 얼마나 많은 작업이 팀에 투입되고 있는지는 알 수 없습니다.그러다 보면 결국 놓치는 부분이 생길 수도 있습니다.이런 경우를 본 적이 있는데...우리는 응용 프로그램을 테스트하는 데 도움이 되는 사고가 발생한 후 들어왔고 그들은 이 PHP 응용 프로그램을 통해 웹 셸이 어떻게 업로드되었는지에 대한 근본 원인을 이해하려고 했습니다.그리고 실제로 있었던 건...그 전 13개월 동안, 정적 분석 도구에서 이 기능이 취약하다는 중대한 발견이 있었는데, 한 개발자가 이를 폐쇄하고 분류해서 “악용될 것 같지 않아요.”하지만 그건...아마도 그 개발자는 그 문제를 악용하는 방법을 이해할 수 있는 전문 지식이 없었을 수도 있습니다.어쩌면 그들이 그런 결정을 내리지 않았어야 했을 수도 있습니다.

25:28 롭 레이건: 하지만 팀에는 해당 질문에 답할 수 있는 보안, 전문 지식 또는 시간이 없었을 수 있습니다.그래서 그들은 제품에 투자했고, 무언가 취약하다는 보고서를 받았는데 실수로 무시했는데도 여전히 보안 침해가 발생했습니다.하지만 이러한 질문에 실제로 답하는 데 도움이 되는 전문 지식을 갖추려면 총 소유 비용이 얼마나 드는지 이해하지 못했다고 생각합니다.그래서 문제의 해결책을 찾는 것이 아닐까요? 때로는 서비스와 제품의 조합일 수도 있고, 해결하려는 문제의 실제 결과를 완벽하게 달성하는 데 도움이 되는 매니지드 서비스가 필요할 수도 있습니다. 팀원이 직접 나서지 않아도 되죠.

26:05 라구 난다쿠마라: 이건 정말 흥미로운 관점이에요. 왜냐하면...사실 제가 이런 관점을 들은 건 처음이에요. 해결하려는 문제를 제대로 이해하지 못하면 할당하거나 “이게 내 이상적인 TCO야.” 라고 말할 수 있는 능력에 관한 것이기 때문이죠.그게 어떤 것이어야 할지 사실상 짐작하고 계신 거죠?불완전한 정보로 이뤄졌기 때문이죠.그리고 나서 말씀하셨는데, 그 중 일부는 도구 세트를 서비스와 이를 보완하는 타사 제품을 보완해야 할 수도 있다는 점을 이해하는 것입니다.즉, 투자의 총소유비용 (TCO) 을 높이기 위해 공격적 보안 제품이 어떤 역할을 한다고 생각하시나요? 여러분과 같은 사람들이든, 현재 어디에나 있는 자동화된 테스트 제품군이든, 어떤 역할을 할까요?

26:58 롭 레이건: 제 생각에 우리는 아직 자동화가 완전히 이루어지지 않는 단계에 있다고 생각합니다. 대부분의 일이 그러하니까요.보안 분야뿐만 아니라 현재 작업 중입니다.이는 앞으로 수년 동안 계속해서 한계를 뛰어넘을 것입니다.자동화 테스트에 도움이 되는 제품을 구매하든 관계없이 자동화를 활용할 전문 기술을 도입하고 계획을 세우면 여전히 그 결과물이 남아 있고 누군가가 결정을 내려야 한다고 생각합니다.제 생각에는 팀의 사내에 있는 사람인지 아니면 파트너십을 맺고 신뢰할 수 있는 사람이 제3자인지 결정할 수 있는 기회가 있다고 생각합니다.

27:31 롭 레이건: 스케일링에 도움이 필요한 사람들을 많이 봤어요. 특히 팀원들이 너무 많은 모자를 쓰고 있어서 특정 툴의 결과물에 집중할 시간이 없거나 팀에 더 이상 존재하지 않는 사람이 있는 것 같은 느낌이 들 때 말이죠.마치 계획 같은 거죠...그 복원력과 보안 조직 모델을 위한 계획인 것 같아요.구입한 이 세 가지 도구를 한 사람이 실행하다가 그만두면 어떻게 될까요?이게 쉘프웨어가 되는 건가요? 아니면 누가 그런 것들을 사용해서 유지보수할 백업 역할을 할 것인지에 대한 계획이 있나요?그래서 종종 고객들이 우리를 찾아와 “도움이 필요해요.실제로 결과를 도출할 수 있도록 도와줄 테스터나 전문 지식을 갖춘 사람이 필요합니다. 도구만 있는 것이 아니라 말이죠.”

28:11 라구 난다쿠마라: 좋아요.다시 말씀드리지만, 시청자와 청취자가 어떻게 ROI를 얻을 수 있는지, TCO를 계산하는 방법을 진정으로 이해할 수 있으려면 먼저 기존 투자 또는 신규 투자로부터 최대한의 가치를 창출할 수 있는 기술을 보유하고 있는지 확인해야 합니다.그렇지 않으면 이점이 있다는 것을 결코 깨닫지 못할 것입니다.무언가를 통해 가치를 얻지 못한 이유를 정당화하는 데 어려움을 겪게 되죠.몇 분밖에 안 남았다는 거 알아요크리스탈 볼 타임 맞죠?미래의 크리스탈 볼을 보고 있잖아요, 그렇죠?뭐가 기대되세요?뭐가 무서워?사이버 환경 때문인가요?

28:50 롭 레이건: 저는 개인적으로 정말 흥분되어 큰 언어 모델 공간에 깊이 빠져들고 있습니다.제 생각에는 이 두 가지 과대 광고들이 많지만, 낙관적인 시각도 많고 위험에 대한 우려도 있습니다.하지만 개인적으로 이 제품을 사용해 제작한 일부 프로토타입에서는 예전에는 정말 어려웠던 것들이 얼마나 쉽게 이루어질 수 있을지에 대해 매우 낙관적입니다.제 생각에 우리는 이 단계에 도달할 거라고 생각하는데...사실 저는 얼마 전에 이에 관한 책을 읽었습니다. 이 책에 관심이 있는 사람이 있다면 “The Missing Middle”이라는 책을 권하고 싶습니다.인간과 기계가 함께 모이는 곳, 기계가 잘하는 것과 인간이 잘하는 것이 무엇인지에 관한 것입니다.그리고 기본적으로 어떻게 협력하고 더 많은 일을 해낼 수 있을지에 대한 프레임워크를 설명합니다.하지만 저는 우리가 이 단계에 있을 거라고 생각해요. 그래도 가까운 미래에는 그걸 알아내고 있고...이걸 구현하는 데 문제가 있는 게 뭐가 있냐면, 사실 저는...저는 이게 많은 문을 열 수 있을 거라는 낙관적인 쪽에 더 가깝다고 말하고 싶어요.

29:48 롭 레이건: 우리는 공격 표면 문제의 일부로 자산의 소유권을 실제로 식별하는 방식으로 이를 사용해 왔습니다.그리고 여기에 입력된 내용이...이런 질문의 경우 완전히 알 수 없거나 완전히 다를 수 있는 경우가 많습니다.인터넷에 올라와 있는 것이라면 무엇이든 작성할 수 있습니다. 기존의 도움말 애플리케이션이나 그 질문에 답하기 위한 API처럼 말이죠. 어떤 입력이 들어올지 모르기 때문에 정말 어려운 일이죠.하지만 입력 내용을 파싱하고 읽고 그에 대한 증거를 수집하여 워크플로우와 프로세스의 다음 단계를 위해 이에 대한 질문에 답할 수 있게 해주는 무언가가 있다는 것은 정말 신나는 일입니다.거기서 큰 발전이 있었던 것 같아요.

30:20 라구 난다쿠마라: 책에 대해 말씀하신 내용으로 돌아가는 것 같아요, 그렇죠?제가 생각하기에 이 중간에 있는 회의가 우리가 집중해야 할 부분이라고 생각합니다. 왜냐하면 저는 AI에 대한 논의가 시작되자마자 너무 빨리, 그리고 이제 LLM에서는 다시 그 주제로 돌아간다고 생각하기 때문이죠, 그렇죠?어느 시점에서 AI가 인간의 지능보다 위대할 수 있을까요? 그리고 기계가 그 자리를 대신할 수 있는 것은, 야다, 아니, 일반적인 터미네이터 2 시나리오와 비슷합니다.하지만 제 생각에 궁극적으로는 융합이 관건이라고 생각합니다. 그렇죠?이것이 바로 인간이 가장 잘하는 일이고, 우리가 재능을 쏟아 부어야 할 일이고, 기계와 기계 AI가 가장 잘 할 수 있는 일은 무엇일까요?왜냐하면 궁극적으로 산업 혁명의 요점은 인간을 대체하는 것이 아니었기 때문입니다. 하지만...

31:06 롭 레이건: 최적화하기 위해서요

31:07 라구 난다쿠마라: 최적화하기.이것이 바로 이 일의 목적입니다.

31:09 롭 레이건: 맞아요.그리고 저는 여전히 그것을 도구이자 응용의 기법으로 봐야 한다고 생각합니다.제 생각에는 작업자와 대화하기 위해 사람이 없는 상태에서 프로덕션 환경에서 바로 이것을 구현하려고 서두르는 사람은 많은 문제를 야기한다고 생각합니다.하지만 제 생각엔 마치...우리가 이 기술을 사용하는 응용 분야별 방식을 보는 것은 흥미로울 것입니다.

31:31 라구 난다쿠마라: 그럼 LLM으로 넘어가세요. 입력 중독에 대해 얼마나 걱정하시나요?

31:36 롭 레이건: 오.정말 현실적인 문제인 것 같아요.그렇기 때문에 남용 사례와 같은 방법을 테스트하지 않고 모든 프로덕션 애플리케이션이나 실제 사용 사례에서 이 기능을 사용하는 사람은 많은 문제를 일으키고 사고가 발생하고 문제가 발생할 수 있으며 즉각적인 주입은 여전히 매우 쉽다는 것을 말씀드리는 것입니다.제 말은, 어제 CISO와 이야기를 나눴는데 CISO는 이미 LinkedIn 프로필에 자신의 페이지를 파싱하는 마케팅 봇이 있으면 즉시 주입하여 다른 작업을 수행하도록 했습니다.그리고 아마도 그 빛을 보게 될 것 같아요...누군가의 마케팅 캠페인이 제대로 작동하지 않았다면 그다지 큰 영향을 미치지는 못하겠죠.하지만 다른 방법들이 어떻게 사용되는지 보는 것도 흥미로울 것 같아요.

32:13 라구 난다쿠마라: 저는 몇 달 전에 ChatGPT와 Zero Trust에 대해 대화를 나눈 적이 있는데, 제가 아직 알고 있는 것보다 조금 더 많이 알고 있다는 것에 감사했습니다. 하지만 그리 멀지 않을 거라고 확신합니다.마지막으로 어떤 생각이 드시나요, 롭?

32:24 롭 레이건: 초대해 주셔서 정말 감사합니다.라구 씨와는 언제나 좋은 대화였다고 생각해요. 그리고 네, 이 공간이 어떻게 진화하는지 더 많이 볼 수 있으면 좋겠어요.

32:30 라구 난다쿠마라: 환상적.롭, 오늘 함께 해주셔서 정말 고마워요.여러분과 이야기를 나누고 이 분야에 대해 자세히 알아보는 것은 언제나 즐거운 일입니다.직접 보고 듣고 있는 분들, 공격 보안에 관심이 있거나 이 분야의 전문가들과 교류하는 데 관심이 있다면 직접 가서 확인해 보세요. www.bishopfox.com.롭, 다시 한번 정말 고마워요.오늘 함께 해주셔서 감사합니다.RSA를 즐기세요.

32:53 라구 난다쿠마라: 이번 주 Segment 에피소드를 시청해 주셔서 감사합니다.더 많은 정보와 제로 트러스트 리소스를 보려면 당사 웹 사이트 illumio.com을 참조하십시오.링크드인과 트위터의 @illumio 주소로도 당사와 연락할 수 있습니다.오늘 대화가 마음에 드셨다면 팟캐스트가 있는 곳 어디에서나 다른 에피소드를 찾아보실 수 있습니다.제가 호스트 라구 난다쿠마라입니다. 곧 다시 찾아뵙겠습니다.

‍