aditya blog
개요

솔트타이푼과 같은 사건은 기업 및 사용자가 통제할 수 없는 인프라에 대한 종속성으로 인해 침해에 취약하다는 사실을 일깨워주는 좋은 예입니다. 컴퓨팅, 스토리지, 네트워크를 위한 퍼블릭 클라우드, 서비스형 소프트웨어(SAAS), 글로벌 서비스 제공업체에서 서비스하는 애플리케이션이 점점 더 분산되면서 공격 표면이 통제 범위를 벗어나고 있습니다. 이제 침해는 ‘언제’가 아니라 ‘만약’의 문제가 되었습니다. 이러한 환경에서 성공하기 위한 가장 확실한 접근 방식은 제로 트러스트 원칙을 사용하여 외부 및 내부 공격 표면을 줄여 설계적으로 보호하는 것입니다. 서비스형 통합 SASE를 통해 안전한 네트워크 접속을 보장하는 것은 네트워크 및 보안 공급업체의 난립을 제거하여 운영 간소화를 제공하는 데 있어 큰 진전입니다. 침해가 발생하는 경우 문제를 격리하고, 피해 영역을 줄이며, 비즈니스 요구 사항을 계속 충족하는 것이 훨씬 더 중요합니다. SASE는 다양한 보안 기술의 배포를 제어하고 더 빠른 응답 시간을 제공하므로 네트워크 위생에 큰 도움이 되고 공격 표면을 줄일 수 있습니다.

타깃 인프라

스위치 및 라우터와 같은 가장 인기 있는 인프라 제품은 업계에서 널리 사용되고 있습니다. 공장 출하 시 기본 비밀번호가 변경되지 않는 경우가 많다는 것은 잘 알려져 있습니다. Cisco 장비의 보급률을 고려할 때 SaltTyphoon이 Cisco 장비를 표적으로 삼는 것은 놀라운 일이 아닙니다. 몇 가지 이유가 아래에 설명되어 있습니다:

  • 보편성과 시장 지배력을 고려할 때 Cisco는 전 세계에서 가장 큰 네트워킹 장비 공급업체 중 하나입니다. Cisco의 장치는 기업, 서비스 제공업체 및 중요 인프라에 배포됩니다. Cisco 장비가 성공적으로 침해되면 공격자는 민감한 고가치 정보가 있는 네트워크에 액세스할 수 있습니다.
  • 솔트타이푼은 Cisco 장비가 널리 배포된 정부, 군대, 중요 인프라에 집중하는 경우가 많습니다. 라우터, 스위치, 방화벽과 같은 Cisco 장비는 네트워크 트래픽 관리의 핵심이므로 가로채기, 데이터 유출 또는 트래픽 조작에 이상적인 지점이 됩니다. Cisco 장비는 정치적으로 또는 경제적으로 민감한 운영을 관리하는 조직에서 자주 사용되기 때문에 완벽한 스파이 활동의 표적이 될 수 있습니다. 이러한 장치는 신뢰할 수 있는 네트워크 위치를 차지하고 있으며, 손상 시 보안 조치를 우회하고 운영을 방해하여 공격자가 표적 조직에 대한 영향력을 행사할 수 있습니다.
  • 지속적인 액세스와 은밀한 작동으로 인해 Cisco 장비는 백도어를 심을 수 있는 강력한 발판을 제공합니다. 손상된 네트워크 장비가 엔드포인트 탐지 시스템을 자주 회피하기 때문에 SaltTyphoon은 종종 Cisco 장비를 표적으로 삼아 네트워크 인프라에 직접 지속적인 악성 코드를 배포하여 은밀한 발판을 마련합니다.
  • 솔트타이푼은 패치되지 않은 취약점을 악용하는 것으로 알려져 있으며, Cisco 장치는 수년 동안 유명한 취약점 (예: Cisco 스마트 설치, VPN 결함) 과 연관되어 있습니다. Cisco 시스템을 표적으로 하는 지능형 익스플로잇을 개발하거나 획득하는 것은 쉽습니다. 공격자는 전략적 위치에서 Cisco 장비를 익스플로잇함으로써 공급망의 여러 다운스트림 조직을 침해할 수 있습니다.

IT 시스템 청소와 관련된 과제

많은 작업이 필요한 주된 이유는 여러 회사가 제공하는 단편적인 솔루션이 서로 엉켜 있기 때문입니다. 또한 가시성이 거의 없고 모니터링 시스템이 없기 때문에 멀웨어가 인프라의 어느 곳에나 숨어 있을 수 있습니다. 따라서 모든 시스템이 감염된 것을 파악한 다음 이를 치료할 방법을 찾는 것이 과제입니다. 기술적 제약을 이해해 봅시다:

  • APT는 스텔스 전술 (파일 없는 멀웨어, 암호화 및 난독화), 지속성 메커니즘(숨겨진 레지스트리 키, 예약된 작업, 펌웨어 수준 수정), 맞춤형 도구를 사용하여 탐지 및 정리 시도를 피합니다.
  • 수많은 엔드포인트, 서버, 클라우드 통합이 있는 방대한 IT 시스템과 같은 복잡한 환경으로 인해 가시성이 부족하여 모니터링이 더 어려워집니다. 많은 조직에서 충분한 데이터를 기록하지 않거나 침해의 전체 범위를 추적할 수 있을 만큼 충분히 오래 보관하지 않습니다.
  • 기술 격차와 느린 대응 시간으로 인한 인적 한계로 인해 공격자는 더 강력한 발판을 마련할 수 있습니다. 많은 조직에는 APT에 대응할 수 있는 전문 기술과 리소스가 부족합니다. 또한 조직은 보안보다 운영상의 필요를 우선시하기 때문에 방어에 공백이 생깁니다.
  • APT는 몇 달 또는 몇 년 동안 탐지되지 않을 수 있기 때문에 체류 시간으로 인한 탐지 지연도 중요한 요인입니다. 이 기간 동안 공격자는 여러 개의 백도어를 배포하고 다양한 시스템을 손상시킬 수 있습니다. 공격자가 발견되었을 때는 이미 깊숙이 침투한 후일 수 있습니다.

통합 보호 조치로서의 서비스형 통합 SASE

아리아카의 핵심 솔루션인 서비스형 통합 SASE는 솔트타이푼과 같은 지능형 지속 위협(APT)에 맞서 싸우는 데 중요한 역할을 합니다. 이 솔루션의 사전 예방적 및 사후 대응적 방어 기능은 지능형 공격을 능가하도록 설계되어 모든 조직의 보안 전략에 매우 중요합니다.

  • 최소 권한 원칙을 적용하는 것은 APT와의 전쟁에서 매우 중요한 단계입니다. 조직은 사용자, 디바이스, 애플리케이션이 각자의 역할에 필요한 특정 리소스와만 상호 작용할 수 있도록 ZTNA를 사용하여 세분화된 액세스 제어를 구현해야 합니다. 이렇게 하면 APT가 광범위한 피해를 일으킬 가능성을 크게 줄일 수 있으므로 핵심 방어 전략이 됩니다.
  • 위치, 시간, 행동을 고려하는 신원 및 컨텍스트 인식 정책은 APT와의 전쟁에서 매우 중요합니다. 이러한 정책은 사용자와 디바이스를 지속적으로 확인함으로써 공격자가 합법적인 사용자를 사칭하는 데 성공할 가능성을 크게 줄여줍니다. 이는 보안 조치에 대한 신뢰를 심어주므로 모든 조직의 방어 전략에서 필수적인 부분이 됩니다.
  • 서비스형 통합 SASE는 마이크로 세분화를 사용하여 네트워크 내의 워크로드, 애플리케이션, 디바이스를 격리하는 격리 기능을 제공합니다. 이 전략은 APT의 측면 이동을 제한하여 공격자가 초기 거점을 확보하더라도 추가 시스템을 손상시키지 못하도록 방지합니다.
  • 조직은 서비스형 통합 SASE를 통해 네트워킹 및 보안 계층에서 모니터링과 가시성을 강화하여 이상 징후를 감지하고 지표를 상호 연관시켜 잠재적인 APT 활동을 조기에 식별하고 대응할 수 있습니다. 또한 SWG, FwaaS, IPS, 파일 스캔 등과 같은 보안 기능은 의심스러운 활동에 대한 실시간 알림과 자동화된 대응을 제공하므로 조직은 APT 활동을 신속하게 탐지하고 차단할 수 있습니다.
  • APT는 공격 대상 네트워크에서 민감한 데이터와 지적 재산을 훔치기 때문에 공격자는 해당 정보를 원격 위치로 유출해야 한다는 것은 널리 알려진 사실입니다. 서비스형 통합 SASE를 사용하면 프로토콜 남용을 비롯한 유출 중 민감한 데이터 유출 및 데이터 전송 이상 징후를 CASB, DLP, 이상 징후 탐지를 위한 ML/AI를 사용하는 보안 엔진과 같은 보안 기능을 사용하여 탐지할 수 있습니다.

일반 권장 사항

이러한 프로세스는 상당한 부담을 가중시킬 수 있고 지속적으로 유지하기 어렵기 때문에 운영의 단순성을 고려하는 것이 중요합니다. 보안 정책과 절차를 만들고 관리하기 위한 명확한 역할과 책임을 설정하는 것은 매우 유용합니다. 조직은 CISA와 FBI가 제안한 것 이상을 할 수 있습니다. 아래를 참조하세요:

  • 제로 트러스트 아키텍처를 구현하여 내부 또는 외부의 모든 액세스 요청에 대해 인증과 권한 부여를 요구하세요. 조직이 “절대 신뢰하지 말고 항상 확인하라”는 원칙을 준수하면 측면 이동을 제한하고 보안 침해의 영향을 줄일 수 있습니다.
  • 사전 예방적 위협 헌팅은 APT를 최대한 빨리 찾아내는 데 중요한 역할을 합니다. 악성 IP, 파일 해시, 도메인 등 알려진 APT 관련 IOC(침해 지표)를 정기적으로 검색하세요. 또한 조직은 공격 지표(IOA)에 집중하여 측면 이동, 권한 상승, 데이터 유출과 같은 악의적인 의도와 전술을 탐지해야 합니다.
  • 고급 보안 및 네트워킹 기술의 힘을 활용하세요. 첫째, 세분화는 네트워크를 더 작은 영역으로 나누어 위협을 차단하고 공격자의 움직임을 제한합니다. 둘째, 허니팟 및 디코이 등의 기만 기술을 사용하여 공격자의 행동을 탐지하고 연구할 수 있습니다. 셋째, AI 기반 자동화를 사용하여 APT 활동을 더 빠르게 탐지, 분류 및 대응할 수 있습니다.
  • 조직은 일반적인 공격 시나리오에 대한 APT 시뮬레이션 및 공격 플레이북을 포함한 현실적인 시나리오를 통해 IR 계획의 효과를 확인하기 위해 정기적으로 테이블 탑 연습을 실시해야 합니다. 또한 백업을 자주 테스트하여 백업이 제대로 작동하고 신속하게 복구할 수 있는지 확인해야 합니다.

조직은 서비스형 통합 SASE의 강력한 기능을 사용하여 정찰부터 익스플로잇 및 유출에 이르기까지 공격 라이프사이클의 모든 단계에서 APT가 지속적으로 방어할 수 있는 고도로 탄력적인 환경으로 네트워크를 전환할 수 있습니다.