주요 콘텐츠로 건너뛰기
RSA 컨퍼런스 2024에서 NetWitness를 만나보세요!
#254 부스를 방문하거나 전문가와의 미팅을 예약하세요. 지금 예약하세요!
버거 메뉴
디지털 세상 보호

내부자 위협 완화를 위한 전략

  • by 스펜서 리히텐슈타인, 케이시 스위처

Drawing of a face profile over lines of code

내부자 위협을 관리하기 위해 취할 수 있는 실질적인 조치는 무엇일까요? 저희의 첫 번째 블로그 게시물를 통해 내부자 위협이 어떻게 진화해 왔으며 왜 지속되는지 이해하기 위한 기준을 제시했습니다. 다음으로 내부자에 의해 발생하는 위험을 줄이기 위한 위험 감소 전략과 성공적인 기술 구현에 대해 살펴보겠습니다.

내부자 위협 전략

내부자 위협에 대처하는 것은 결코 쉬운 일이 아닙니다. 조직은 내부자 위협에 대응하는 데 2개월 위협을 억제하기 위해 평균적으로 더 많은 리소스를 투입하고 있으며, 이 문제를 해결하기 위해 이전보다 더 많은 리소스를 소비하고 있습니다. 올바른 도구, 프로세스, 인적 전문성을 결합한 계층화된 접근 방식이 필요합니다.

그 기반은 데이터에 대한 폭넓은 가시성에서 시작됩니다. 이는 곧

  • 데이터 소스에서 정보를 수집하고 파싱하여 사람이 읽을 수 있는 유용하고 설명적인 텍스트로 변환하는 것이 바로 메타데이터입니다. 또한 메타데이터는 검색, 고급 분석, 빠르고 유연한 검색을 위해 카탈로그화 및 색인화되어야 합니다.
  • 글로벌 위협 인텔리전스와 유용한 비즈니스 컨텍스트로 메타데이터를 강화하여 위협을 효과적으로 파악하고 비즈니스 환경 내에서 위협을 맥락화할 수 있습니다.

데이터에는 특히 내부자 위협의 맥락에서 인사이트가 필요합니다. 이는 세 가지 주요 구성 요소를 통해 달성됩니다:

  • 시그니처 기반 탐지 특정 데이터 패턴을 가진 알려진 위협을 식별합니다.
  • : 엔드포인트에서 알려진 자격 증명 덤핑 멀웨어, 네트워크를 떠나는 명령 및 제어 통신 또는 프로덕션 서버에서 알려진 익스플로잇 시도 탐지. 
  • 행동 기반 탐지 특정 데이터 패턴은 없지만 비정상적이거나 의심스러운 동작을 나타내는 알려지지 않은 공격 또는 의심스러운 공격을 식별합니다.
  • : 전송되는 파일 수가 과도하게 많거나 사용자가 비정상적인 시스템에 로그인하는 경우.
  • 위협 헌팅 다음을 기반으로 정교한 공격을 식별합니다. 서명 또는 행동 기반 탐지로 식별되지 않는 타깃 사용 사례.
  • : 피싱 이메일이 클라우드 기반 이메일 서비스로 성공적으로 전달되어 사용자를 악성 웹사이트로 유도합니다. 사용자는 자신도 모르게 암호화된 작은 실행 파일을 다운로드하여 설치합니다. 이 실행 파일은 인메모리에서 실행되며 파일 시스템을 탐색하여 관련 금융 데이터를 찾아 조직의 정책에 따라 허용되는 SFTP를 통해 암호화된 PDF로 유출됩니다. 

내부자 위협을 탐지하고 대응하려면 적절한 인적 전문 지식도 중요합니다. 여기에는 위협 헌팅 모범 사례와 자동화를 포함한 사고 대응 전략 등 SOC 팀을 위한 올바른 교육이 포함됩니다. 또한 올바른 제품 기술 구현과 인력을 위한 보안 인식 교육도 필요합니다.

데이터 가시성

그림 1: 데이터 가시성 소스로 해결되는 주요 내부자 위협 위험 및 질문

데이터 가시성은 내부자 위협 전략의 중요한 기반이지만, 비즈니스에서 필요한 컨텍스트와 계층화된 위협 인텔리전스가 없으면 부가적인 가치는 거의 없습니다. 비즈니스 및 위협 컨텍스트는 우선순위 지정, 자산 및 ID 강화, 알려진 악성 위협으로부터의 신호 감소를 가능하게 합니다. 이것이 바로 SOC 분석가가 위험을 분석할 때 의사 결정을 내리기 위해 필요한 힘입니다.

관심 있는 데이터를 보고 컨텍스트를 통해 데이터를 보강할 수 있는 역량을 구축한 후에는 분석가의 의사 결정에 도움이 되는 데이터 패턴, 이상 징후 및 추세에 대한 유용한 인사이트를 확보해야 합니다.

고급 분석으로 인사이트 확보

고급 분석 및 머신 러닝(ML)은 기존 탐지 기능에 컴퓨터 과학과 수학적 원리를 더하여 진화한 것으로, 기존 탐지 기능에 심층적인 컴퓨터 과학과 수학적 원리를 더합니다. 내부자 위협의 맥락에서 이는 행동 기반 탐지에 대한 중요한 인사이트를 제공합니다. 이는 내부자 위협을 예측하는 가장 좋은 방법 중 하나로 빠르게 자리 잡고 있습니다. 실제로 50% 이상 의 기업이 ML 또는 사용자 및 엔터티 행동 분석(UEBA) 시스템을 통해 내부자 위협에 대응하고 있습니다.

유출된 자격 증명을 사용하여 직원으로 위장한 사이버 범죄자

공격자가 새로운 시스템에 접근하면 시스템과 주변 환경을 파악하고 침입의 목적을 결정해야 합니다. 운영 체제는 이러한 침해 후 정보 수집 단계에 도움이 되는 많은 기본 도구를 제공합니다. 이러한 도구의 사용을 모니터링하고 모델링하면 침입이 비즈니스에 더 큰 피해를 입히기 전에 침입을 탐지할 수 있습니다.

공격자가 공격을 계속할 경우, 탈취한 동일한 인증 정보로 여러 시스템에 연결을 시도하고 액세스 가능한 모든 시스템에 도구를 사용하여 추가 인증 정보를 덤프하려고 시도할 가능성이 높습니다. 이러한 공격의 최종 목표는 일반적으로 데이터 도용이므로 공격자는 가능한 한 많은 파일과 데이터를 검색하고 수집할 것입니다.

그림 2: 내부자 위협 시도를 탐지하는 고급 행동 분석의 사용 사례 예시

다음 단계

대응은 탐지 이후 가장 중요한 요소입니다. 도구, 프로세스 및 전문 지식을 조정하여 내부자 위협을 차단할 수 있는 역량을 제공합니다. 전에 비즈니스에 영향을 미칩니다. 보안 오케스트레이션, 자동화 및 대응(SOAR)은 보안 패브릭의 핵심 구성 요소입니다. 다음 블로그와 마지막 블로그에서는 내부자 위협의 맥락에서 SOC 내의 대응과 원활한 오케스트레이션에 대해 살펴보겠습니다. 적절한 자동화를 통해 위협을 최대한 완화하고 각 구성 요소를 하나로 묶어 평균 탐지 및 대응 시간을 최적으로 단축할 수 있습니다.