주요 콘텐츠로 건너뛰기
RSA 컨퍼런스 2024에서 NetWitness를 만나보세요!
#254 부스를 방문하거나 전문가와의 미팅을 예약하세요. 지금 예약하세요!
버거 메뉴
제품 및 솔루션

미지의 영역에 대한 가시성

  • by 브라이언 로버트슨

Various icons appear to be soaring towards a bright ligth

제 역할에서 저는 보안 분야에서 가장 뛰어난 인재들과 함께 일할 수 있는 행운을 누리고 있습니다. 

저는 최근에 블로그 게시물 에서 직원들이 어디서나 리소스에 액세스하고 업무를 수행할 수 있는 역동적인 인력이라는 개념을 수용하는 조직에 대해 설명한 바 있습니다. 그러나 원격 근무 모델로 인해 발생하는 새로운 위협과 취약성으로부터 조직을 보호하기 위해 고려해야 할 사항이 있습니다.

이 블로그 게시물은 RSA 시스템 엔지니어인 할림 아부자이드와 나눈 대화에서 영감을 받았습니다. 그는 RSA 고객과의 대화를 바탕으로 몇 가지 관점을 공유해 주었습니다.

아래는 최근 논의된 내용을 요약한 것입니다:

브라이언 로버트슨: 하림, 현재 세계 상황을 고려할 때 역동적인 인력이 비즈니스 운영과 생산성 유지에 매우 중요하다는 것을 잘 알고 있습니다. 이를 성공적으로 수행하기 위해 가장 중요한 것은 무엇이라고 생각하시나요?

하림 아부자이드: 역동적인 인력을 지원하고 악의적인 공격자를 차단하기 위해서는 가시성이 최고의 자산이 됩니다. 가시성은 조직의 물리적 경계 내에서만 확보할 수 있는 것이 아니라 모든 곳의 최종 사용자에게까지 확장되어야 합니다.

Robertson: 가시성을 확보하기 위해 조직이 고려해야 할 몇 가지 사항을 간략하게 설명해 주시겠어요?

Abouzeid: 조직이 위협 가시성을 확보하고 개선할 수 있는 6가지 방법이 있습니다:

  1. 조직은 VPN 링크 및 기타 기업 네트워크 진입 지점을 포함하여 사용자 디바이스에서 네트워크 인프라 및 클라우드로 네트워크를 통과하는 패킷을 모니터링하는 것을 고려해야 합니다.
  2. 조직은 네트워크 안팎의 모든 엔드포인트에서 활동을 모니터링하여 보안 상태를 심층적으로 파악하고 문제가 발생했을 때 알림의 우선순위를 적절히 지정해야 합니다.
  3. 조직은 사용자 및 엔터티 행동 분석(UEBA)과 엔드포인트 행동 분석을 통해 고급 머신 러닝을 추가하여 규칙 기반 또는 시그니처 기반 위협 탐지를 강화하여 악의적인 의도와 위협을 나타낼 수 있는 이상 징후를 인식해야 합니다.
  4. 인시던트가 인지되면 시간이 가장 중요합니다. 보안팀 전반의 활동과 프로세스를 간소화하는 것은 문제의 핵심을 빠르고 효율적으로 파악하는 데 매우 중요합니다.
  5. 컨텍스트 및 위협 인텔리전스는 알려진 지표를 기반으로 탐지 기능을 향상시킬 뿐만 아니라 식별된 지표에 대한 신뢰 수준을 제공하고 식별된 공격과 위협 행위자에 대한 컨텍스트를 제공함으로써 핵심입니다.
  6. 조직은 보안 분석가를 대신해 기계가 자동으로 인시던트가 조직에 영향을 미치기 전에 이를 완화하도록 하는 단계까지 나아갈 수 있습니다.

Robertson: 어떻게 설명하시겠습니까? RSA 넷위트니스 플랫폼의 조직이 이러한 영역에 집중할 수 있도록 지원할 수 있습니까?

Abouzeid: RSA NetWitness Platform은 모든 내부(동서), 인터넷 연결(남북), 가상 인프라 및 클라우드 컴퓨팅 환경의 네트워크 트래픽에 대한 실시간 가시성과 심층적인 프로세스 수준의 엔드포인트 가시성을 제공합니다. 이를 통해 플랫폼은 조직 내부와 외부에서 발생하는 침입을 탐지할 수 있습니다. 여러 유형의 행동 분석은 네트워크 전반(암호화된 채널 여부와 관계없이)에서의 이상 징후, 머신과 사용자의 의심스러운 활동, 애플리케이션 전반(기업 네트워크 내부 또는 외부)에서의 비정상적인 활동을 위치에 관계없이 탐지합니다. 일단 탐지되면 공격의 전체 범위에 대해 우선순위가 지정된 자동화된 대응을 통해 현재와 미래의 위협을 방어할 수 있습니다.

Robertson: 몇 가지 예를 들어 주시겠어요?

Abouzeid: 가장 흔한 공격은 피싱 공격입니다. 피싱 공격은 다양한 보안 인식, 보안 제어 부족, 심지어 홈 네트워크를 연결하여 기업 환경에 액세스하는 것을 이용합니다. RSA NetWitness Platform은 보안 분석가를 위해 단일 창에 로그, 네트워크 및 엔드포인트 데이터를 통합적으로 표시하여 공격의 모든 단계에서 기업 전체에 대한 즉각적인 가시성을 제공합니다. 대응 기능을 통해 의심스러운 활동을 하나의 인시던트로 그룹화하여 분석가가 쉽게 시각화할 수 있습니다. 노드 보기는 보안 팀이 피싱 공격과 같은 의심스러운 활동을 즉시 조사할 수 있는 강력한 도구를 제공합니다.

RSA NetWitness 엔드포인트 를 사용하면 분석가가 특정 워크스테이션에서 일반적으로 수행하지 않는 일련의 프로세스 및 명령을 트리거하는 이메일 클라이언트 애플리케이션을 식별할 수 있습니다. 보안 분석가는 파일의 프로세스 및 실행 세부 정보를 확인할 수 있으므로 다음에 취할 조치를 신속하게 결정할 수 있습니다. 모든 네트워크 통신의 전체 페이로드를 확보한 보안 분석가는 이메일과 기타 네트워크 세션을 재구성하여 의심스러운 이메일과 파일의 특성을 즉시 파악하고 피싱 공격이 분명하다는 초기 의심을 확인할 수 있습니다!

피싱 공격이 성공하여 사용자 컴퓨터가 감염된 경우, 멀웨어/감염된 워크스테이션과 명령 및 제어 서버라는 두 개체 간의 비정상적인 암호화된 통신으로 인해 이상 징후가 발생할 수 있습니다.

조사 및 수정 프로세스를 자동화하면 분석가에게 엄청난 보안 승수가 될 수 있습니다. 역동적인 인력 새로운 공격 경로를 열었습니다. RSA NetWitness 오케스트레이터 는 이 기능을 지원하는 RSA NetWitness 플랫폼의 오케스트레이션 및 자동화 계층입니다.

피싱 공격이 파악되면 RSA NetWitness Orchestrator 내에서 자동화된 워크플로우를 생성하여 보안팀이 일반적으로 수동으로 처리해야 하는 활동에 대한 대응을 자동화하고 효율성을 높일 수 있습니다.

방금 살펴본 사용 사례에서 보안 분석가는 의심되는 활동이 위협으로 확인되어 조치를 취하고 싶다고 확신하면 자동화된 피싱 플레이북을 트리거할 수 있습니다. 예를 들어, RSA 넷위트니스 오케스트레이터는 사용자 또는 분석가가 제출한 피싱 이메일에 대해 중앙 사서함을 모니터링할 수 있습니다. 그런 다음 이메일 헤더, 첨부 파일 및 지표와 같은 정보를 추상화하여 현재 및 향후 사고 조사 과정에서 아티팩트로 사용할 수 있을 뿐만 아니라 사용 가능한 위협 인텔리전스 및 컨텍스트 정보에 자동으로 연결할 수 있습니다. 그런 다음 발신자에게 알리고, 조사 티켓을 생성하고, 문제를 에스컬레이션하는 등의 작업을 자동화할 수 있습니다.

또 다른 예로는 재택근무를 하는 직원이나 기업 시설 외부.

IT 부서가 스마트폰, 태블릿 또는 개인용 컴퓨터와 같은 최종 사용자 디바이스를 강화할 수 없기 때문에 악의적인 공격자는 이를 이용해 사용자 자격 증명을 손상시켜 환경에 침투할 수 있는 새로운 방법을 찾을 수 있습니다.  

원격 근무 인력과 공유 디바이스 모델이 확장됨에 따라 사용자와 신원이 더 자주 손상될 수 있으므로 이러한 엔드포인트에 대한 가시성을 확보하는 것이 중요합니다. RSA NetWitness 플랫폼과 RSA NetWitness 사용자 및 엔터티 행동 분석 (UEBA)는 보안 팀이 네트워크, 엔드포인트 및 로그 데이터 내에서 이상 징후를 신속하게 파악할 수 있는 엄청난 가치를 제공합니다. 보안 분석가는 추가적인 가시성을 통해 위험한 행동을 하는 사용자를 식별할 수 있습니다. RSA NetWitness UEBA는 인증 실패, 인증 시간 및 위치, 파일 액세스, 생성 및 삭제, 사용자 계정 변경, 액티브 디렉토리 변경 시간, 비정상 호스트 및 기타 여러 속성과 같은 행동 추세를 살펴 잠재적 사고의 위험 점수를 높입니다.

마찬가지로 RSA NetWitness UEBA는 워크스테이션의 행동 추세를 살펴보고 프로세스가 일반적으로 작동하고 서로 상호 작용하는 방식 또는 실행되는 명령과 도구를 기반으로 표준에서 벗어난 것을 식별하여 편차가 발견될 경우 해당 워크스테이션의 위험 수준을 높일 수 있습니다. 이러한 편차는 해당 사용자 계정에 의해 트리거된 비정상적인 동작을 감지할 수 있으므로 침해된 사용자를 식별하는 데 중요한 역할을 할 수 있습니다.

여기에서 보안 분석가는 RSA NetWitness UEBA 내에 표시되는 사용자 인증정보가 손상된 호스트의 머신 수준 세부 정보로 전환할 수 있습니다. 호스트가 손상된 사용자 인증정보의 유일한 부분은 아니지만 리소스에 대한 액세스 권한을 얻는 데 중요한 역할을 할 수 있습니다. 또한 보안 사고에 대한 스토리를 전달하고 문제 해결을 촉진하는 데 도움을 줄 수 있습니다. RSA NetWitness Endpoint는 이 머신의 보안 상태를 빠르게 확인하고, 스캔을 실행하고, 네트워크에서 호스트를 격리하고, 추가 조사를 위해 포렌식 데이터를 다운로드할 수도 있습니다.

다시 정리해 보겠습니다:

  • 위협을 차단하기 위한 지속적인 전쟁에서 동적인 인력에 대한 가시성의 필요성은 보안 운영에서 더욱 중요해지고 있습니다.
  • 직원 액세스가 어디서나 조직의 리소스에 연결할 수 있도록 발전함에 따라 공격 표면은 계속해서 기하급수적으로 증가할 것입니다.
  • 악의적인 공격자는 금전적 이득을 취하거나 운영 및 조직의 평판에 영향을 미치는 악의적인 이유로 이러한 리소스에 액세스하기 위해 새로운 방법을 통해 사용자 환경에 침투하려고 시도할 것입니다.
  • 이러한 악의적인 공격자의 영향을 최소화하기 위한 핵심은 최종 사용자 디바이스에서 네트워크, 심지어 클라우드 자산까지 아우르는 가시성입니다.