왜 랜섬웨어에 주목해야 할까요?
"랜섬웨어는 사이버 범죄 중에서도 독특한 점이 있습니다.
공격이 성공하려면 피해자가 공격 이후 자발적으로 공범 역할을 해야 하기 때문입니다."
Introduction
몇 년 사이 랜섬웨어는 최고 정보 보안 책임자(CISO)의 최대 골칫거리로 떠올랐습니다. 2023년 전 세계 기업의 72%가 랜섬웨어 공격2의 피해를 입었으며, 미국에서는 총 2,207곳의 병원, 학교, 정부 기관이 랜섬웨어의 직접적인 영향을 받았습니다.3
FBI는 랜섬을 지급하지 말 것을 권고하며, 이는 타당한 이유에서입니다. 데이터를 복구하고 운영을 재개하기 위해 절박한 심정으로 랜섬을 지급하려는 유혹을 느끼는 조직도 있지만, 통계는 우울한 현실을 보여줍니다. 최근 연구에 따르면, 조직의 56%가 지난 24개월 동안 한 번 이상의 랜섬웨어 공격을 겪었으며4, 더 심각한 점은, 랜섬을 지급한 조직 중 절반 미만(47%)만이 데이터를 완전히 복구할 수 있었습니다.5
이제 CISO 혼자 이 문제를 해결할 수는 없습니다. 랜섬웨어는 이제 C-레벨 경영진과 이사회 차원에서 다뤄야 할 중대한 문제입니다.
Study Plan
[목표(Objectives)]
왜 그리고 어떻게 조직들이 랜섬웨어로부터 더 큰 위협을 받고 있는가?
CISO는 어떻게 MITRE ATT&CK 프레임워크와 침해 및 공격 시뮬레이션을 활용하여 보안 취약점을 자신 있게 찾아내고 보안 태세를 개선할 수 있는가?
CISO가 회사의 인프라가 적절히 보호되도록 보장하기 위해 취할 수 있는 실질적인 단계는 무엇인가?
[구성(Structure)]
왜 랜섬웨어에 주목해야 하는가?
CISO가 위협 정보 기반 방어를 구축하는 방법.
왜 랜섬웨어는 제어하기 어려울까?
■ 랜섬웨어는 상품화되었습니다. 공격자들은 대부분의 기업들이 랜섬을 지급한다는 사실을 알게 되면서 공격 빈도를 증가시켰습니다. 이제 악성 코드가 지하 시장에서 공유되거나 한 범죄자가 다른 범죄자에게서 훔쳐집니다. 일부는 랜섬웨어-as-a-Service(RaaS)를 제공하기도 하며, 이는 악성 코드를 개발할 기술이나 자원이 없는 공격자들에게 시장을 열어줍니다. 한 연구에 따르면 2023년 후반에 LockBit, BlackCat, Cl0p과 같은 그룹의 RaaS를 사용하는 위협 그룹들은 훨씬 더 많은 피해자를 발생시킨 것으로 나타났습니다.6
■ 랜섬웨어 지급 금액이 급증했습니다. 2023년 랜섬웨어 지급 금액은 10억 달러를 초과했습니다.7 급증의 중요한 요인 중 하나는 RaaS 플랫폼의 증가입니다. 이러한 플랫폼은 사이버 범죄자들에게 랜섬웨어 공격을 시작할 수 있는 모든 도구와 인프라를 제공하며, 심지어 광범위한 기술적 전문지식이 없어도 공격이 가능합니다. 기술적 장벽을 낮추면서 RaaS는 랜섬웨어를 민주화시켜 더 많은 행위자들이 악의적인 활동에 참여할 수 있도록 했습니다.
■ 국가들이 더욱 대담해졌습니다. 사이버 공간은 법적 관할권의 회색지대에 존재합니다. 사이버 범죄자 추적은 공식적인 무력 충돌 수준 아래에서 이루어지며, 인터넷의 익명성은 정부에 그럴듯한 부인 가능성을 제공합니다. 따라서 일부 국가들은 범죄 조직을 눈감아 주거나 심지어 자국의 지정학적 적을 타격하도록 묵인하기도 합니다.
특히 까다로운 위협과 위험!
■ 중국의 국가 지원 위협 활동은 주요 범인입니다. 사이버 보안 및 인프라 보안 기관(CISA)에 따르면, 중국의 국가 지원 위협은 미국 정부와 민간 부문 네트워크에 대한 가장 광범위하고, 가장 활동적이며, 가장 지속적인 사이버 스파이 활동 위협입니다.8 이 다각적인 위협은 민감한 데이터를 훔치고, 중요 인프라를 방해하며, 다양한 분야에서 우위를 점하려는 악의적인 활동을 포함합니다.
■ 미국의 유틸리티 기업들이 타겟이 되고 있습니다. FBI의 인터넷 범죄 보고서에 따르면, 2023년에는 랜섬웨어 공격이 크게 증가했으며, 그 중 두 번째 이상의 공격이 중요 인프라를 목표로 했습니다.9 2023년 11월, 펜실베이니아의 수천 명의 주민에게 서비스를 제공하는 알리퀴파 시의 수도공사가 이란 연계 위협 그룹의 타겟이 되었습니다.10 이 그룹은 이스라엘산 장비 사용으로 인해 공격을 감행했으며, 자신들의 책임을 주장한 Cyber Av3nger는 "이스라엘산 모든 장비는 우리의 타겟"이라는 메시지를 공개했습니다.
■ 헬스케어 분야는 지속적으로 공격받고 있습니다. FBI의 2023년 인터넷 범죄 보고서에는 헬스케어 및 공공 보건 부문에 영향을 미친 249건의 랜섬웨어 공격이 포함되어 있습니다. 2024년 첫 3개월 동안 헬스케어 분야는 이미 여러 건의 사이버 공격을 겪었으며, 그 중 Change Healthcare에 대한 파괴적인 공격은 미국 내 74%의 병원에서 환자 치료에 직접적인 영향을 미쳤습니다.11 이러한 중단은 공공 안전을 위협하고, 경제적 피해를 초래하며, 신뢰를 약화시킵니다. 우리는 방어력을 강화하고, 정보를 공유하며, 중요 분야에서 사이버 보안을 우선시해야 합니다.
그렇다면 민간 및 공공 부문 CISO는 무엇을 해야 할까요?
가장 높은 수준에서, 사이버 보안 준비 작업은 다음과 같은 내용으로 구성되어야 합니다:
■ 인프라의 침해를 가정하고, MITRE ATT&CK® 프레임워크와 침해 및 공격 시뮬레이션을 결합하여 알려진 가장 높은 위험의 위협에 대해 계획을 수립합니다.
■ 데이터를 보호하고 애플리케이션을 방어하며, 프로세스를 최적화하기 위해 보안 통제를 검토하고 합리화하며 투자합니다.
■ 자동화된 플랫폼을 사용하여 실제 위협에 대해 사이버 방어의 효과를 지속적으로 테스트하여, 비정기적이고 비용이 많이 드는 수동 테스트 대신 이를 검증합니다.
많은 CISO들이 두 번째 단계만으로 랜섬웨어 방어를 구축합니다. 그들은 충분한 계획이나 테스트 없이 일반적으로 좋은 것으로 알려진 모범 사례에 투자하며, 잘 구축된 기업 보안 통제조차 랜섬웨어 공격에 실패할 수 있다는 사실을 간과하고 있습니다.
조직의 고유한 자산과 우선순위를 반영한 사이버 보안 로드맵을 마련하지 않는 CISO들은 공격자들이 랜섬웨어 공격을 이용할 수 있는 보안 통제의 빈틈을 남길 수 있습니다. 마찬가지로, 사이버 보안 인프라를 구축했지만, 통제의 효과를 정기적으로 검증하지 않는다면, 그들은 자신들이 생각하는 것만큼 기업 자산을 잘 보호하지 못할 수 있습니다.
여기서 MITRE ATT&CK®이 등장합니다. 비영리 단체인 MITRE Corporation에서 개발한 MITRE ATT&CK 프레임워크는 전 세계 사이버 공격에서 보안 전문가들이 관찰한 적의 전술, 기법 및 절차(TTPs)에 대한 지식 기반입니다. 각 TTPs에 대해 프레임워크는 설명, 하위 기법에 대한 설명, 그리고 해당 접근 방식을 사용하는 것으로 알려진 위협 행위자 목록을 제공합니다. 또한, ATT&CK 프레임워크는 각 위협을 이를 막기 위해 조직들이 일반적으로 사용하는 특정 보안 통제에 매핑합니다.
MITRE ATT&CK은 일반적으로 가장 권위 있고 포괄적인 TTPs 목록으로 간주됩니다. 미국 국토안보부 내 사이버 보안 및 인프라 보안 기관(CISA)은 주요 사이버 보안 사고가 발생한 후, MITRE ATT&CK 프레임워크를 사용하여 공격자의 행동을 설명합니다.
MITRE ATT&CK은 랜섬웨어와 관련된 광범위한 TTPs를 포함하고 있습니다. 그럼에도 불구하고 너무 적은 수의 민간 부문 보안 임원들이 CISA의 선례를 따르며 이 프레임워크를 활용하여 자신의 랜섬웨어 방어를 강화하고 있습니다.
"이미 수십억 달러를 사이버 보안에 투자한 기업들, 그리고 2025년까지 추가로 1.75조 달러를 지출할 것으로 예상되는 기업들 중 많은 이들이, '한 명의 해커가 세계 반대편에 있는 컴퓨터에서 공격하여 포춘 500대 기업이 무너질 수 있다'는 생각에 충격을 받습니다."
최고 정보 보안 책임자(CISO)는 데이터 기반의, 위협 정보에 근거한, ATT&CK 기반의 방어 전략을 개발하여 잠재적인 랜섬웨어 공격에 충분히 대비하고 있는지 확인해야 합니다. 아래는 ATT&CK을 중심으로 효과적인 위협 정보 기반 방어를 보장하기 위해 CISO가 취할 수 있는 실질적인 단계들입니다.
CISO가 위협 정보 기반 방어의 방책을 구축하는 방법
1. 고가치 자산과 데이터 식별
어떤 보안 팀도 조직이 직면할 수 있는 모든 위협에 대해 모든 데이터 자산을 빠르고 쉽게 보호할 수 없습니다. 만약 그랬다면 사이버 보안은 쉬운 과제가 되었을 것입니다. 실제 보안은 조직과 고객에게 가장 큰 피해를 줄 가능성이 높은 위협을 우선적으로 처리해야 합니다. 랜섬웨어에 대한 위협 정보 기반 방어를 개발하는 첫 번째 단계는 가장 중요한 자산이 무엇인지 식별하는 것입니다.
■ 조직에서 가장 중요한 데이터 식별하기.
각 유형의 정보에 대해 다음을 고려하세요:
이 데이터를 무기한 사용할 수 없게 된다면, 우리의 운영은 계속될 수 있을까요?
공격자가 이 데이터를 훔치거나 공개했다면, 고객, 직원 및 다른 이해 관계자들에게 어떤 영향을 미칠까요?
이 데이터의 침해가 우리 비즈니스 관계나 브랜드 평판에 어떤 영향을 미칠 수 있을까요?
■ 고가치 데이터의 위치 및 이동 경로 매핑하기
가장 우선순위가 높은 정보에 대해 다음을 설정하세요:
이 데이터는 어디에 저장되어 있나요?
이 데이터를 접근하는 애플리케이션은 무엇인가요?
이 데이터에 대한 사용자 접근 통제는 어떻게 설정되어 있나요?
이 데이터에 대한 백업 전략은 어떻게 되어 있나요?
2. 조직의 가장 중요한 위협 식별
다음으로, 위험 경관을 반대 방향에서 접근합니다. MITRE ATT&CK의 전반적인 전술, 기법 및 절차(TTPs)를 기반으로 가장 큰 위협을 제시하는 항목을 식별하세요.
■ 조직을 위협할 가능성이 가장 큰 공격자 식별. MITRE ATT&CK 프레임워크에서 왼쪽에서 오른쪽으로 이동하면서, 다음을 고려하세요: 어떤 위협 행위자들이 귀하의 산업에서 가장 활발히 활동하고 있나요? 어떤 행위자들이 귀하의 데이터를 목표로 할 가능성이 높은가요?
■ 가장 직면할 가능성이 높은 TTPs 식별. MITRE Engenuity의 위협 정보 기반 방어 센터에서 수행한 연구 프로젝트인 "Mapping ATT&CK to CVE for Impact"를 활용하여, 일반적인 취약점과 노출(CVE)이 MITRE ATT&CK 프레임워크와 어떻게 관련되는지 이해하세요.
조직에 가장 큰 위협을 가하는 공격자들 사이에서 어떤 공격 패턴이 공통적인가요?
그들이 어떻게 가장 큰 피해를 줄 수 있을까요? 예를 들어, 이메일 피싱 사기를 고려해 보세요: 사용자가 제공한 정보를 통해 자격 증명 도용과 권한 상승을 유도하는 공격이 이루어졌다면, 공격자는 서버 간에 횡적 이동을 할 수 있습니다.
■ 가장 위협적인 TTPs가 귀하의 가장 중요한 데이터와 어떻게 연결되는지 고려.
"조직에 대해 가장 많이 사용될 가능성이 있는" TTPs와 "성공적인 공격 시 가장 큰 영향을 미치는" TTPs가 교차하는 지점을 찾으세요. MITRE ATT&CK 프레임워크를 사용하는 방법에 대해 더 알고 싶다면, MITRE Engenuity의 위협 정보 기반 방어 센터와 함께 쓴 Dummies Guide to MITRE ATT&CK을 참고하세요.
위협 그룹을 기준으로 통제를 우선순위로 설정하세요.
회사 자산을 보호해야 할 공격자와 TTPs의 "가장 원하고 싶은 목록"을 작성하세요.
■ 가장 중요한 데이터를 방어하기 위한 보안 통제 식별. MITRE ATT&CK 프레임워크를 활용하여 이를 우선순위로 설정하세요.
Microsoft Azure, Amazon Web Services, Google Cloud Platform 등 조직에서 활용하는 모든 통제를 고려하세요.
MITRE ATT&CK은 Azure 보안 스택에 대한 매핑을 간소화합니다.
3. 고가치 자산과 데이터를 위한 모범 방어 구축
■ 필요한 제어 목록을 현재 인프라와 비교. 명백한 격차(gap)와 취약점은 어디에 있나요? 예를 들어:
■ 각 주요 보안 솔루션에서 올바른 기능과 설정이 활성화되었는지 심층적으로 점검하세요.
■ CISA에서 발표한 최신 중요 취약점 목록을 검토15 하세요. 2023년 판에는 Microsoft Exchange, Adobe Acrobat, Windows, Apple iOS, Linux, Apache 등 다양한 소프트웨어 플랫폼에서 알려진 187개의 보안 문제가 포함되어 있습니다.
■ 자산을 방어하기 위한 보안 기능에 대한 투자 우선순위를 설정하세요. 인프라의 취약점과 보안 갭을 "가장 원하고 싶은" TTPs 목록에 맞춰 해소하는 데 집중하세요.
4. 보안 제어 검증 전략 개발
"500명 이상의 정보 기술 및 보안 분야 리더들 가운데 53%는 자신의 사이버 보안 역량의 효과와 성과에 대해 확신하지 못한다고 밝혔습니다. 그 이유는? 통제 시스템이 실패할 때, 그 실패는 조용히 일어나기 때문입니다."
EDR 솔루션을 적절히 테스트하지 않으면 광범위하고 종종 치명적인 결과를 초래할 수 있습니다. 통제가 의도대로 작동하는지 확실히 알 수 있는 유일한 방법은 실제 공격을 시뮬레이션하는 정기적인 테스트를 실행하고, 조직의 사람들, 프로세스 및 기술의 반응을 평가하는 것입니다. 지난 한 해 동안의 랜섬웨어 사건과 사이버 공격의 홍수 속에서 침해 및 공격 시뮬레이션은 필수적입니다. 그 이유는? 보안 운영의 일상적인 일환으로 침해 및 공격 시뮬레이션을 통합하면, CISO는 실시간 성능 데이터를 통해 조직이 적절히 준비되어 있음을 확신할 수 있기 때문입니다.
■ 우선순위 설정. 이미 조직의 가장 중요한 보안 통제를 식별했습니다. 이 정보를 사용하여 정기적인 검증을 위한 특정 통제를 우선순위에 따라 설정하세요.
■ 자동화. 어떤 인간 팀도 증가하는 랜섬웨어 위협을 방어하기 위해 필요한 만큼 모든 통제를 자주 테스트할 수 없습니다.
■ 효율화. 테스트 속도를 높여 직원 생산성을 개선할 수 있는 BAS 솔루션을 선택하세요.
AttackIQ Breach and Attack Simulation Platform은 MITRE ATT&CK 프레임워크에 설명된 대로, 실제 환경에서 적의 행동을 시뮬레이션하여 현재 설정된 보안 통제가 실제 공격을 방어할 수 있는지를 검증할 수 있습니다.
AttackIQ의 네트워크 보안 테스트 기능에는 네트워크 트래픽을 통해 파일을 전송하거나 알려진 적의 행동을 캡처하여 재생하는 사전 구축된 시나리오가 포함됩니다.
- 네트워크 트래픽의 원치 않는 측면 이동을 방지하는 차세대 방화벽의 능력을 테스트할 수 있습니다.
- 민감한 데이터를 네트워크 외부로 유출하려는 시도를 통해 데이터 손실 방지 기능을 테스트할 수 있습니다.
- 열린 포트와 닫힌 포트를 발견하고, 특정 유형의 적의 통신이 효과적으로 차단되는지 평가하여 네트워크 분할 및 마이크로 세그멘테이션을 테스트할 수 있습니다.
- TTPs는 랜섬웨어 공격에서처럼 순차적으로 실행됩니다.
- 이 시뮬레이션의 연쇄를 통해 지속적인 보안 검증 플랫폼은 실제 세계에서 관찰된 복잡한 침해를 시뮬레이션합니다.
- 이러한 자동화된 시뮬레이션은 AI(인공지능)와 ML(기계 학습)을 활용하는 보안 통제를 테스트하는 가장 효과적인 방법입니다.
- 예를 들어, WannaCry 랜섬웨어 크립토웜 시뮬레이션은 MITRE ATT&CK 기법 목록 28을 사용합니다. 2017년 처음 등장한 이후로 WannaCry는 여전히 패치되지 않은 시스템을 감염시키고 있습니다.29 해당 공격 그래프(일부에서는 이를 "공격 흐름"이라고 부름)는 AttackIQ의 지속적인 보안 검증 플랫폼에서 네트워크 및 엔드포인트 보안 통제의 방지 및 탐지 능력을 검증하여 이를 차단합니다. AttackIQ 지속적인 보안 검증 플랫폼이 이 위협의 행동을 어떻게 시뮬레이션하는지에 대한 고급 개요는 아래 그림 1과 2에 설명되어 있습니다.
■ WannaCry 크립토웜은 CVE-2017-0144 취약점을 악용하는 EternalBlue로 취약한 시스템을 적극적으로 스캔합니다 (ATT&CK 전술 T1595 - Active Scanning).
■ 실제 위협처럼, AttackIQ 시나리오는 SMBv1 서비스가 게시되어 있는지 지정된 대상을 점검합니다. 이 취약점을 확인만 하도록 설정하거나 확인이 통과하면 이를 악용하여 (T1190 - Exploit Public-Facing Application) 웜이 WannaCry 페이로드를 취약한 대상으로 침투할 수 있게 합니다.
■ 대상 자산이 취약한 경우, WannaCry 페이로드가 파일 시스템에 저장되고, 엔드포인트 보안 통제가 이를 차단하지 않으면 주변 장치 탐지 및 원격 시스템 탐지 스크립트를 실행합니다. 이는 웜이 추가적인 로컬 파일 시스템과 파일을 나열하고 암호화하는 행동을 모방하며, 악성코드 확산을 위한 추가 타겟도 탐지합니다.
■ 그런 다음 암호화된 Tor 채널을 설정하여 명령 및 제어(C2) 통신(T1573)을 수행하고, 마지막으로 웜은 첫 번째 타겟을 암호화(T1486)하여 침입자가 데이터를 몸값을 요구하기 위해 보유하게 합니다.
■ 아래 첫 번째 이미지는 지속적인 보안 검증 플랫폼에서 공격 그래프의 전체 모습을 보여주며, 두 번째 이미지는 더 자세한 정보를 보기 위해 확대된 모습입니다.
■ WannaCry-EternalBlue 공격 그래프를 여기서 설명하는 이유는 그 역사적 중요성과 지속적인 영향 때문입니다. MITRE ATT&CK 프레임워크에 맞춰, AttackIQ의 지속적인 보안 검증 플랫폼은 다양한 랜섬웨어 가족을 시뮬레이션하고, 공격 그래프에서 적의 전술, 기술, 절차(TTP)를 연결하여 구체적이고 사실적으로 적을 모방하여 조직의 보안 프로그램을 지속적이고 자동으로 테스트합니다. AttackIQ는 1월 27일에 우리 랜섬웨어 적 시뮬레이션 기능의 전체 범위를 시연할 예정입니다.
위의 그림 1은 AttackIQ 지속적인 보안 검증 플랫폼에서 공격 그래프가 어떻게 나타나는지 보여주며, 시뮬레이션의 단계별 체인을 표시합니다.
위의 그림 2는 공격 그래프를 확대하여 이 형식에서 읽을 수 있도록 제공합니다.
5. 의사 결정을 위한 결과 분석
■ 평가 결과가 들어오면 조직의 예방 및 탐지 능력에서 발생한 실패를 해결해야 합니다. 분석 프로세스를 설계할 때 고려해야 할 질문:
어떤 팀이 리스크 및/또는 완화 전략을 평가해야 하나요?
완화/수정에 대한 예상 서비스 수준 계약(SLA)은 무엇인가요?
성공적으로 차단되지 않은 시나리오에 대한 리스크 수용 기준은 무엇인가요?
제어 실패가 일회성 상황인지 반복적인 문제인지 어떻게 판단할 수 있나요?
■ 보안은 동적이어야 합니다. 테스트 데이터를 반영하여 투자 우선순위를 지속적으로 조정해야 합니다.
제어 갭이 식별되면 이를 어떻게 메울 수 있을지 평가하세요. 설정을 변경하여 갭을 닫을 수 있나요, 아니면 다른 보안 솔루션이 필요한가요?
추가 교육을 받거나 팀의 급여 범위를 조정하는 등 인적 성과 요인을 해결해야 할 필요가 있나요?
테스트에서 잠재적인 취약점이 발견된 자산이 잠금이 매우 어려운 경우 — 예를 들어, 중요 데이터베이스, Active Directory 또는 레거시 시스템 — 해당 자산에 대한 제어가 생산 시스템에 영향을 주지 않으면서 가능한 한 효과적인지 확인하세요.
6. 반복적으로 수행하며, 평가 빈도는 제어 우선순위에 따라 조정
■ 보안 제어를 지속적으로 테스트하여 시간이 지남에 따라 효과를 평가하세요.
Conclusion
자신의 조직의 위협 정보 기반 방어를 구축하는 데 있어 일부 CISO는 내부의 레드팀과 블루팀을 통합하고 있습니다. 전통적으로 이 두 팀은 별도로 운영되었으며, 블루팀은 방어 작전을 관리하고 레드팀은 보안 제어에 대한 주기적인(일반적으로 드문) 테스트를 수행했습니다. '퍼플 팀(purple teaming)' 모델로 전환하면 모든 보안 직원이 함께 일하며 제어의 효과성에 관한 데이터에 집중하게 됩니다.
MITRE ATT&CK 프레임워크는 보안 팀(레드, 블루 및/또는 퍼플 팀)이 고우선순위 자산을 보호하는 데 가장 중요한 방어에 집중할 수 있도록 하는 구조를 제공합니다. 자동화된 적군 시뮬레이션을 통해 평가할 때 MITRE ATT&CK의 TTP는 현재 적용된 제어가 다가오는 랜섬웨어 위협으로부터 조직을 효과적으로 보호하는지 확인할 수 있습니다. 만약 그렇지 않다면, 이런 접근 방식은 제어 오류와 갭을 수정하고 문제를 해결했는지 확인하기 위해 재테스트할 수 있는 기회를 제공합니다.
위협 정보 기반 방어를 중심으로 한 보안 프로그램을 개발하는 것은 확실히 도전적이지만, 그 결과는 노력할 가치가 있습니다. 지속적인 테스트 시스템을 확립하면 관리 팀은 보안 프로그램의 전반적인 성과에 대해 데이터 기반으로 제어할 수 있습니다. 보안 팀은 랜섬웨어에 대한 위협 정보 기반 방어를 구현할 수 있는 수단을 얻게 됩니다. MITRE ATT&CK, 자동화된 보안 제어 검증 및 위협 정보 기반 방어를 사이버 보안 전략의 중심에 두면 랜섬웨어에 대비한 보안 프로그램의 준비 상태를 포괄적이고 데이터 기반으로 이해할 수 있습니다.
AttackIQ는 업계 최초의 지속적인 보안 통제 검증 및 보안 프로그램의 효과성과 효율성 향상을 위한 Breach and Attack Simulation 플랫폼을 구축한 독립적인 침해 및 공격 시뮬레이션 솔루션 공급업체입니다. AttackIQ는 전 세계의 선도적인 조직들로부터 사이버 방어가 예상대로 작동하는지 확인하고 보안 개선 계획을 세우는 데 신뢰받고 있으며, MITRE ATT&CK 프레임워크에 맞춰 정렬된 보안 개선을 검증합니다.
이 회사는 MSSP 파트너를 지원하기 위해 유연한 사전 예방적 파트너 프로그램을 제공하며, 이를 통해 파트너가 고객의 보안을 향상시킬 수 있도록 돕고 있습니다. AttackIQ는 무료로 제공되는 수상 경력에 빛나는 AttackIQ Academy와 MITRE Engenuity의 Center for Threat-Informed Defense와의 파트너십을 통해 사이버 보안 커뮤니티에 기여하는 데 열정을 가지고 있습니다.
AttackIQ에 대한 문의사항은 소프트와이드시큐리티로 연락 부탁드립니다.
https://www.softwidesec.com/AttackIQ
왜 랜섬웨어에 주목해야 할까요?
"랜섬웨어는 사이버 범죄 중에서도 독특한 점이 있습니다.
공격이 성공하려면 피해자가 공격 이후 자발적으로 공범 역할을 해야 하기 때문입니다."
Introduction
몇 년 사이 랜섬웨어는 최고 정보 보안 책임자(CISO)의 최대 골칫거리로 떠올랐습니다. 2023년 전 세계 기업의 72%가 랜섬웨어 공격2의 피해를 입었으며, 미국에서는 총 2,207곳의 병원, 학교, 정부 기관이 랜섬웨어의 직접적인 영향을 받았습니다.3
FBI는 랜섬을 지급하지 말 것을 권고하며, 이는 타당한 이유에서입니다. 데이터를 복구하고 운영을 재개하기 위해 절박한 심정으로 랜섬을 지급하려는 유혹을 느끼는 조직도 있지만, 통계는 우울한 현실을 보여줍니다. 최근 연구에 따르면, 조직의 56%가 지난 24개월 동안 한 번 이상의 랜섬웨어 공격을 겪었으며4, 더 심각한 점은, 랜섬을 지급한 조직 중 절반 미만(47%)만이 데이터를 완전히 복구할 수 있었습니다.5
이제 CISO 혼자 이 문제를 해결할 수는 없습니다. 랜섬웨어는 이제 C-레벨 경영진과 이사회 차원에서 다뤄야 할 중대한 문제입니다.
Study Plan
[목표(Objectives)]
왜 그리고 어떻게 조직들이 랜섬웨어로부터 더 큰 위협을 받고 있는가?
CISO는 어떻게 MITRE ATT&CK 프레임워크와 침해 및 공격 시뮬레이션을 활용하여 보안 취약점을 자신 있게 찾아내고 보안 태세를 개선할 수 있는가?
CISO가 회사의 인프라가 적절히 보호되도록 보장하기 위해 취할 수 있는 실질적인 단계는 무엇인가?
[구성(Structure)]
왜 랜섬웨어에 주목해야 하는가?
CISO가 위협 정보 기반 방어를 구축하는 방법.
왜 랜섬웨어는 제어하기 어려울까?
■ 랜섬웨어는 상품화되었습니다. 공격자들은 대부분의 기업들이 랜섬을 지급한다는 사실을 알게 되면서 공격 빈도를 증가시켰습니다. 이제 악성 코드가 지하 시장에서 공유되거나 한 범죄자가 다른 범죄자에게서 훔쳐집니다. 일부는 랜섬웨어-as-a-Service(RaaS)를 제공하기도 하며, 이는 악성 코드를 개발할 기술이나 자원이 없는 공격자들에게 시장을 열어줍니다. 한 연구에 따르면 2023년 후반에 LockBit, BlackCat, Cl0p과 같은 그룹의 RaaS를 사용하는 위협 그룹들은 훨씬 더 많은 피해자를 발생시킨 것으로 나타났습니다.6
■ 랜섬웨어 지급 금액이 급증했습니다. 2023년 랜섬웨어 지급 금액은 10억 달러를 초과했습니다.7 급증의 중요한 요인 중 하나는 RaaS 플랫폼의 증가입니다. 이러한 플랫폼은 사이버 범죄자들에게 랜섬웨어 공격을 시작할 수 있는 모든 도구와 인프라를 제공하며, 심지어 광범위한 기술적 전문지식이 없어도 공격이 가능합니다. 기술적 장벽을 낮추면서 RaaS는 랜섬웨어를 민주화시켜 더 많은 행위자들이 악의적인 활동에 참여할 수 있도록 했습니다.
■ 국가들이 더욱 대담해졌습니다. 사이버 공간은 법적 관할권의 회색지대에 존재합니다. 사이버 범죄자 추적은 공식적인 무력 충돌 수준 아래에서 이루어지며, 인터넷의 익명성은 정부에 그럴듯한 부인 가능성을 제공합니다. 따라서 일부 국가들은 범죄 조직을 눈감아 주거나 심지어 자국의 지정학적 적을 타격하도록 묵인하기도 합니다.
특히 까다로운 위협과 위험!
■ 중국의 국가 지원 위협 활동은 주요 범인입니다. 사이버 보안 및 인프라 보안 기관(CISA)에 따르면, 중국의 국가 지원 위협은 미국 정부와 민간 부문 네트워크에 대한 가장 광범위하고, 가장 활동적이며, 가장 지속적인 사이버 스파이 활동 위협입니다.8 이 다각적인 위협은 민감한 데이터를 훔치고, 중요 인프라를 방해하며, 다양한 분야에서 우위를 점하려는 악의적인 활동을 포함합니다.
■ 미국의 유틸리티 기업들이 타겟이 되고 있습니다. FBI의 인터넷 범죄 보고서에 따르면, 2023년에는 랜섬웨어 공격이 크게 증가했으며, 그 중 두 번째 이상의 공격이 중요 인프라를 목표로 했습니다.9 2023년 11월, 펜실베이니아의 수천 명의 주민에게 서비스를 제공하는 알리퀴파 시의 수도공사가 이란 연계 위협 그룹의 타겟이 되었습니다.10 이 그룹은 이스라엘산 장비 사용으로 인해 공격을 감행했으며, 자신들의 책임을 주장한 Cyber Av3nger는 "이스라엘산 모든 장비는 우리의 타겟"이라는 메시지를 공개했습니다.
■ 헬스케어 분야는 지속적으로 공격받고 있습니다. FBI의 2023년 인터넷 범죄 보고서에는 헬스케어 및 공공 보건 부문에 영향을 미친 249건의 랜섬웨어 공격이 포함되어 있습니다. 2024년 첫 3개월 동안 헬스케어 분야는 이미 여러 건의 사이버 공격을 겪었으며, 그 중 Change Healthcare에 대한 파괴적인 공격은 미국 내 74%의 병원에서 환자 치료에 직접적인 영향을 미쳤습니다.11 이러한 중단은 공공 안전을 위협하고, 경제적 피해를 초래하며, 신뢰를 약화시킵니다. 우리는 방어력을 강화하고, 정보를 공유하며, 중요 분야에서 사이버 보안을 우선시해야 합니다.
그렇다면 민간 및 공공 부문 CISO는 무엇을 해야 할까요?
가장 높은 수준에서, 사이버 보안 준비 작업은 다음과 같은 내용으로 구성되어야 합니다:
■ 인프라의 침해를 가정하고, MITRE ATT&CK® 프레임워크와 침해 및 공격 시뮬레이션을 결합하여 알려진 가장 높은 위험의 위협에 대해 계획을 수립합니다.
■ 데이터를 보호하고 애플리케이션을 방어하며, 프로세스를 최적화하기 위해 보안 통제를 검토하고 합리화하며 투자합니다.
■ 자동화된 플랫폼을 사용하여 실제 위협에 대해 사이버 방어의 효과를 지속적으로 테스트하여, 비정기적이고 비용이 많이 드는 수동 테스트 대신 이를 검증합니다.
많은 CISO들이 두 번째 단계만으로 랜섬웨어 방어를 구축합니다. 그들은 충분한 계획이나 테스트 없이 일반적으로 좋은 것으로 알려진 모범 사례에 투자하며, 잘 구축된 기업 보안 통제조차 랜섬웨어 공격에 실패할 수 있다는 사실을 간과하고 있습니다.
조직의 고유한 자산과 우선순위를 반영한 사이버 보안 로드맵을 마련하지 않는 CISO들은 공격자들이 랜섬웨어 공격을 이용할 수 있는 보안 통제의 빈틈을 남길 수 있습니다. 마찬가지로, 사이버 보안 인프라를 구축했지만, 통제의 효과를 정기적으로 검증하지 않는다면, 그들은 자신들이 생각하는 것만큼 기업 자산을 잘 보호하지 못할 수 있습니다.
여기서 MITRE ATT&CK®이 등장합니다. 비영리 단체인 MITRE Corporation에서 개발한 MITRE ATT&CK 프레임워크는 전 세계 사이버 공격에서 보안 전문가들이 관찰한 적의 전술, 기법 및 절차(TTPs)에 대한 지식 기반입니다. 각 TTPs에 대해 프레임워크는 설명, 하위 기법에 대한 설명, 그리고 해당 접근 방식을 사용하는 것으로 알려진 위협 행위자 목록을 제공합니다. 또한, ATT&CK 프레임워크는 각 위협을 이를 막기 위해 조직들이 일반적으로 사용하는 특정 보안 통제에 매핑합니다.
MITRE ATT&CK은 일반적으로 가장 권위 있고 포괄적인 TTPs 목록으로 간주됩니다. 미국 국토안보부 내 사이버 보안 및 인프라 보안 기관(CISA)은 주요 사이버 보안 사고가 발생한 후, MITRE ATT&CK 프레임워크를 사용하여 공격자의 행동을 설명합니다.
MITRE ATT&CK은 랜섬웨어와 관련된 광범위한 TTPs를 포함하고 있습니다. 그럼에도 불구하고 너무 적은 수의 민간 부문 보안 임원들이 CISA의 선례를 따르며 이 프레임워크를 활용하여 자신의 랜섬웨어 방어를 강화하고 있습니다.
"이미 수십억 달러를 사이버 보안에 투자한 기업들, 그리고 2025년까지 추가로 1.75조 달러를 지출할 것으로 예상되는 기업들 중 많은 이들이, '한 명의 해커가 세계 반대편에 있는 컴퓨터에서 공격하여 포춘 500대 기업이 무너질 수 있다'는 생각에 충격을 받습니다."
최고 정보 보안 책임자(CISO)는 데이터 기반의, 위협 정보에 근거한, ATT&CK 기반의 방어 전략을 개발하여 잠재적인 랜섬웨어 공격에 충분히 대비하고 있는지 확인해야 합니다. 아래는 ATT&CK을 중심으로 효과적인 위협 정보 기반 방어를 보장하기 위해 CISO가 취할 수 있는 실질적인 단계들입니다.
CISO가 위협 정보 기반 방어의 방책을 구축하는 방법
1. 고가치 자산과 데이터 식별
어떤 보안 팀도 조직이 직면할 수 있는 모든 위협에 대해 모든 데이터 자산을 빠르고 쉽게 보호할 수 없습니다. 만약 그랬다면 사이버 보안은 쉬운 과제가 되었을 것입니다. 실제 보안은 조직과 고객에게 가장 큰 피해를 줄 가능성이 높은 위협을 우선적으로 처리해야 합니다. 랜섬웨어에 대한 위협 정보 기반 방어를 개발하는 첫 번째 단계는 가장 중요한 자산이 무엇인지 식별하는 것입니다.
■ 조직에서 가장 중요한 데이터 식별하기.
각 유형의 정보에 대해 다음을 고려하세요:
이 데이터를 무기한 사용할 수 없게 된다면, 우리의 운영은 계속될 수 있을까요?
공격자가 이 데이터를 훔치거나 공개했다면, 고객, 직원 및 다른 이해 관계자들에게 어떤 영향을 미칠까요?
이 데이터의 침해가 우리 비즈니스 관계나 브랜드 평판에 어떤 영향을 미칠 수 있을까요?
■ 고가치 데이터의 위치 및 이동 경로 매핑하기
가장 우선순위가 높은 정보에 대해 다음을 설정하세요:
이 데이터는 어디에 저장되어 있나요?
이 데이터를 접근하는 애플리케이션은 무엇인가요?
이 데이터에 대한 사용자 접근 통제는 어떻게 설정되어 있나요?
이 데이터에 대한 백업 전략은 어떻게 되어 있나요?
2. 조직의 가장 중요한 위협 식별
다음으로, 위험 경관을 반대 방향에서 접근합니다. MITRE ATT&CK의 전반적인 전술, 기법 및 절차(TTPs)를 기반으로 가장 큰 위협을 제시하는 항목을 식별하세요.
■ 조직을 위협할 가능성이 가장 큰 공격자 식별. MITRE ATT&CK 프레임워크에서 왼쪽에서 오른쪽으로 이동하면서, 다음을 고려하세요: 어떤 위협 행위자들이 귀하의 산업에서 가장 활발히 활동하고 있나요? 어떤 행위자들이 귀하의 데이터를 목표로 할 가능성이 높은가요?
■ 가장 직면할 가능성이 높은 TTPs 식별. MITRE Engenuity의 위협 정보 기반 방어 센터에서 수행한 연구 프로젝트인 "Mapping ATT&CK to CVE for Impact"를 활용하여, 일반적인 취약점과 노출(CVE)이 MITRE ATT&CK 프레임워크와 어떻게 관련되는지 이해하세요.
조직에 가장 큰 위협을 가하는 공격자들 사이에서 어떤 공격 패턴이 공통적인가요?
그들이 어떻게 가장 큰 피해를 줄 수 있을까요? 예를 들어, 이메일 피싱 사기를 고려해 보세요: 사용자가 제공한 정보를 통해 자격 증명 도용과 권한 상승을 유도하는 공격이 이루어졌다면, 공격자는 서버 간에 횡적 이동을 할 수 있습니다.
■ 가장 위협적인 TTPs가 귀하의 가장 중요한 데이터와 어떻게 연결되는지 고려.
"조직에 대해 가장 많이 사용될 가능성이 있는" TTPs와 "성공적인 공격 시 가장 큰 영향을 미치는" TTPs가 교차하는 지점을 찾으세요. MITRE ATT&CK 프레임워크를 사용하는 방법에 대해 더 알고 싶다면, MITRE Engenuity의 위협 정보 기반 방어 센터와 함께 쓴 Dummies Guide to MITRE ATT&CK을 참고하세요.
위협 그룹을 기준으로 통제를 우선순위로 설정하세요.
회사 자산을 보호해야 할 공격자와 TTPs의 "가장 원하고 싶은 목록"을 작성하세요.
■ 가장 중요한 데이터를 방어하기 위한 보안 통제 식별. MITRE ATT&CK 프레임워크를 활용하여 이를 우선순위로 설정하세요.
Microsoft Azure, Amazon Web Services, Google Cloud Platform 등 조직에서 활용하는 모든 통제를 고려하세요.
MITRE ATT&CK은 Azure 보안 스택에 대한 매핑을 간소화합니다.
3. 고가치 자산과 데이터를 위한 모범 방어 구축
■ 필요한 제어 목록을 현재 인프라와 비교. 명백한 격차(gap)와 취약점은 어디에 있나요? 예를 들어:
회사의 핵심 자산에 대한 사용자 접근을 관리하는 접근 제어 시스템이 있나요?
서버 간에 무단 내부 작업을 방지하기 위한 링 펜스가 있나요?
■ 각 주요 보안 솔루션에서 올바른 기능과 설정이 활성화되었는지 심층적으로 점검하세요.
보호 기능이 필요한 방식으로 설정되어 있나요?
■ CISA에서 발표한 최신 중요 취약점 목록을 검토15 하세요. 2023년 판에는 Microsoft Exchange, Adobe Acrobat, Windows, Apple iOS, Linux, Apache 등 다양한 소프트웨어 플랫폼에서 알려진 187개의 보안 문제가 포함되어 있습니다.
이 목록을 사용하여 노출을 평가하고 취약점을 가능한 한 빨리 수정한 후, MITRE ATT&CK 프레임워크를 사용하여 보완적인 통제를 테스트하고 알려진 취약점과 잠재적 취약점에 대한 보호를 강화하세요.
■ 자산을 방어하기 위한 보안 기능에 대한 투자 우선순위를 설정하세요. 인프라의 취약점과 보안 갭을 "가장 원하고 싶은" TTPs 목록에 맞춰 해소하는 데 집중하세요.
4. 보안 제어 검증 전략 개발
"500명 이상의 정보 기술 및 보안 분야 리더들 가운데 53%는 자신의 사이버 보안 역량의 효과와 성과에 대해 확신하지 못한다고 밝혔습니다. 그 이유는? 통제 시스템이 실패할 때, 그 실패는 조용히 일어나기 때문입니다."
EDR 솔루션을 적절히 테스트하지 않으면 광범위하고 종종 치명적인 결과를 초래할 수 있습니다. 통제가 의도대로 작동하는지 확실히 알 수 있는 유일한 방법은 실제 공격을 시뮬레이션하는 정기적인 테스트를 실행하고, 조직의 사람들, 프로세스 및 기술의 반응을 평가하는 것입니다. 지난 한 해 동안의 랜섬웨어 사건과 사이버 공격의 홍수 속에서 침해 및 공격 시뮬레이션은 필수적입니다. 그 이유는? 보안 운영의 일상적인 일환으로 침해 및 공격 시뮬레이션을 통합하면, CISO는 실시간 성능 데이터를 통해 조직이 적절히 준비되어 있음을 확신할 수 있기 때문입니다.
■ 우선순위 설정. 이미 조직의 가장 중요한 보안 통제를 식별했습니다. 이 정보를 사용하여 정기적인 검증을 위한 특정 통제를 우선순위에 따라 설정하세요.
■ 자동화. 어떤 인간 팀도 증가하는 랜섬웨어 위협을 방어하기 위해 필요한 만큼 모든 통제를 자주 테스트할 수 없습니다.
자동화된 보안 통제 검증은 조직의 가장 중요한 통제를 지속적으로 테스트할 수 있게 합니다.
지속적인 검증은 구성 변경이나 직원 변경으로 인해 통제 격차가 생길 수 있는 상황을 더 빠르게 탐지하고 완화할 수 있도록 합니다.
■ 효율화. 테스트 속도를 높여 직원 생산성을 개선할 수 있는 BAS 솔루션을 선택하세요.
AttackIQ Breach and Attack Simulation Platform은 MITRE ATT&CK 프레임워크에 설명된 대로, 실제 환경에서 적의 행동을 시뮬레이션하여 현재 설정된 보안 통제가 실제 공격을 방어할 수 있는지를 검증할 수 있습니다.
AttackIQ의 네트워크 보안 테스트 기능에는 네트워크 트래픽을 통해 파일을 전송하거나 알려진 적의 행동을 캡처하여 재생하는 사전 구축된 시나리오가 포함됩니다.
- 네트워크 트래픽의 원치 않는 측면 이동을 방지하는 차세대 방화벽의 능력을 테스트할 수 있습니다.
- 민감한 데이터를 네트워크 외부로 유출하려는 시도를 통해 데이터 손실 방지 기능을 테스트할 수 있습니다.
- 열린 포트와 닫힌 포트를 발견하고, 특정 유형의 적의 통신이 효과적으로 차단되는지 평가하여 네트워크 분할 및 마이크로 세그멘테이션을 테스트할 수 있습니다.
산업계는 AttackIQ와 함께 공격 그래프(또는 공격 흐름)를 활용하여 중요한 요구 사항을 해결해왔습니다. 이러한 그래프는 다단계 공격을 모델링하여 방어자가 자동화된 사이버 보안 통제를 현실적이고 목표 지향적인 방식으로 엄격하게 평가할 수 있도록 합니다.
- TTPs는 랜섬웨어 공격에서처럼 순차적으로 실행됩니다.
- 이 시뮬레이션의 연쇄를 통해 지속적인 보안 검증 플랫폼은 실제 세계에서 관찰된 복잡한 침해를 시뮬레이션합니다.
- 이러한 자동화된 시뮬레이션은 AI(인공지능)와 ML(기계 학습)을 활용하는 보안 통제를 테스트하는 가장 효과적인 방법입니다.
- 예를 들어, WannaCry 랜섬웨어 크립토웜 시뮬레이션은 MITRE ATT&CK 기법 목록 28을 사용합니다. 2017년 처음 등장한 이후로 WannaCry는 여전히 패치되지 않은 시스템을 감염시키고 있습니다.29 해당 공격 그래프(일부에서는 이를 "공격 흐름"이라고 부름)는 AttackIQ의 지속적인 보안 검증 플랫폼에서 네트워크 및 엔드포인트 보안 통제의 방지 및 탐지 능력을 검증하여 이를 차단합니다. AttackIQ 지속적인 보안 검증 플랫폼이 이 위협의 행동을 어떻게 시뮬레이션하는지에 대한 고급 개요는 아래 그림 1과 2에 설명되어 있습니다.
■ WannaCry 크립토웜은 CVE-2017-0144 취약점을 악용하는 EternalBlue로 취약한 시스템을 적극적으로 스캔합니다 (ATT&CK 전술 T1595 - Active Scanning).
■ 실제 위협처럼, AttackIQ 시나리오는 SMBv1 서비스가 게시되어 있는지 지정된 대상을 점검합니다. 이 취약점을 확인만 하도록 설정하거나 확인이 통과하면 이를 악용하여 (T1190 - Exploit Public-Facing Application) 웜이 WannaCry 페이로드를 취약한 대상으로 침투할 수 있게 합니다.
■ 대상 자산이 취약한 경우, WannaCry 페이로드가 파일 시스템에 저장되고, 엔드포인트 보안 통제가 이를 차단하지 않으면 주변 장치 탐지 및 원격 시스템 탐지 스크립트를 실행합니다. 이는 웜이 추가적인 로컬 파일 시스템과 파일을 나열하고 암호화하는 행동을 모방하며, 악성코드 확산을 위한 추가 타겟도 탐지합니다.
■ 그런 다음 암호화된 Tor 채널을 설정하여 명령 및 제어(C2) 통신(T1573)을 수행하고, 마지막으로 웜은 첫 번째 타겟을 암호화(T1486)하여 침입자가 데이터를 몸값을 요구하기 위해 보유하게 합니다.
■ 아래 첫 번째 이미지는 지속적인 보안 검증 플랫폼에서 공격 그래프의 전체 모습을 보여주며, 두 번째 이미지는 더 자세한 정보를 보기 위해 확대된 모습입니다.
■ WannaCry-EternalBlue 공격 그래프를 여기서 설명하는 이유는 그 역사적 중요성과 지속적인 영향 때문입니다. MITRE ATT&CK 프레임워크에 맞춰, AttackIQ의 지속적인 보안 검증 플랫폼은 다양한 랜섬웨어 가족을 시뮬레이션하고, 공격 그래프에서 적의 전술, 기술, 절차(TTP)를 연결하여 구체적이고 사실적으로 적을 모방하여 조직의 보안 프로그램을 지속적이고 자동으로 테스트합니다. AttackIQ는 1월 27일에 우리 랜섬웨어 적 시뮬레이션 기능의 전체 범위를 시연할 예정입니다.
위의 그림 1은 AttackIQ 지속적인 보안 검증 플랫폼에서 공격 그래프가 어떻게 나타나는지 보여주며, 시뮬레이션의 단계별 체인을 표시합니다.
위의 그림 2는 공격 그래프를 확대하여 이 형식에서 읽을 수 있도록 제공합니다.
5. 의사 결정을 위한 결과 분석
■ 평가 결과가 들어오면 조직의 예방 및 탐지 능력에서 발생한 실패를 해결해야 합니다. 분석 프로세스를 설계할 때 고려해야 할 질문:
어떤 팀이 리스크 및/또는 완화 전략을 평가해야 하나요?
완화/수정에 대한 예상 서비스 수준 계약(SLA)은 무엇인가요?
성공적으로 차단되지 않은 시나리오에 대한 리스크 수용 기준은 무엇인가요?
제어 실패가 일회성 상황인지 반복적인 문제인지 어떻게 판단할 수 있나요?
■ 보안은 동적이어야 합니다. 테스트 데이터를 반영하여 투자 우선순위를 지속적으로 조정해야 합니다.
제어 갭이 식별되면 이를 어떻게 메울 수 있을지 평가하세요. 설정을 변경하여 갭을 닫을 수 있나요, 아니면 다른 보안 솔루션이 필요한가요?
추가 교육을 받거나 팀의 급여 범위를 조정하는 등 인적 성과 요인을 해결해야 할 필요가 있나요?
테스트에서 잠재적인 취약점이 발견된 자산이 잠금이 매우 어려운 경우 — 예를 들어, 중요 데이터베이스, Active Directory 또는 레거시 시스템 — 해당 자산에 대한 제어가 생산 시스템에 영향을 주지 않으면서 가능한 한 효과적인지 확인하세요.
6. 반복적으로 수행하며, 평가 빈도는 제어 우선순위에 따라 조정
■ 보안 제어를 지속적으로 테스트하여 시간이 지남에 따라 효과를 평가하세요.
장기적인 데이터는 시간이 지남에 따라 팀의 성과를 더 잘 파악할 수 있게 해줍니다. 제어가 일관되게 제대로 작동하고 있나요?
성능 데이터를 활용하여 근본적인 문제를 분석하세요. 테스트 결과를 측정하면서 팀이 지속적으로 직면하는 문제는 무엇인가요? 시간이 지나면서 팀 성과에 영향을 미치는 근본적인 문제는 무엇인가요?
Conclusion
자신의 조직의 위협 정보 기반 방어를 구축하는 데 있어 일부 CISO는 내부의 레드팀과 블루팀을 통합하고 있습니다. 전통적으로 이 두 팀은 별도로 운영되었으며, 블루팀은 방어 작전을 관리하고 레드팀은 보안 제어에 대한 주기적인(일반적으로 드문) 테스트를 수행했습니다. '퍼플 팀(purple teaming)' 모델로 전환하면 모든 보안 직원이 함께 일하며 제어의 효과성에 관한 데이터에 집중하게 됩니다.
MITRE ATT&CK 프레임워크는 보안 팀(레드, 블루 및/또는 퍼플 팀)이 고우선순위 자산을 보호하는 데 가장 중요한 방어에 집중할 수 있도록 하는 구조를 제공합니다. 자동화된 적군 시뮬레이션을 통해 평가할 때 MITRE ATT&CK의 TTP는 현재 적용된 제어가 다가오는 랜섬웨어 위협으로부터 조직을 효과적으로 보호하는지 확인할 수 있습니다. 만약 그렇지 않다면, 이런 접근 방식은 제어 오류와 갭을 수정하고 문제를 해결했는지 확인하기 위해 재테스트할 수 있는 기회를 제공합니다.
위협 정보 기반 방어를 중심으로 한 보안 프로그램을 개발하는 것은 확실히 도전적이지만, 그 결과는 노력할 가치가 있습니다. 지속적인 테스트 시스템을 확립하면 관리 팀은 보안 프로그램의 전반적인 성과에 대해 데이터 기반으로 제어할 수 있습니다. 보안 팀은 랜섬웨어에 대한 위협 정보 기반 방어를 구현할 수 있는 수단을 얻게 됩니다. MITRE ATT&CK, 자동화된 보안 제어 검증 및 위협 정보 기반 방어를 사이버 보안 전략의 중심에 두면 랜섬웨어에 대비한 보안 프로그램의 준비 상태를 포괄적이고 데이터 기반으로 이해할 수 있습니다.
AttackIQ는 업계 최초의 지속적인 보안 통제 검증 및 보안 프로그램의 효과성과 효율성 향상을 위한 Breach and Attack Simulation 플랫폼을 구축한 독립적인 침해 및 공격 시뮬레이션 솔루션 공급업체입니다. AttackIQ는 전 세계의 선도적인 조직들로부터 사이버 방어가 예상대로 작동하는지 확인하고 보안 개선 계획을 세우는 데 신뢰받고 있으며, MITRE ATT&CK 프레임워크에 맞춰 정렬된 보안 개선을 검증합니다.
이 회사는 MSSP 파트너를 지원하기 위해 유연한 사전 예방적 파트너 프로그램을 제공하며, 이를 통해 파트너가 고객의 보안을 향상시킬 수 있도록 돕고 있습니다. AttackIQ는 무료로 제공되는 수상 경력에 빛나는 AttackIQ Academy와 MITRE Engenuity의 Center for Threat-Informed Defense와의 파트너십을 통해 사이버 보안 커뮤니티에 기여하는 데 열정을 가지고 있습니다.
AttackIQ에 대한 문의사항은 소프트와이드시큐리티로 연락 부탁드립니다.
https://www.softwidesec.com/AttackIQ