마이크로세그멘테이션(Microsegmentation)은 정보보안 구조(인포섹 아키텍처) 업계에서 뜨거운 주제이며 여러 제로 트러스트 아키텍처 및 성숙도 모델에서 필수 구성 요소입니다. 마이크로 세그먼테이션은 워크로드 간 네트워크 액세스를 관리하는 보안 방법입니다. 많은 조직이 공격 표면을 크게 줄일 수 있는 방법으로 마이크로세그멘테이션을 고려하고 있습니다.
많은 사람들이 생각하는 것과는 달리 실제로는 측면 이동(lateral movement)을 방지하지 않습니다. 이는 측면 이동을 거부하는 전략이 아니라 측면 이동을 저하시키는 접근 방식입니다. 측면 이동은 여전히 가능하며 단지 더 어려워질 뿐입니다.
이제 공격자처럼 생각해봅시다. 역할을 바꾸어 보는 것은 어떨까요? 마이크로세그멘테이션 접근 방식을 구현한 조직에 침투하려는 공격자라고 상상해 보세요. 네트워크 기반 마이크로세그멘테이션이든 호스트/에이전트 기반이든 이 사고 실험의 목적에는 상관없습니다.
공격자는 공격할 위치를 선택할 수 있는 기회가 거의 없습니다. 인터넷에 연결된 서비스의 취약점을 발견하면 이를 통해 해당 서버에 액세스할 수 있습니다. 피싱 공격으로 사용자를 속여 원격 액세스 트로이목마(RAT, Remote Access Trojan)'를 설치하도록 유도한 다음 사용자의 PC에 침입할 수도 있습니다. 또는 공급망을 침해하여 백도어된 OT 디바이스를 사용자 환경에 침투시킬 수도 있습니다. 목표물 근처에 도착하지 않은 것이 거의 확실하므로 측면으로 이동하고 가능한 한 조용히 움직이며 전략을 계획해야 합니다.
이 시점에서 공격자는 포기하지 않을 것입니다. 대신 몇 가지 검색 스캔을 실행하여 연결이 허용되는 대상을 확인하여 사용 가능한 공격 표면을 탐색할 것입니다. 여기에는 서비스, 클라우드 인프라, 심지어 프린터와 같은 IoT/OT 디바이스까지 포함될 수 있습니다. 호스트의 연결 테이블을 살펴볼 수 있지만 여기서도 익스플로잇할 수 있는 것이 나오지 않는다면 스캔을 실행해야 합니다.
네트워크 기반 세그멘테이션(segmentation, 분할)에 직면한 경우, 강제 세그멘테이션에 따라 대화가 허용되는 대상을 확인하기 위해 스캔을 실행해야 할 수 있습니다. 이러한 검사는 매우 비정형적이며 기본 IDS에서도 볼 수 있습니다. 그러나 대부분의 네트워크 기반 세그멘테이션는 이러한 검사를 수행하지 않으므로 이러한 검사는 보이지 않으며, 측면 이동 기회를 식별하여 이를 악용할 수 있습니다.
이제 에이전트 기반 세그멘테이션을 사용하고 관리자 권한을 얻을 수 있는 경우 엔드포인트를 비활성화하거나 측면 이동을 허용하는 포트를 열 수 있습니다. 일부 에이전트 기반 솔루션은 가시성도 제공하므로 에이전트를 비활성화하는 것도 고려할 수 있습니다. 예를 들어 Windows에서 BYOVD(취약한 드라이버 가져오기) 공격을 통해 관리자 권한을 갖게 되면 '변조 방지' 에이전트는 대부분 무의미해집니다. 다시 말하지만, 여전히 공격 표면을 찾기 위해 스캔을 해야 하지만 이러한 스캔은 특히 비슷한 엔드포인트에서 실행되는 에이전트와 비교할 때 매우 비정형적으로 보일 것입니다.
마이크로세그멘테이션은 불가능(거부 전략)이 아니라 더 어렵게(성능 저하 전략) 만들었을 뿐입니다.
이제 시나리오를 바꿔서 기가몬이 지원하는 딥 옵저버빌리티를 통해 마이크로세그멘테이션을 도입하여 NDR 툴이나 IDS을 도입해 봅시다.
스캔을 시작하자마자 사용자의 존재가 드러나 보안운영(SecOps)에 알려지게 됩니다.
기가몬 딥 옵저버빌리티 파이프라인의 네트워크 가시성이 없는 마이크로세그멘테이션은 공격자가 숨을 수 있는 불완전한 솔루션이라는 것이 현실입니다. 딥 가시성을 갖춘 마이크로세그멘테이션은 공격 표면을 제한하는 동시에 공격자의 존재를 쉽게 드러낼 수 있는 두 가지 장점을 모두 제공합니다. 이는 서로 모두에게 이득이 되는 시나리오이자 최상의 결과입니다.
2개의 댓글이 있습니다.
정보 참고하겠습니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입정보 참고하겠습니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입