측면 이동 소개

측면 이동 공격은 어떤 방식으로 이루어지나요? 

측면 이동은 이미 신뢰할 수 있는 환경에 대한 접속 권한을 얻은 공격자 및 고가치 자산을 찾는 공격자가 취하는 일련의 조치입니다. 네트워크에 침입한 공격자는 가장 취약하거나 가장 가치 있는 자산을 식별한 다음 접근 수준을 확장하여 해당 자산에 도달하기 위한 조치를 취합니다. 

이러한 유형의 측면 이동은 일반적으로 탈취한 인증정보를 사용하여 데이터 센터 또는 클라우드 노드를 감염하거나 손상시키면서 시작됩니다. 이때부터 공격자는 다양한 기술을 사용하여 네트워크, 노드 및 애플리케이션을 조사하면서 악용 가능한 취약점과 다음 표적으로 성공적으로 이동할 수 있도록 해 주는 구성상의 오류를 찾습니다. 이때 피싱 이메일 또는 인증정보 덤핑을 통해 탈취한 인증정보를 사용하는 경우가 많습니다.

측면 이동이 효과적으로 사용되면 해당 활동이 대량의 정상적인 동서 트래픽과 혼합되어 IT 팀에서 탐지하기가 매우 힘들어질 수 있습니다. 공격자는 환경 내에서 정상적인 트래픽이 어떻게 흐르는지 구체적으로 파악할수록 자신의 측면 이동을 승인된 활동으로 더 쉽게 가장할 수 있습니다. 이렇게 측면 이동을 탐지하기가 어려우므로 보안 침해가 엄청난 비율로 빠르게 확산될 수 있습니다.

측면 이동 공격을 차단하려면 사이버 보안 팀이 세 가지 중요한 기능을 갖춰야 합니다. 사이버 보안 팀은 동서 트래픽을 실시간 및 시간 경과에 따라 시각화하여 악의적인 활동을 보다 쉽게 식별할 수 있어야 합니다. 뿐만 아니라 마이크로세그먼테이션 보안 솔루션을 사용하여 네트워크 계층 구조, 워크로드 및 프로세스 수준 보안 제어를 중요 자산에 적용함으로써 측면 이동 시도를 차단할 수도 있습니다. 또한 디셉션 기술을 사용하여 의심스러운 행동을 고상호 작용(high-interaction) 디셉션 엔진으로 리디렉션할 수 있고, 여기에서 IT 팀은 측면 이동 공격에 대해 보다 자세하게 파악하여 위협 사냥을 수행하고 측면 이동 방지를 위한 보다 효율적인 보안 정책을 강구할 수 있습니다.

동서 트래픽 시각화

보다 선제적인 측면 이동 보안을 원하는 기업은 자신의 환경에서 동서 트래픽을 시각화하는 것부터 시작할 수 있습니다. 승인된 동서 트래픽에 대한 명확한 기준이 수립되고 실시간 및 시간 경과에 따라 동서 트래픽을 볼 수 있게 되면 승인되지 않은 측면 이동 시도를 보다 쉽게 식별할 수 있습니다.

이는 Akamai 솔루션의 대표적인 기능 중 하나입니다. Akamai Guardicore Segmentation 기술은 네트워크 및 호스트 기반 센서를 사용하여 데이터 센터, 클라우드 및 하이브리드 환경에서의 자산 및 흐름에 대한 자세한 정보를 수집하고, 해당 정보를 오케스트레이션 툴에 있는 명명 라벨링(명명 규칙) 정보와 결합하며, 해당 환경의 동서 트래픽을 시각적으로 표시합니다.

측면 이동 제어를 제로 트러스트 보안 전략에 어떻게 적용할 수 있을까요?

제로 트러스트는 기술이나 제품이라기보다는 보안을 이해하기 위한 프레임워크입니다. 제로 트러스트는 CISO 및 기타 보안 리더들에게 보다 엄격한 보안 전략 체계에 대한 전략적이고 구조적인 접근 방식을 제공하여 기업이 리스크가 증가하는 환경에 대비할 수 있도록 돕습니다.

Lemongrass 제로 트러스트 아키텍처 는 정의된 경계 내에서 신뢰할 수 있는 네트워크라는 개념을 포기합니다. 제로 트러스트의 목표는 공격 표면을 최소화하고 많은 사이버 공격에 사용되는 네트워크 전체에서 측면 이동을 방지하는 것입니다. 보안 침해 또는 데이터 유출이 발생할 경우 제로 트러스트 아키텍처는 해커가 측면 이동하여 다른 시스템이나 중요 데이터에 쉽게 접근하는 것을 방지합니다. 이러한 접근 방식은 속도와 유연성을 필요로 하는 새로운 비즈니스와 운영 모델을 지원합니다. 또한 소비자 데이터를 더욱 강력하게 보호하고 중요 자산과 비중요 자산을 분리할 것을 요구하는 규정을 더 쉽게 준수할 수 있도록 지원합니다.

제로 트러스트 모델을 성공적으로 구현하기 위해서는 보안 팀에게 두 가지 기본 기능이 필요하며, 하나는 내부 네트워크 환경에 대한 전체적인 가시성이고 다른 하나는 중요 자산 주변에 신속하고 효과적으로 마이크로 경계를 구성할 수 있는 세그먼테이션 기능입니다. 포괄적인 가시성은 보안 정책의 기반이 되는 애플리케이션 의존성과 트래픽 흐름을 이해하는 데 필수적입니다. 또한 변화하는 비즈니스 요구 사항과 복잡하고 동적인 하이브리드 데이터 센터 환경에 대응하려면 빠르고 효율적인 세그먼테이션 기능이 필요합니다. 주로 외부 위협에 초점을 맞춘 기존의 보안 접근 방식은 이러한 두 가지 기능을 제공하기에는 미흡합니다.

Akamai Guardicore 기술을 이용한 측면 이동 탐지

Akamai의 솔루션은 측면 이동을 탐지하고 랜섬웨어 및 지속적이며 정교한 위협과 같은 공격을 무력화하는 데 필요한 모든 기능을 제공하는 단일하고 확장 가능한 플랫폼을 제공합니다. Akamai의 솔루션은 실시간 위협 탐지 및 대응 기능을 통해 측면 이동 기술을 손쉽게 탐지하고 전체 사이버 공격 킬체인을 통틀어 드웰 타임(Dwell Time)을 최소화할 수 있습니다.

당사의 솔루션인 소프트웨어 기반 네트워크 세그먼테이션 솔루션은 높은 수준의 보안을 보다 빠르고 쉽고 비용 효율적으로 달성할 수 있도록 지원하는 솔루션입니다. 레거시 방화벽 및 VLAN과 달리 Akamai의 솔루션은 애플리케이션 의존성 및 흐름에 대한 심층적인 가시성을 제공하여 기업이 자신의 환경에서 발생하는 상황을 보다 쉽게 파악할 수 있도록 해 줍니다. Akamai의 기술은 물리적 네트워크와 분리되어 있으므로 마이크로세그먼테이션과 접근 권한 정책을 신속하게 적용하여 중요 IT 자산이 온프레미스, 클라우드, 하이브리드 인프라 등 어디에 있든 측면 이동으로부터 중요 IT 자산을 보호할 수 있습니다.

측면 이동 해결

Akamai는 측면 이동의 탐지와 차단과 관련하여 다른 보안 기술에 비해 상당한 장점을 제공합니다.

탁월한 가시성 제공

Akamai는 마이크로세그먼테이션 정책을 프로세스 수준에서 적용하여 무단 프로세스를 손쉽게 탐지 및 경고하고 중요 IT 자산에 접근하지 못하도록 차단할 수 있습니다. 이는 공격 표면을 크게 줄여 측면 이동을 제한하는 성과로 이어집니다.

드웰 타임 최소화

Akamai의 솔루션은 킬체인 초기에 악의적인 활동을 발견하여 공격자가 측면 이동을 사용하여 악의적인 활동을 환경 전체에 확산하는 것을 방지합니다. Akamai는 공격자, 애플리케이션, 무차별 대입 시도 및 공격자의 툴과 기술에 대한 세부 정보를 제공하여 인시던트 대응 팀이 조사의 우선 순위를 정하고 드웰 타임을 줄일 수 있도록 돕습니다.

인시던트 대응 가속화

Akamai의 솔루션은 감염의 징후를 보안 게이트웨이 및 SIEM으로 자동으로 내보낼 수 있습니다. Akamai의 플랫폼에서는 클릭 한 번으로 세그먼테이션 정책을 업데이트하여 트래픽 위반을 해결할 수 있습니다. 또한 보안 팀은 VM에 대한 조치를 트리거하여 랜섬웨어 공격으로 인한 피해 확산을 방지할 수 있습니다.

위협 인텔리전스 개선

Akamai의 솔루션은 위협에 대한 인텔리전스를 제공하여 보안 팀에서 세그먼테이션 정책을 세부 조정할 수 있도록 해 줍니다. Akamai Guardicore Segmentation은 사용 또는 업로드되고 있는 파일과 툴을 포함하여 전체 공격 흔적(attack footprint)을 수집합니다. 심층적인 포렌식 조사를 통해 사용자 인증정보, 공격 방법, 인증정보, 공격 방법, 전파 전략 등을 더 쉽게 가시화할 수 있습니다.

디셉션을 통한 공격자 교란

솔루션 플랫폼에서의 높은 상호작용 디셉션은 공격자를 교란하고 공격 세부 정보를 포착할 수 있습니다. Akamai Guardicore Segmentation은 평판 분석을 사용하여 트래픽 흐름 내에서 의심스러운 도메인 이름, IP 주소 및 파일 해시를 탐지합니다.