공격 표면 관리(ASM) 수명 주기란 무엇인가요?
공격 표면 관리는 사이버 공격에 취약한 조직의 디지털 자산과 진입 지점을 식별, 평가, 보호하는 체계적인 프로세스입니다. 다른 사이버 보안 접근 방식과 달리 공격 표면 관리 솔루션은 공격자의 관점에서 선제적으로 보안 위험을 고려합니다.
공격 표면 관리 라이프사이클은 디지털 공격 표면의 취약점을 찾아내 전반적인 보안 태세를 강화하는 보다 공격적인 전술을 지원합니다. 이러한 수명 주기 접근 방식은 보안 팀이 사이버 위험을 사전에 감지하고 완화하는 데 도움이 되는 동적 프레임워크를 제공하므로 매우 중요합니다.
사이버 공격의 6단계
공격 표면 관리 라이프사이클에 대해 자세히 알아보기 전에 위협 행위자가 조직의 위험 기반을 평가하고 악용하는 방법을 이해하는 것이 좋습니다. 사이버 공격의 6단계에 대한 지식은 4가지 수명 주기 단계와 다양한 지점에서 공격자를 저지할 수 있는 방법에 대한 맥락을 제공합니다.
- 정찰-조사, 목표를 달성할 수 있는 표적(예: 온프레미스 디지털 자산, 인터넷 연결 자산, 클라우드 환경의 데이터, 공개 진입점이 있는 기타 외부 공격 표면)을 식별하고 선택합니다.
- 무기화 및 전달: 악성 페이로드(예: 랜섬웨어)를 전달할 방법을 결정합니다.
- 익스플로잇 - 취약한 애플리케이션이나 시스템에 대한 익스플로잇을 구축하여 조직에 대한 초기 진입 지점을 악용합니다.
- 설치 - 액세스, 지속성 유지, 권한 상승 등의 추가 작업을 수행하기 위해 멀웨어를 설치합니다.
- 명령 및 제어 - 감염된 디바이스와 인프라 간에 통신하고 정보를 주고받을 수 있는 명령 채널을 설정합니다(예: 감시 정보 공유, 시스템 원격 제어 또는 데이터 침해 실행).
- 목표에 대한 행동 - 목표 달성을 위한 동기에 따라 행동합니다.
공격 표면 관리 라이프사이클의 4단계
공격 표면 관리 수명 주기는 보안 팀이 디지털 공격 서비스를 보호하기 위해 따르는 4단계 또는 단계로 구성됩니다. 이는 취약성 관리를 용이하게 하고 조직의 사이버 보안을 강화하기 위한 지속적인 위험 평가 프로세스입니다.
공격 표면 관리 수명 주기의 사전 예방적 접근 방식은 전체 자산 인벤토리, 특히 고위험 자산과 알려지지 않은 자산을 식별하여 보안 팀이 문제를 해결하고 보안 등급을 개선할 수 있도록 도와줍니다.
1단계: 자산 검색 및 분류
공격 표면 관리 솔루션은 자동화된 자산 검색 도구와 기술을 사용하여 시스템과 애플리케이션을 식별하고 매핑합니다. 여기에는 타사 외부 클라우드 기반, 원격 및 온프레미스 엔드포인트, 사용자 디바이스(예: 가져오기 또는 BYOD)의 일부가 포함됩니다. 멀티 클라우드 환경에서 타사 디지털 자산을 발견하기 위해 특수 외부 공격 표면 관리(EASM)를 사용하기도 합니다.
공격 표면 관리 솔루션은 권한이 없거나 알려지지 않은 자산을 발견하는 데 어려움을 극복하는 데 능숙합니다. ASM은 종종 공격자와 동일한 고급 정찰 기법을 많이 활용합니다. 이러한 시스템은 디지털 자산을 지속적으로 스캔하여 실시간으로 식별할 수 있습니다.
일단 식별된 디지털 자산은 하드웨어, 소프트웨어, 애플리케이션, 데이터 저장 장치 및 모든 인터넷 연결 자산을 포함하는 상세한 인벤토리로 분류됩니다. 인벤토리는 중요도, 민감도 및 잠재적 위험 노출에 따라 분류됩니다. 공격 표면 관리 프로세스를 효과적으로 유지하려면 인벤토리를 지속적으로 모니터링하고 정기적으로 업데이트하는 것이 필수적입니다.
2단계: 위험 평가 및 취약성 관리
조직은 모든 자산을 명확하게 파악하여 포괄적인 위험 평가를 수행하여 오래된 소프트웨어, 잘못된 구성 또는 보안되지 않은 엔드포인트와 같은 잠재적인 공격 벡터를 식별할 수 있습니다.
식별된 자산의 취약점을 분석하고 평가하는 데는 여러 가지 방법이 사용됩니다. 이러한 방법에는 자동화된 취약성 스캔, 침투 테스트(펜 테스트), 구성 감사, 소프트웨어 구성 분석 및 위협 인텔리전스 통합이 포함됩니다. 이를 통해 보안 팀은 소프트웨어 결함, 잘못된 구성 및 알려진 취약점과 같은 사이버 위험 요소에 대한 가시성을 확보할 수 있습니다.
공격 표면 관리 솔루션은 위협 모델링을 사용하여 공격 벡터를 분석하여 공격의 표적이 될 가능성과 잠재적 영향을 평가합니다. 위협 모델링은 보안 팀이 특정 시스템에 대한 위협의 범위를 좁히고 우선순위를 지정하는 데 도움이 됩니다. 이를 통해 시간을 절약하고 우선 순위가 높은 위협을 신속하게 해결할 수 있는 인사이트를 얻을 수 있습니다.
공격 관리 솔루션과 상황별 우선순위 지정이 제공하는 정보는 보안 팀이 해결을 위한 최상의 접근 방식을 결정하도록 안내하여 취약성 관리를 개선합니다.
보안 팀은 위험 평가 및 상황별 데이터를 사용하여 악용 가능성, 영향력, 이전 공격 등의 우선순위 지정 기준에 따라 사이버 위험 해결을 계획할 수 있습니다. 이는 취약점을 신속하게 수정할 수 있는 리소스보다 더 많은 취약점이 식별되는 경우가 많기 때문에 중요합니다.
3단계: 개선 조치 구현하기
공격 표면의 매핑 및 컨텍스트화는 해결 노력을 지시하는 데 사용됩니다. 우선순위에 따라 자동 및 수동 공격 표면 관리 전술이 사용됩니다. 공격 표면 관리 솔루션은 보안 팀이 위험을 해결하기 위한 워크플로를 결정하고 다음과 같은 일부 작업을 자동화하는 도구를 제공하는 데 도움이 됩니다:
- 구성 업데이트
- 데이터 암호화 구현
- 패치 및 업데이트 설치
- 지속적인 자산 식별 및 관련 위험 평가
- 수정 제어
- 고아 도메인 사용 중지
- 타사 자산에서 위험 및 취약점 스캔하기
- 시스템 디버깅
자동화된 도구가 놓칠 수 있는 문제를 찾기 위해 몇 가지 수동 전술이 문제 해결에 사용됩니다. 이러한 전술에는 다음이 포함됩니다:
- 숙련된 보안 팀이 복잡한 위협을 파헤치는 전문가 분석
- 사람이 주도하는 포렌식 분석을 통해 데이터 침해의 특성과 영향을 파악하는 방법
- 시스템, 정책 및 절차에 대한 수동 감사 및 검토
- 정기적인 수동 침투 테스트
또한 문제 해결에는 더 광범위한 조치가 필요할 수 있습니다. 여기에는 최소 권한 액세스, 다단계 인증(MFA)구현, 보안 관행 준수의 중요성을 강조하는 교육 및 인식 프로그램 등이 포함됩니다.
디지털 공격 표면 개선 작업은 다음과 같은 여러 팀에서 수행합니다:
- 보안 팀 - 위험 및 취약성 관리를 처리합니다.
- IT 운영팀 - 영향을 받는 시스템을 업데이트합니다.
- 개발팀은 디지털 자산을 빌드, 업데이트 및 유지 관리할 때 공격 벡터에 대한 인사이트를 소프트웨어 개발 수명 주기(SDLC)에 통합합니다.
4단계: 지속적인 개선 및 적응
공격 표면 관리는 지속적인 프로세스입니다. 위에서 설명한 단계를 지속적으로 반복하여 새로운 공격 벡터와 진화하는 공격자 전술을 도입할 수 있는 환경의 변화를 조기에 탐지해야 합니다.
새로운 취약점과 위협에 대한 지속적인 모니터링을 지원하는 공격 표면 관리 도구는 다음과 같습니다:
- 구성 관리 도구 - 미리 정의된 보안 정책에 따라 네트워크 장치 및 시스템의 잘못된 구성을 감지하고 수정합니다.
- 침입 탐지 및 예방 시스템 (IDPS)- 의심스러운 활동을 지속적으로 모니터링하고 잠재적인 위협을 자동으로 차단하거나 경고할 수 있습니다.
- 패치 관리 시스템 - 오래된 소프트웨어를 자동으로 감지하고 필요한 패치와 업데이트를 적용하여 보안 격차를 해소합니다.
- 보안 정보 및 이벤트 관리(SIEM) 시스템은 다양한 소스에서 데이터를 수집하고 분석하여 식별된 위협을 기반으로 경보 및 대응 프로세스를 자동화합니다.
- 취약점 스캐너 - 시스템과 애플리케이션에서 알려진 취약점을 스캔하여 정기적인 업데이트와 경고를 제공합니다.
지속적인 모니터링을 통해 공격 표면 관리는 새로운 취약점과 공격 벡터를 실시간으로 탐지하고 평가할 수 있습니다. 이러한 알림은 보안 팀이 즉각적이고 효과적인 문제 해결 대응을 시작하는 데 필요한 정보를 제공합니다. 또한 환경을 조정하여 진화하는 제로데이 위협에 대한 방어에 더 잘 대비할 수 있습니다.
ASM 라이프사이클을 보완하기 위한 전략
공격 표면 관리(ASM) 수명 주기는 강력한 사이버 보안 태세를 유지하는 데 매우 중요합니다. 그러나 ASM만으로는 조직을 완전히 보호할 수 없다는 점을 인식하는 것이 중요합니다.
다음은 ASM 수명 주기를 보완하고 보안을 더욱 강화하는 데 사용할 수 있는 몇 가지 전략입니다:
공격 표면 감소(ASR)
공격 표면 감소(ASR)는 공격 표면 관리 프로세스의 중요한 부분으로, 공격자의 잠재적 진입 지점 수를 최소화하는 전략을 구현하는 것을 포함합니다.
주요 전략에는 액세스 권한을 부여하기 전에 여러 가지 형태의 인증을 요구하고(예: 다단계 인증), 소프트웨어와 시스템을 최신 패치로 최신 상태로 유지하고(예: 패치 관리), 사용자 액세스 권한을 역할에 꼭 필요한 것으로만 제한하는 것(예: 최소 권한 원칙, PoLP)이 포함됩니다.
사이버 공격 표면 관리(CASM)
사이버 공격 표면 관리는 기존 데이터 소스와 통합되어 조직에 전체 공격 표면에 대한 지속적인 업데이트와 통합된 보기를 제공합니다. 이를 통해 보안 팀은 상황별 데이터를 기반으로 자산 인벤토리를 파악하고 해결 우선순위를 정할 수 있는 인사이트를 얻을 수 있습니다.
CASM은 이러한 자산에 대한 포괄적인 가시성과 지속적인 모니터링 및 관리를 통해 시스템 사각지대 및 규정 준수 문제를 해결합니다. 이러한 기능을 통해 보안 정책 및 규정 준수 표준을 준수할 수 있습니다.
외부 공격 표면 관리(EASM)
외부 공격 표면 관리(EASM)는 조직의 인터넷 연결 자산을 식별하고 보호하여 내부 네트워크 외부로부터의 사이버 위협을 방지합니다. 이 프로세스는 웹사이트, 웹 애플리케이션, 서버, 클라우드 기반 리소스를 포함한 모든 퍼블릭 대면 시스템, 서비스, 엔드포인트를 식별합니다.
또한 EASM은 이러한 외부 자산을 분석하여 위협 행위자가 악용할 수 있는 약점, 잘못된 구성, 오래된 구성 요소가 있는지 확인합니다. 보안 팀은 인터넷을 향한 공격 표면을 지속적으로 모니터링하여 새롭게 등장하는 위험을 탐지할 수 있습니다.
디지털 위험 보호 서비스(DRPS)
디지털 위험 보호 서비스는 기존의 보안 경계 밖에서 디지털 위험을 식별, 모니터링 및 완화하는 데 중점을 둔 전문 사이버 보안 솔루션입니다. 위협 인텔리전스, 브랜드 보호, 데이터 유출 탐지, 사기 및 피싱 탐지, 평판 모니터링을 포괄합니다. 보안 팀은 DRPS를 통해 사이버 위험 취약성 관리를 내부 네트워크를 넘어 확장할 수 있습니다.
ASM 라이프사이클이 해결하는 과제
클라우드 기반 공격 벡터 해결
공격 표면 관리 라이프사이클은 특히 복잡한 멀티 클라우드 환경에 걸쳐 있는 클라우드 기반 공격 벡터를 관리하는 등 많은 문제를 해결합니다. 보안 팀이 클라우드 환경 전반에서 포괄적인 가시성을 확보하는 데 도움이 되는 도구와 프로세스를 제공합니다.
이를 통해 SaaS, IaaS, PaaS를 비롯한 멀티 클라우드 및 하이브리드 클라우드 서비스 모델에서 자산을 보다 철저하게 식별하고 관리할 수 있습니다.
IoT 및 원격 인력 고려 사항
공격 표면 관리 솔루션은 IoT 및 원격 인력 고려 사항을 해결합니다. 원격 인력과 IoT 디바이스 모두 경계와 공격 표면을 확장하는 데 기여했습니다.
공격 관리 라이프사이클은 보안 팀이 이러한 분산된 사용자와 디바이스를 모니터링하는 데 도움이 됩니다. 또한 보안 보호 기능을 쉽게 관리하여 위험을 완화할 수 있습니다. 여기에는 엔드포인트 보안을 관리하고 광범위한 IoT 및 원격 근무자 환경 전반에서 보안 조치를 지속적으로 모니터링하고 업데이트하는 것이 포함됩니다.
진화하는 위협 환경
공격 표면 관리 수명 주기 단계를 따르면 진화하고 새롭게 등장하는 위협을 신속하게 탐지하고 대응할 수 있습니다. 지속적인 모니터링을 통해 현재의 취약점을 파악하고 미래의 위협을 예측할 수 있는 인사이트를 얻을 수 있습니다. 이를 통해 보안 팀이 위협에 한발 앞서 대응할 수 있는 사전 예방적 사이버 보안 접근 방식이 가능합니다.
이러한 기능은 새로운 위협, 공격 패턴, 위협 행위자에 대한 위협 인텔리전스를 통해 지원됩니다. 또한 자동화된 시스템과는 다른 시각을 제공하는 윤리적 해커를 활용합니다. 사이버 공격 시뮬레이션을 통해 위협 행위자가 공격 경로를 악용하기 전에 공격 경로를 찾아냅니다.
공격 표면 관리 수명 주기 FAQ
