제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

MITRE ATT&CK의 후반 단계에서 위협을 탐지하기 위해 동서 네트워크 가시성을 사용

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 82

CISA(사이버보안 및 인프라 보안국)에서는 "내부 네트워크 모니터링 부족"을 다음 중 하나로 꼽습니다. 가장 일반적인 10가지 네트워크 구성 오류 올해. 과연, 네트워크 분석 및 가시성(NAV) 영원한 과제로 남아있습니다. 기존 네트워크 주변의 경계가 사라지고 활성 위협 환경이 더욱 복잡해짐에 따라 기업에는 성능, 보안 및 연속성을 보호하기 위한 새로운 방법과 솔루션이 필요합니다.

그것이 바로 MITER ATT & CK 그것이 수집하는 적의 전술과 기술은 기업에 잠재적으로 파괴적인 피해를 입히는 것을 목표로 하는 랜섬웨어는 물론 지능형 지속 위협(APT)과 같은 사이버 위협을 이해하고 대처하는 데 도움이 됩니다. 알려진 APT 그룹의 알려진 전술과 기법을 찾아보고, 사이버 보안 팀은 위협을 저지할 수 있습니다 성공적인 공격으로 변하기 전에.

랜섬웨어가 감지되면 일반적으로 피해를 방지하기에는 너무 늦습니다. 이는 데이터 센터와 클라이언트 간의 "북-남" 트래픽뿐만 아니라 "동-서" 트래픽을 포괄하는 이상 현상을 감지하기 위해 네트워크에 대한 완전하고 지속적인 모니터링, 예방 전략에 대한 이해, 무제한의 가시성 기능의 필요성을 강조합니다. 서버 간에도 마찬가지입니다.

위협 환경과 네트워크 이해

완전한 네트워크 가시성이 최종 목표이지만 말처럼 쉽지는 않습니다. 조직이 요구하는 전체적인 가시성 서비스 제공 생태계 전반에 걸쳐 트래픽과 애플리케이션 활용도를 추적하고 추세를 파악하기 위해서는 네트워크 활동을 모니터링하는 것이 필수적입니다. 또한 전사적 가시성을 넘어서 본사, 원격 사무실, 프라이빗 데이터 센터뿐만 아니라 코로케이션 센터, 컨택 센터, 퍼블릭 클라우드, SaaS 환경을 포괄하는 광범위한 성능 및 가용성 전략을 구현해야 합니다.

또한 점점 더 분산되는 하이브리드 클라우드 환경에서 고성능 디지털 서비스를 유지하는 것은 기업 IT 조직에 매우 중요합니다. 환경이 더욱 분산됨에 따라 고객과 하이브리드 인력에게 비즈니스 애플리케이션과 서비스에 대한 안전한 액세스와 가용성을 제공하는 데 새로운 과제가 발생합니다. 경우에 따라 SD-WAN 링크, 중요한 인터넷 회선, VPN 게이트웨이 및 하이브리드 클라우드 전반의 트래픽 증가에 따른 품질 성능 관리가 운영 문제에서 비즈니스에 중요한 우선순위로 옮겨졌습니다.

예를 들어, 오늘날 많은 기업에서는 팬데믹 기간과 이후에 수천 명의 직원을 재택근무 및 하이브리드 클라우드 환경으로 영구적으로 이전했습니다. 기업이 전환되면서 하이브리드 인력과 제로 트러스트 모델로, NetOps 팀은 SD-WAN 대역폭이 수천 명의 원격 사용자와 관련된 원격 네트워크 트래픽 급증을 적절하게 처리할 수 있는지 여부를 식별하기 위해 더 나은 도구가 필요하다는 것을 깨달았습니다. 동시에 SecOps 팀은 위협을 탐지하고 제로 트러스트 네트워크 정책이 설계된 대로 작동하는지 확인하기 위해 이와 동일한 수준의 가시성이 필요했습니다.

궁극적으로 이 경우 네트워크의 위협 환경을 이해함으로써 IT 관리자는 핵심 서버, 애플리케이션, 데이터베이스와 같은 "핵심 보석"이 어디에 있는지 더 잘 이해하고 식별할 수 있습니다. 이렇게 하면 위협이 발생할 때 NetOps 및 SecOps 팀이 비정상적인 동작을 더 명확하게 파악할 수 있습니다.

오늘날 확장된 서비스 엣지 환경에서는 문제를 신속하게 격리하고 MITRE ATT&CK의 모든 단계에 대한 가시성을 제공하기 위해 다중 계층 네트워크 및 공급업체 환경의 맥락에서 원격 최종 사용자 경험을 시각화하는 것이 필수적입니다.

네트워크 가시성이 내부 및 외부 모두인지 확인

IT 팀에 필요한 엔드 투 엔드 가시성 SD-WAN 및 원격 사무실부터 하이브리드/멀티클라우드 환경, 공동 로스 및 데이터 센터에 이르기까지 전체 엔터프라이즈 네트워크에 걸쳐 있습니다. 가시성이 부족하면 SecOps 팀은 MITRE ATT&CK의 모든 단계에 대한 적절한 통찰력을 갖지 못합니다.

현대의 제로 트러스트 환경에서는 네트워크가 이미 침해되었다고 가정합니다. 즉, MITRE ATT&CK의 초기 단계(정찰, 자원 개발 및 초기 액세스)가 이미 발생했습니다. 이제 남북 네트워크 가시성만으로는 공격자의 내부 이동을 추적하는 데 부적절합니다. 이는 현재 실행, 지속성, 권한 상승, 방어 회피, 자격 증명 액세스, 검색, 측면 이동 및 수집의 이후 MITRE ATT&CK 단계를 통해 진행되고 있습니다.

이러한 단계에서 침입을 포착하려면 SecOps 팀에 동서 트래픽 가시성이 필요합니다. 서버 간 통신에 대한 이러한 수준의 가시성을 통해 SecOps 팀은 최고의 서버와 관련된 비정상적인 트래픽 동작을 감지할 수 있습니다. 랜섬웨어 공격이 발생하는 경우 MITRE ATT&CK 전술 및 기술 중 다수가 실제 데이터 유출 및 암호화보다 우선합니다.

이러한 성격의 공격은 모든 방향에서 흐르는 트래픽을 포괄하는 이상 현상을 탐지하기 위해 네트워크에 대한 완전하고 지속적인 모니터링, 예방 전략에 대한 이해, 무제한의 가시성 기능의 필요성을 강조합니다. IT, NetOps 및 SecOps 팀은 내부 솔루션과 외부 솔루션을 모두 사용하여 두 가지 모두에서 최고의 성능 모니터링을 구현할 수 있습니다.

두 가지 형태의 네트워크 패킷 트래픽에서 파생된 데이터를 활용하면 하이브리드 및 원격 환경에서 격리하기 어려운 문제를 해결하는 데 도움이 됩니다. MITRE ATT&CK의 마지막 단계인 명령 및 제어, 유출 및 영향에는 남북 및 동서 네트워크 가시성의 조합이 필요합니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.