제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

레드팀이 수비수의 가장 중요한 질문에 답할 수 없는 이유

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 115

해설

1931년, 과학자이자 철학자 알프레드 코르지브스키 “지도는 영토가 아니다”라고 썼다. 그는 지도와 같은 모든 모델이 현실과 비교하여 일부 정보를 생략한다는 것을 의미했습니다. 사이버 보안에서 위협을 탐지하는 데 사용되는 모델은 비슷하게 제한되어 있으므로 방어자는 항상 "내 위협 탐지 기능이 탐지해야 하는 모든 것을 탐지하는가?"라고 자문해야 합니다. 침투 테스트와 레드팀 및 블루팀 훈련은 이 질문에 답하기 위한 시도입니다. 또는 달리 말하면, 위협 지도가 위협의 현실과 얼마나 밀접하게 일치합니까? 

운수 나쁘게, 레드팀 평가 이 질문에 잘 대답하지 마십시오. 레드팀 구성은 다른 많은 용도로 유용하지만 방어 효율성에 관한 특정 질문에 대답하기에는 잘못된 프로토콜입니다. 결과적으로 수비수는 자신의 수비가 얼마나 강력한지 현실적으로 인식하지 못합니다.

레드팀 평가는 본질적으로 제한됩니다

레드팀 평가는 방어가 작동하는지 검증하는 데 그다지 좋지 않습니다. 본질적으로 그들은 적이 사용할 수 있는 몇 가지 가능한 공격 기술 중 몇 가지 특정 변형만을 테스트합니다. 이는 먼저 정찰, 침입, 측면 이동 등 실제 공격을 모방하려고 하기 때문입니다. 그러나 방어자들이 이것으로부터 배울 수 있는 것은 특정 기술과 다양성이 그들의 방어에 불리하게 작용한다는 것입니다. 그들은 다른 기술이나 동일한 기술의 다른 변형에 대한 정보를 얻지 못합니다.

즉, 수비수가 레드팀을 감지하지 못한다면 수비력이 부족해서 그런걸까요? 아니면 레드팀이 준비되지 않은 옵션을 선택했기 때문인가요? 그리고 그들이 레드팀을 탐지했다면 그들의 위협 탐지는 포괄적입니까? 아니면 "공격자"가 준비된 기술을 선택한 것입니까? 확실히 알 수 있는 방법은 없습니다.

이 문제의 근본 원인은 레드 팀이 방어의 전반적인 강도를 판단하기 위해 가능한 공격 변형을 충분히 테스트하지 않는다는 것입니다(다른 방식으로 가치를 추가하기는 하지만). 공격자는 아마도 여러분이 생각하는 것보다 더 많은 옵션을 갖고 있을 것입니다. 내가 조사한 한 기술에는 39,000가지 변형이 있었습니다. 또 다른 사람은 2.4만 명이었습니다! 이들 중 전부 또는 대부분을 테스트하는 것은 불가능하며, 너무 적은 수의 테스트를 수행하면 보안에 대한 잘못된 인식을 갖게 됩니다.

공급업체의 경우: 신뢰하되 검증하세요

위협 감지 테스트가 왜 그렇게 중요한가요? 간단히 말해서, 보안 전문가는 공급업체가 중지한다고 주장하는 동작에 대해 실제로 포괄적인 탐지 기능을 갖추고 있는지 확인하기를 원하기 때문입니다. 보안 태세는 주로 공급업체를 기반으로 합니다. 조직의 보안 팀은 침입 방지 시스템(IPS), 엔드포인트 탐지 및 대응(EDR), 사용자 및 엔터티 행동 분석(UEBA) 또는 유사한 도구를 선택하고 배포하며 선택한 공급업체의 소프트웨어가 명시한 동작을 탐지할 것이라고 믿습니다. 보안 전문가들은 점점 더 공급업체의 주장을 확인하고 싶어합니다. 레드팀이 네트워크에 침입하기 위해 무엇을 했는지 보고하고, 블루팀은 그건 불가능하다고 말하고, 레드팀은 어깨를 으쓱하며 “글쎄, 우리가 그렇게 했어요…” 수비수들은 이러한 불일치를 파헤치고 싶어합니다.

수만 가지 변형에 대한 테스트

공격 기술의 각 변형을 테스트하는 것은 실용적이지 않지만 대표적인 샘플을 테스트하는 것은 실용적이라고 생각합니다. 이를 위해 조직은 Red Canary의 오픈 소스와 같은 접근 방식을 사용할 수 있습니다. 원자 테스트, 기술은 각각에 대해 여러 테스트 사례를 사용하여 개별적으로 테스트됩니다(중요한 공격 체인의 일부가 아님). 레드팀 훈련이 축구 연습경기와 같다면 원자 테스트는 개인전 연습과 같습니다. 모든 플레이가 완전한 스크리미지로 진행되는 것은 아니지만, 플레이할 때를 대비해 연습하는 것이 여전히 중요합니다. 둘 다 다재다능한 교육 프로그램의 일부이거나 이 경우 다재다능한 보안 프로그램의 일부여야 합니다.

다음으로 문제의 기술에 대해 가능한 모든 변형을 포괄하는 일련의 테스트 사례를 사용해야 합니다. 이러한 테스트 사례를 구축하는 것은 방어자에게 중요한 작업입니다. 이는 테스트가 보안 제어를 얼마나 잘 평가하는지와 직접적으로 연관됩니다. 위에서 비유를 계속하자면, 이러한 테스트 사례는 위협의 "지도"를 구성합니다. 좋은 지도와 마찬가지로 중요하지 않은 세부 정보는 생략하고 중요한 세부 정보를 강조하여 저해상도이지만 전반적으로 정확한 위협 표현을 만듭니다. 이러한 테스트 사례를 구축하는 방법은 제가 아직도 씨름하고 있는 문제입니다. 서면으로 지금까지 내 작업 중 일부).

현재 위협 탐지의 단점에 대한 또 다른 솔루션은 다음을 사용하는 것입니다. 보라색 팀 — 레드 팀과 블루 팀이 서로를 적으로 보는 대신 함께 협력하도록 합니다. 레드 팀과 블루 팀 간의 협력이 늘어나는 것은 좋은 일이며, 따라서 퍼플 팀 서비스가 부상하고 있습니다. 그러나 이러한 서비스의 대부분은 근본적인 문제를 해결하지 못합니다. 더 많은 협력이 이루어지더라도 몇 가지 공격 기술과 변종만을 살펴보는 평가는 여전히 너무 제한적입니다. 퍼플팀 서비스는 발전해야 합니다.

더 나은 테스트 케이스 구축

좋은 테스트 사례를 구축하기 위한 과제(그리고 레드-블루 팀 협력만으로는 충분하지 않은 이유) 중 하나는 공격을 분류하는 방식이 많은 세부 사항을 모호하게 한다는 것입니다. 사이버 보안은 전술, 기법, 절차(TTP)라는 세 가지 계층의 렌즈를 통해 공격을 살펴봅니다. 다음과 같은 기술 자격 증명 덤핑 Mimikatz 또는 Dumpert와 같은 다양한 프로시저로 수행할 수 있으며 각 프로시저는 다양한 함수 호출 시퀀스를 가질 수 있습니다. "절차"가 무엇인지 정의하는 것은 매우 빨리 어렵지만 올바른 접근 방식을 사용하면 가능합니다. 업계에서는 아직 이 모든 세부 사항의 이름을 지정하고 분류하기 위한 좋은 시스템을 개발하지 못했습니다.

위협 탐지를 테스트하고 싶다면 더 넓은 범위의 가능성에 대해 테스트하는 대표 샘플을 구축하는 방법을 찾으십시오. 이것이 더 나은 개선을 가져올 더 나은 전략입니다. 또한 수비수가 레드팀이 어려움을 겪고 있는 질문에 최종적으로 답하는 데 도움이 될 것입니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.