Zero Trust, 랜섬웨어 대응 속도 향상, Illumio-Bishop Fox 테스트 결과(https://www.esecurityplanet.com/인용)

https://www.esecurityplanet.com/의 기사를 보고 번역한 내용입니다.

값싼 맬웨어 의 대량 생산에서 RaaS(ransomware as a Service) 에 이르기까지 사이버 범죄자들은 ​​사이버 범죄를 산업화했으며 새로운 HP Wolf Security 보고서 는 사이버 범죄자들도 APT(Advanced Persistent Threat) 전술 을 채택하고 있다고 경고합니다 . 이는 해커가 네트워크 내부에 장기간 존재하여 매우 민감한 데이터를 채굴함으로써 국가 위협 그룹을 점점 더 모방할 것임을 의미합니다.

또한 기업이 디지털 공간을 확장하고 공격 표면이 증가함에 따라 공격은 훨씬 더 큰 피해를 입힐 태세입니다. 이것이 산업 및 지역의 조직이 보안 태세를 강화하기 위해 제로 트러스트 아키텍처 로 전환하는 이유 중 하나입니다.

제로 트러스트는 네트워크 지점에 대한 모든 액세스 및 연결이 사용자 역할에 필요한 것보다 더 많은 액세스 없이 사용자와 연결이 승인되었는지 확인하기 위해 재평가 및 재인증됨을 의미합니다.

그러나 제로 트러스트가 얼마나 효과적인가? 이는 백악관 을 포함하여 최근 기술에 대한 강조를 고려할 때 특히 중요한 질문 입니다.

이 질문에 답하기 위해 ZTS( 제로 트러스트 세그멘테이션 ) 공급업체인 Illumio 는 공격적 보안의 선두 주자인 Bishop Fox와 협력하여 랜섬웨어 공격을 탐지하고 억제하는 데 제로 트러스트가 얼마나 효과적인지 측정했습니다. 이 회사는 실제 위협 행위자의 전술, 기술 및 절차를 기반으로 공격을 시뮬레이션하여 제로 트러스트 솔루션을 테스트했습니다. 결과는 오늘 Black Hat USA 2022 사이버 보안 컨퍼런스에서 발표되었습니다.

최고의 제로 트러스트 보안 솔루션 보기

제로 트러스트 보안 테스트

Bishop Fox의 보고서에 따르면 Illumio의 제로 트러스트 세분화 기술은 "사용 가능한 공격 표면을 감지, 억제 및 사전에 제한하는 조직의 능력을 크게 향상"시킵니다. ZTS는 활성 공격 중에 손상된 호스트를 효과적으로 격리하는 데에도 적용될 수 있다고 보고서는 말했습니다.

Bishop Fox는 Illumio ZTS가 배포되지 않은 제어 테스트인 4개의 랜섬웨어 시나리오 공격을 실행했습니다. 탐지 및 대응; 사전 구성된 정전기 방지; ZTS를 사용한 전체 애플리케이션 링 펜싱. 그들은 ZTS가 엄격할수록 보안 팀이 진행 중인 공격을 더 빨리 탐지하고 차단할 수 있다는 것을 발견했습니다.

ZTS가 배포되지 않은 공격 시뮬레이션은 2.5시간 만에 시스템을 침해하고 손상시켰습니다. 반면, 전체 앱 링 펜싱 정책이 시행된 시뮬레이션에서는 공격이 탐지되어 단 10분 만에 차단되었습니다.

Fox Bishop은 "ZTS는 전체 환경과 응용 프로그램을 차단하기 위해 사전 예방적인 방식으로 사용할 수 있으므로 측면 이동을 통해 악용할 수 있는 경로를 크게 줄일 수 있습니다."라고 말했습니다.

다른 두 시뮬레이션 시나리오에서도 제로 트러스트 보호가 더 우수한 것으로 나타났습니다. 사전 구성된 정적 보호로 시뮬레이션된 공격은 24분 만에 중지되었고 탐지 및 대응이 있는 공격은 38분 만에 차단되었습니다.

“조직이 제로 트러스트 세분화를 포함한 제로 트러스트 전략에 투자하기로 선택하면 단순히 탐지 및 대응 접근 방식을 구현하는 환경과 비교하여 조직이 불량 행위자를 억제하고 일루미오의 산업 솔루션 책임자인 Raghu Nandakumara가 말했습니다.

보고서는 또한 ZTS가 엔드포인트 탐지 및 대응(EDR) 사각지대 를 커버하는 데 중요한 역할을 할 수 있음을 발견했습니다 . EDR은 활동 데이터를 캡처하여 조직의 끝점에서 일어나는 일에 대한 가시성을 얻습니다. 그러나 조직은 사이버 범죄자가 일반적으로 EDR 사각 지대를 사용하는 어려운 방법을 배우고 있습니다.

Bishop Fox의 보고서는 데이터 수집 측면에서 Illumio의 원격 측정이 사전 구성된 EDR 경보가 공격자 활동을 제대로 감지하지 못하는 일부 EDR 사각 지대를 커버하는 데 특히 유용하다는 것을 발견했다고 확신합니다.

Fox 주교는 "레드 팀이 보다 회피적인 기동을 수행한 특정 시나리오에서 Fox 주교는 EDR 경보와 결합된 Illumio의 원격 측정을 사용하여 의심스러운 트래픽 패턴을 적절하게 식별했습니다."라고 말했습니다.

또한 읽기: 환경을 보호하기 위해 EDR을 조정해야 하는 이유

랜섬웨어: 침해 및 공격 시뮬레이션

Illumio ZTS를 평가하기 위해 Bishop Fox의 평가 팀은 코드로서의 인프라 솔루션을 선택했습니다. 환경은 Splunk Attack Range 오픈 소스 프로젝트를 기반으로 했지만 더 많은 호스트를 포함하고 보다 완전한 Active Directory 구성을 배포하도록 수정되었습니다.

테스트 환경은 다음 리소스로 구성되었습니다.

• 회사 네트워크의 호스트를 나타내는 5개의 Windows Server 2019 인스턴스
• 스테이징 네트워크의 호스트를 나타내는 5개의 Windows Server 2019 인스턴스
• 프로덕션 네트워크의 호스트를 나타내는 5개의 Windows Server 2019 인스턴스
• 도메인 컨트롤러 역할을 하는 Windows Server 2019 1대
• Splunk 서버를 실행하는 Ubuntu 18.04 서버 1대

모든 Windows 인스턴스는 기본 Splunk 공격 범위 구성으로 구성된 Splunk Universal Forwarder 에이전트 및 시스템 모니터(Sysmon) 서비스를 실행했습니다. 이러한 인스턴스는 Sigma 규칙의 기본 집합을 포함하여 Nextron Systems의 Aurora EDR 에이전트의 기본 구성으로도 배포되었습니다.

모든 Windows 호스트에는 다음과 같은 원격 관리 서비스가 활성화되어 있습니다.

• Windows 원격 관리(WinRM)
• 원격 데스크톱 프로토콜( RDP )

Illumio VEN 에이전트는 해당 구성 위에 인스턴스 프로비저닝 중에 설치되었습니다.

Bishop Fox 팀은 실제 공격에 대한 공격 기술을 기반으로 Conti와 같이 알려진 활성 랜섬웨어 위협 그룹에서 플레이북을 작성했습니다. 이 공격은 사용 가능한 자산을 식별하고, 측면 이동을 실행하고, 시스템 내에서 권한을 상승시켜 마침내 도메인에 가입된 시스템 전체에 랜섬웨어를 배포하는 것을 목표로 했습니다.

그룹 정책 검색, 시뮬레이션 공격 시나리오 1: ZTS가 배포되지 않음

전체 응용 프로그램 링 펜싱 공격 시뮬레이션

네 번째 시나리오인 전체 링 공격 시뮬레이션은 랜섬웨어 공격을 식별하고 차단하는 데 가장 효과적인 결과를 보여주었고 단 10분 만에 이러한 이정표를 달성했습니다.

사용된 시나리오에서 마이크로 세분화 정책은 다음 규칙으로 구성되었습니다.

• 한 환경의 데이터베이스 워크로드는 다른 환경에 연결할 수 없습니다.
• 한 환경의 API 워크로드는 다른 환경에 연결할 수 없습니다.
• 기업 환경의 점프 호스트 워크로드는 RDP를 사용하여 스테이징 환경의 모든 호스트에 액세스할 수 있습니다.
• 스테이징 환경의 점프 호스트 워크로드는 RDP를 사용하여 프로덕션 환경의 모든 호스트에 액세스할 수 있습니다.
• 모든 워크로드는 도메인 컨트롤러와 통신할 수 있습니다.
• 모든 워크로드는 모든 환경에서 공용 SMB 공유에 액세스할 수 있습니다.
• 모든 워크로드는 다음 포트에서 인터넷과 통신할 수 있습니다.
  • 443/TCP
  • 80/TCP
  • 53/TCP
  • 53/UDP
  • 123/UDP
• RDP 액세스는 공격자의 진입점으로 인터넷에서 기업 네트워크의 API 워크로드 로 승인되었습니다 .

공격을 시뮬레이션하는 레드 팀은 CORPADMIN 계정을 사용하여 corp-win-serv-0에 연결하여 시작했습니다. 그런 다음 팀은 Sliver 에이전트를 C:\ProgramData\Amazon에 업로드하고 실행했습니다. Microsoft Defender가 초기 페이로드를 감지하면 팀은 바이너리를 허용하고 페이로드를 다시 실행하도록 Defender를 수정했습니다.

보고서는 "C2 콜백 및 폴백 연결 방법이 실행될 때까지 몇 분을 기다린 후에도 레드 팀은 여전히 ​​Silver 에이전트와 세션을 설정하지 않았으며 이는 추가 세분화가 시행되었음을 나타냅니다."라고 설명했습니다.

레드 팀은 C2 에이전트 없이 방법론을 따랐고 아래와 같이 Windows 명령 프롬프트를 사용하여 실행 중인 프로세스를 열거하는 로컬 호스트 열거를 시작했습니다.

팀은 블루 팀 대책으로 인해 RDP 세션이 손실되기 전에 검색 프로세스를 계속하고 머신의 로컬 사용자 계정과 함께 비밀번호 정책을 식별했습니다. 전체 시뮬레이션은 시작 10분 후에 종료되었습니다.

실제 위협 시뮬레이션의 중요성

Illumio에 대한 Bishop Fox 평가는 시뮬레이션 공격을 실행하여 제로 트러스트 세분화 기능에 대해 업계를 계몽할 수 있는 방법을 자세히 보여주었습니다.

그러나 평가에는 다음과 같은 몇 가지 제한 사항이 있었습니다.

• 평가된 공격의 수와 스타일은 제한적이었습니다.
• 기술 설정 및 공격 규칙, 환경 및 마이크로 세분화 정책.
• 호스트를 나타내는 환경은 Windows 전용 환경이었습니다.
• 두 명의 Bishop Fox 컨설턴트만 시뮬레이션에 참여했습니다. 한 명은 공격자 역할(레드 팀)이고 다른 한 명은 시스템을 방어하는 보안 팀(블루 팀) 역할을 합니다.

이러한 한계에도 불구하고 평가는 올바른 방향으로 가는 큰 단계입니다. 실제 공격 시뮬레이션으로 제로 트러스트 보안을 테스트하는 것은 종종 궁극적인 사이버 보안 방어로 간주됩니다.

이러한 시뮬레이션을 통해 조직은 사이버 범죄자보다 한 발 앞서 나갈 수 있습니다. 시뮬레이션된 공격을 실행하면 맬웨어가 진화하고 끝없는 디지털 변환으로 공격 표면이 확장됨에 따라 보안 수준을 높일 수 있습니다.

https://www.esecurityplanet.com/의 기사를 보고 번역한 내용입니다.