머리글
데이터 유출 사고 때문에 피해를 보는 기업들이 급증하고 있는 가운데, 내부자 위협 문제가 특히 골치를 썩이고 있다. 최근 버라이즌(Verizon)이 조사한바에 따르면 최근 발생한 데이터 유출사고의 25%가 내부자들에 의한 것이었으며, 크라우드 리서치 파트너 2017위협 모니터링 탐지 및 대응 보고서도 이와 비슷한 내용을 언급하고 있다. 내부자 위협은 고의적인 악행은 물론 순수한 실수도 포함하고 있기 때문에 내부에서부터의 강력한 방지 대책과 임직원의 자발적인 보호 의식 수준을 높여야 한다. 이와같은 내부자 보안 위협이 증가하고 있는건 외곽 경계의 보호 트렌드에서 내부를 더욱 견고하게 방어해야하는 강력한 방지 대책이 필수적이라는 것이다.
기존위협 방어 접근의 한계
현재까지 많은 기업과 기관들이 인터넷과 인트라넷/서버팜의 경계 구간의 강화를 통한 위협 대응을 수행하고 있지만, 계속적으로 진화하는 공격의 방어와 대응에는 한계가 있다. 일반적인 사용자의 행위와 악성행위의 명확한 구분이 어려운 상황에서 정상 및 합법적인 행위여부를 정의하기 위한 많은 행위 규칙(Rule)과 위협 식별을 위한 시그니처들로부터 벗어나 다양한 행위들이 존재하고 있다. 지능화 되고 지속적인 취약점과 알려지지 않은 방법으로 기존 Rule, Signature, Sandbox 등 알려지고 공유된 인텔리전스 기반을 보완할 새로운 접근 방법이 필요 하다.
제로 트러스트 접근법
널리 받아들여지는 접근법은 포레스터(Forrester)가 창안한 데이터 중심적 접근법으로서, 모든 데이터와 자산을 '항상 검증' 하는 구현에서 사용된다. 이것은 위협 행위자가 플랫 네트워크(flat network)에서 횡적 이동(lateral movement)을 통해 탐지되지 않은 채로 이동하고 민감한 기밀 정보를 탈취하는 문제를 극복하도록 설계됐다. 또한 이 접근법은 보안 전문가에게 힘을 실어주어, 그들이 네트워크와 애플리케이션에 대한 통제권을 되찾을수 있게 한다. 제로 트러스트(zero-trust)접근법을 시작하는 방법은 다음과 같다.
1. 민감한 데이터 식별 및 분류 : 데이터를 보호하기 위해서는 그것을 살펴봐야 한다. 민감한 데이터를 인지하지 못하면 감염 이후의 상황이 악화될 것이다. 민감한 데이터를 식별한 뒤에는 그것을 분류해야 한다.
2. 데이터 흐름 분석 : 네트워크에서의 애플리케이션 흐름을 높은 수준으로 이해하는 것이 중요하다. 또한 기존 모형을 이용해 최종 데이터 흐름을 준비하기 위해 네트워크 팀, 애플리케이션 팀, 보안 아키텍트 등의 모든 이해당사자와 협력하는 것이 좋다.
3. 네트워크 설계 : 제로 트러스트 설계는 여러 네트워크 간의 소통 흐름을 나타내며, 사용자가 어떻게 외부 데이터에 접근할 수 있는지 표현한다. 이 단계에서 조직은 물리적 및 가상 스위치 구성의 바깥 경계선(micro-perimeter)을 식별한다.
4. 정책 기반 생성 : 이 접근법의 한 가지 주요 측면은 보안 전문가가 불필요한 정보 접근을 제한하고 효과적인 보안 통제를 구축해야 한다는 점이다. 보안 팀은 IP 헤더 필드, 사용자 식별, 애플리케이션의 동작 등에 대해 알아야 한다.
5. 지속적 감시 : 전체 네트워크와 애플리케이션 로그를 실시간으로 수집하고 검사해야한다. 외부 네트워크로부터 들어오는 트래픽뿐 아니라 사설 네트워크로부터 외부로 가는 트래픽도 해당된다. 내부 느래픽 흐름을 외부 트래픽 흐름과 마찬가지로 취급 해야 한다.
※ 제로 트러스트 접근의 이해
: https://www.forrester.com/search?tmtxt=Zero+Trust&source=suggested&dateRange=1&showAtoms=true
'신기술분석 > ITSecurity' 카테고리의 다른 글
| 내부자 위협 (Insider Threat) (0) | 2019.04.12 |
|---|
댓글