보호 표면을 정의하여 공격 표면을 크게 줄이기

John Kindervag


 

This post is also available in: English (영어) 繁體中文 (중국어 번체) Nederlands (화란어)

사이버 보안과 관련하여 사용자들이 가장 주의를 기울이지 않는 측면 중 하나는 보호하려는 대상에 대한 정의입니다. 일반적으로 사용자들은 공격을 막아내려 하지만, 항상 무언가에 대한 공격이 이루어지고 있습니다. 그 대상은 무엇일까요?

최근 수년간 저희는 공격 표면을 줄이기 위해 많은 노력을 기울여왔으나 불행히도 이 표면은 항상 팽창하고 있는 우주와도 같습니다. 신기술이 등장하면 이와 관련된 문제와 취약점도 새로이 등장합니다. 무엇보다 사물인터넷 이후 공격 표면이 엄청나게 확대되었습니다. Spectre 및 Meltdown 등의 칩셋 대상 공격과 같이 새로이 드러난 취약점으로 인해 거의 모든 최신 컴퓨팅 시스템이 전반적인 공격 표면에 추가되었습니다.

제로 트러스트(Zero Trust)는 넓은 차원의 공격 표면에 집중하는 대신 가장 작은 부분이라도 가능한 한 공격 표면을 줄이기 위해 필요한 것과 보호 표면을 파악합니다. 일반적으로 제로 트러스트 네트워크는 “DAAS”라고 하는 다음의 4가지 중 하나 이상을 바탕으로 보호 표면을 정의합니다.

  • 데이터(Data): 어떤 데이터를 보호해야 하는가?
  • 애플리케이션(Applications): 어떤 애플리케이션이 민감한 정보를 사용하는가?
  • 자산(Assets): 어떤 자산이 가장 민감한가?
  • 서비스(Services): DNS, DHCP, Active Directory와 같은 서비스 중 어떤 것을 악용하여 정상적인 IT 운용을 방해할 수 있는가?

보호 표면의 장점은 전반적인 공격 표면보다 훨씬 적으면서도 항상 파악할 수 있다는 것입니다. 지금 당장은 모를 수 있지만 원한다면 언제든지 찾아낼 수 있습니다. 대부분의 기업은 공격 표면을 실제로 정의하지 못하며, 그로 인해 공격자들이 침입하게 됩니다. 기업의 광범위한 “주변”을 통해 침투할 수 있는 방법은 매우 다양합니다. 그렇기 때문에 대규모 주변 기반 보안 접근법이 실패하는 것입니다. 과거에는 방화벽 및 침입 방지 기법과 같은 제어 장치를 이러한 주변까지 확대했으며 이는 실제적인 보호 표면에서 아주 멀리 떨어져 있다는 문제가 있습니다.

제로 트러스트에서는 보호 표면을 정의함으로써 제어 장치를 최대한 보호 표면에 가까이 배치하여 “미세 주변”을 정의하게 됩니다. 세그멘테이션 게이트웨이로 기능하는 Palo Alto Networks의 차세대 기술을 통해 레이어 7 정책으로 네트워크를 세분화하고 미세 주변을 드나드는 트래픽을 정밀하게 제어할 수 있습니다. IT 환경 내의 민감한 데이터 및 자산을 실제로 필요로 하는 사용자 또는 자원은 매우 한정되어 있습니다. 제한적이면서 정밀하고 이해할 수 있는 정책을 생성함으로써, 공격자들이 성공적으로 사이버 공격을 실행할 수 있는 역량도 제한할 수 있는 것입니다. 

Got something to say?

Get updates: Unit 42

Sign up to receive the latest news, cyber threat intelligence and research from Unit42

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement.


© 2018 Palo Alto Networks, Inc. All rights reserved.