네트워크 보안 유형은 위협 환경을 기반으로 해야 합니다. 여기에는 현재 위협 행위자, 벡터 및 취약점이 포함됩니다. 이를 기반으로 성공적인 공격의 가능성을 줄이고 네트워크 환경에 제어를 추가해야 합니다.
네트워크 환경에 추가되는 보안은 앞으로 예상되는 위협 환경을 기반으로 해야 합니다. 이는 홈, 비즈니스 또는 서비스 공급자 네트워크에 적용됩니다.
효과적인 네트워크 보안에는 알려진 취약점, 해커나 다른 위협 행위자 또는 현재 공격 동향이 고려됩니다. 네트워크에 보안을 추가하려면 비즈니스에 노출된 모든 자산과 자산이 침해되는 방식을 이해해야 합니다.
위협 환경에는 식별하고 이해해야 하는 중요한 요소가 많이 포함되어 있습니다. 이를 통해 적절한 조치를 취할 수 있는 지식을 습득할 수 있습니다.
먼저 위협 행위자부터 알아보겠습니다. 위협 행위자는 공격을 시작하고 시스템에 침입하는 사람들을 말합니다. 악의적인 행위자는 사람 또는 주체이며 행위자의 유형에 따라 다양한 목표를 가지고 있습니다.
위협 벡터는 공격이 취하는 경로입니다. 공격자가 건물의 문을 열어 달라고 요청하는 것처럼 간단할 수 있습니다. 이는 아주 기본적인 소셜 엔지니어링 공격 방식입니다. 또는 훨씬 더 복잡하고 많은 기술을 요구할 수 있습니다.
예를 들어 공격은 피싱으로 알려진 소셜 엔지니어링 공격으로 시작하는 것이 일반적입니다. 사용자가 피싱 이메일에 속는 것입니다. 피싱 이메일은 시스템에 소프트웨어를 설치하고 소프트웨어는 시스템에 백도어를 엽니다. 해커는 백도어를 이용하여 시스템에 액세스하고 네트워크를 가로질러 탐색하거나 측면으로 이동합니다.
취약점은 기술 내에 존재하는 약점 또는 결함입니다. 여기에는 방화벽, 바이러스 백신 및 멀웨어 방지와 같은 보안 제품이 포함됩니다. 또한 서버, 워크스테이션, 노트북, 카메라, 온도 조절 장치 및 냉장고와 같은 일반 엔드포인트 장치도 포함됩니다. 그리고 라우터 및 스위치와 같은 네트워크 장치가 포함됩니다. 취약점은 세 가지 범주로 나뉩니다.
Miter와 같은 사이트는 첫 두 가지 유형을 기록합니다. 이 둘을 합쳐 Common Vulnerabilities and Exposures(CVE) 목록이라고 합니다. NIST(National Institute of Standards and Technology)는 National Vulnerability Database라는 알려진 취약점을 나열하는 다른 사이트를 유지 관리합니다.
네트워크에서 취약점 스캔을 실행하여 취약점을 찾습니다. Tenable의 Nessus와 같은 좋은 도구는 발견된 소프트웨어를 알려진 취약점의 데이터베이스에 자동으로 연결합니다. 취약성 검사는 의심되는 취약점에 대해 보고하지만 악용 가능한지 확인하지는 않습니다. 다음 단계는 네트워크에서 악용될 수 있는지 확인하고 시스템을 보호하기 위한 조치를 취하는 것입니다.
예를 들어 네트워크에 Microsoft Windows Server 2019가 있는 경우 취약점 스캐너는 이 서버에 영향을 줄 수 있는 문제인 Zerologon을 발견해야 합니다. 스캐너는 먼저 Windows Server 2019가 있음을 발견한 다음 데이터베이스에서 알려진 취약점을 검색합니다.
이 스캔은 NIST에서 부적절한 권한을 허용하는 Zerologon이라는 CVE를 발견해야 합니다. 이 CVE의 CVSS(Common Vulnerability Severity Score)는 10점 만점에 10점으로 심각한 단계이므로 즉시 해결해야 합니다. CVE 페이지에는 조언, 솔루션 및 도구에 대한 링크가 있습니다. 또한 공격에 대한 추가 정보를 제공하는 Common Weakness Enumeration(CWE) 페이지도 안내합니다.
기업에서 네트워크 보안 취약점을 테스트하는 데 사용할 수 있는 다양한 도구와 방법론이 있습니다. 한 가지 방법은 침투 테스트 또는 펜 테스트라고도 하는 방법으로, 비즈니스를 대상으로 하는 공격을 시뮬레이션하는 것입니다. 기업은 이를 위해 윤리적 해커를 고용합니다.
윤리적 해커가 네트워크를 공격할 때 기업은 이를 토대로 해당 네트워크에서 특정한 취약점을 찾습니다. 시스템을 공격할 수 있는 공식적인 권한이 주어지는 것이므로 윤리적 해커라고 하는 것입니다. CVE에 나열된 취약점이 네트워크에 존재함을 증명하거나 잘못된 구성이나 알려지지 않은 취약점을 발견할 수 있습니다.
펜 테스트를 실행하는 한 가지 방법은 레드팀과 블루팀을 사용하는 것입니다. 레드팀은 실제 해킹 도구를 사용하고 기존 네트워크 방어를 위반하려고 시도합니다. 블루팀은 기존 사고 대응 계획 또는 플레이북을 사용하여 능동적인 공격에 대응하는 사고 대응팀입니다.
이 두 팀이 펜 테스트에서 함께 작업하면 표준 펜 테스트보다 이점이 더 큽니다. 레드팀은 취약점을 발견하고 블루팀은 대응하는 연습을 합니다. 네트워크는 실제 해커의 공격을 받기 때문에 사고 대응팀의 준비가 중요합니다. 그러기 위해서는 연습이 중요합니다.
네트워크 보안의 목표는 무엇보다도 공격을 방지하는 것입니다. 공격이 발생하면 첫 번째 단계는 이를 탐지하는 것입니다. 공격이 알려지면 대응하는 것이 중요합니다. 피해를 분류/평가하고, 범위를 파악하고 공격을 실행하는데 사용된 취약점 또는 경로를 패치해야 합니다. 이 프로세스를 일반적으로 예방, 탐지 및 대응(PDR)이라고 합니다.
예방에는 시스템을 강화하고 보안 제어를 통해 시스템을 방어하는 작업이 수반됩니다. 시스템 강화에는 다음이 포함됩니다.
탐지는 주로 로그를 통해 수행됩니다. 침입 탐지 시스템(IDS)과 같은 시스템은 트래픽이 지나가는 것을 감시하고 의심스러운 활동을 기록합니다. 시스템은 활동을 기록하고 syslog 서버로 보냅니다. SIEM(Security Information Event Manager)은 보안 담당자에게 침해 지표(IoC)를 경고하는 로그의 상관 관계를 분석하고 분석합니다. 그런 다음 보안 부서 또는 사고 대응팀에서 실제 침해 여부를 증명하기 위한 조치를 취하고 재발생하지 않도록 환경을 수정합니다.
대응은 시스템에 패치를 다운로드하는 것처럼 간단할 수 있지만 많은 작업이 필요할 수도 있습니다. 방화벽, IPS(침입 방지 시스템), 라우터, 기타 모든 네트워크 및 보안 소프트웨어 및 장치 내의 구성을 분석하여 무엇이 잘못 구성되었는지 파악할 수 있어야 합니다.
대응은 네트워크에 새롭거나 다른 보안 도구를 추가하는 것일 수도 있습니다. 이는 사업 계획 수립을 포함하는 광범위한 프로세스일 수 있습니다.