위협 행위자처럼 생각하는 방법
우리 팀은 엔드투엔드 공격 사례를 알립니다. 우리는 공격이 발생하는 동안 한눈에 공격의 근본 원인을 더 잘 이해할 수 있도록 공격자 킬 체인의 여러 단계 사이의 연결점을 파악합니다.
또한 공격자의 기술과 사고방식을 모방합니다.
공격자가 환경에 접근할 때는 목적과 활동 순서가 있습니다. 공격자들은 다양한 기술을 연계하여 사용합니다. 때문에 이러한 공격 사례들을 "킬 체인"이라고 부르죠. 공격자는 그들에게 가장 이득이 되는 경로를 통해 이동합니다. 이러한 과정은 선형적으로 일어나지 않습니다. 우리는 이를 그래프형 사고방식이라고 부릅니다.
방어자의 입장에서 우리도 같은 사고방식을 취해야 합니다. 목록에 따라 생각하려고 해서는 안 됩니다. 그것은 마치 공격이 진행 중일 때 직소 퍼즐 전체를 다시 맞춰보려고 하는 것이나 다름없습니다. 우리는 공격자가 어떻게 액세스할 수 있었는지, 어떻게 내부망에 침투하고 있는지, 어떤 목적을 가지고 공격 중인지 한눈에 알아야 합니다.
방어자는 개별적인 기술뿐만 아니라 해당 활동의 순서를 함께 이해할 때 악의적인 활동을 더 정확하게 식별합니다.
우리 팀이 최근에 발생한 일련의 금융 사기 공격을 분석하여 공격자가 MFA(다단계 인증)를 우회하기 위해 역방향 프록시 설정을 사용하고 있었음을 파악한 때를 좋은 예로 들 수 있습니다. 우리는 MFA 우회 징후를 발견하고 다른 인스턴스로 통신을 유도했는데, 여기서 새로운 기술을 확인할 수 있었습니다. 우리는 이러한 관련점들을 연결하는 능력을 통해 자격 증명 수집에 대해 알게 된 내용을 바탕으로 공격 초기에 대응할 수 있습니다. 방어자로서 효과적으로 대응하는 데 도움이 되죠.
조직을 더 잘 보호하기 위해 무엇을 할 수 있는지 묻는 질문에 저는 항상 똑같은 답을 내놓습니다. MFA를 지속적으로 활용하는 것이 매우 중요합니다. MFA는 우리가 제공하는 가장 중요한 권장 사항 중 하나입니다. MFA는 기업이 조직을 더 잘 방어하기 위해 할 수 있는 가장 필수적인 일 중 하나입니다. 이렇게 암호 없는 환경을 갖추기 위해 노력하면 새롭게 등장하는 공격 기술을 모두 무효화할 수 있습니다. MFA를 적절하게 사용하면 공격자가 더 애를 먹게 됩니다. 그리고 공격자가 ID와 조직에 액세스할 수 없다면 공격을 실시하는 과정이 훨씬 더 복잡해집니다.
Microsoft 팔로우