2016년 10월 12일 수요일

사이버 킬체인 중심으로 APT 대응 전략을 다시 보자!

시큐리티플러스의 보안 원포인트 레슨(One Point Lesson)
- 사이버 킬체인 중심으로 APT 대응 전략을 다시 보자!

APT 대응 전략이라고 하면, 보통 네트워크 단의 샌드박스 기반 솔루션이나, 엔드포인트에서의 포인트 솔루션을 종종 얘기하곤 합니다. 그러나 APT는 하나의 공격을 의미하는 것이 아니라, 공격 전략을 통칭하는 용어이므로, 이에 대한 전략은 포인트 솔루션이 아니라, 방어 전략을 얘기해야 합니다. APT 대응 혹은 방어 전략으로 많이 사용하는 것은 사이버 킬체인(Kill Chain)입니다. APT가 표적 공격이고 긴 공격 시나리오를 가진 만큼 하나의 단계를 끊어버리면 표적 공격에 실패하게 된다는 개념입니다. 현재 보유하고 있는 보안 체계와 솔루션을 활용하여 사이버 킬체인 전략을 구사할 수 있습니다. 특히 탐지력을 높이는 수단인 통합 보안 관제 혹은 SIEM을 활용해야 하는데, 두 가지 보안 통제 이벤트가 종종 관제 영역에서 제외됩니다. 하나는 다양한 프로토콜을 활용한 내부에서 내부로의 스캐닝 탐지 이벤트이고, 다른 하나는 싱글사인온(싱글사인온) 혹은 로그인 성공/실패 로그 입니다. 흔히 APT 공격 진행 중 빠지지 않는 활동이 바로 내부 네트워크에 대한 탐색(스캐닝)과 목표 시스템에 대한 인증 시도 공격(Brute Force Attack)입니다. 이 두 가지를 포함시키지 않고는 내부로 진행되는 APT 공격을 탐지하기 어렵겠죠.
사이버 킬체인 기반으로 APT 대응 전략, 다시 한 번 검토해 보시기 바랍니다.