사이버 공격으로부터 조직을 방어하는 것은 특히 악의적인 행위자가 표적으로 삼을 수 있는 시스템이 많은 대규모 조직을 다룰 때 어렵습니다.
일반적으로 방어자는 다른 보안 테스트 접근 방식 중에서 파란색 및 빨간색 팀 구성, 규정 준수 테스트 및 침투 테스트에 의존하여 방어가 공격에 어떻게 대처하는지 평가합니다. 이러한 방법은 리소스 집약적이고 수동적이며 시간 소모적이어서 격일로 수행할 수 없다는 단점이 있습니다.
BAS(Breach and Attack Simulation)는 조직이 소프트웨어 에이전트를 사용하여 시스템에 대한 광범위한 사이버 공격을 지속적으로 시뮬레이션 및 자동화하고 기존 취약성에 대한 정보 보고서를 얻을 수 있는 고급 사이버 보안 도구입니다. 그리고 그것들을 고칠 수 있는 방법.
BAS를 사용하면 엔드포인트에 대한 맬웨어 공격, 내부자 위협, 측면 이동 및 유출의 전체 공격 주기를 시뮬레이션할 수 있습니다. BAS 도구는 사이버 보안 팀의 블루 팀과 레드 팀 구성원이 수행하는 기능을 자동화합니다.
보안 테스트에서 레드 팀 구성원은 악의적인 공격자를 모방하고 시스템을 공격하여 취약점을 식별하려고 시도하는 반면 블루 팀 구성원은 레드 팀 구성원의 공격을 방어합니다.
목차
BAS 플랫폼 작동 방식
컴퓨터 시스템에 대한 공격을 시뮬레이션하기 위해 BAS 소프트웨어는 공격자가 컴퓨터 시스템을 손상시키고 공격하는 방법에 대한 지식, 연구 및 관찰을 기반으로 미리 구성된 사이버 공격과 함께 제공됩니다.
많은 BAS 소프트웨어는 MITRE ATT&CK 프레임워크를 활용합니다. MITRE ATT&CK 프레임워크는 사이버 공격에 대한 실제 관찰을 통해 학습한 전술과 기술이 포함된 전 세계적으로 액세스 가능한 지식 기반입니다. 이 프레임워크에는 컴퓨터 시스템에 대한 사이버 공격 및 침입을 분류하고 설명하기 위한 지침도 있습니다.
BAS 시뮬레이션에서는 미리 구성된 공격이 대상 시스템에 배포됩니다. 이러한 사전 구성된 공격은 실제 공격을 에뮬레이트하지만 서비스 중단 없이 낮은 위험으로 안전하게 수행합니다. 예를 들어 맬웨어를 배포할 때 알려진 맬웨어의 안전한 복제본을 사용합니다.
시뮬레이션에서 프로그램은 사이버 공격의 전체 수명 주기를 다룹니다. 기본 시스템을 이해하기 위해 정찰을 수행하고, 취약점을 스캔하고, 이러한 취약점을 악용하려고 합니다. 이 작업을 수행하면서 BAS는 발견된 취약점, 악용 방법 및 취약점을 수정하기 위해 취할 수 있는 조치를 자세히 설명하는 실시간 보고서도 생성합니다.
BAS가 성공적으로 시스템을 침해하면 시스템에서 측면으로 이동하고 데이터 유출을 수행하고 발자국을 삭제하여 공격자를 에뮬레이트합니다. 완료되면 조직에서 발견된 취약점을 해결하는 데 도움이 되는 포괄적인 보고서가 생성됩니다. 취약점이 제거되었는지 확인하기 위해 이러한 시뮬레이션을 여러 번 실행할 수 있습니다.
BAS 플랫폼을 사용하는 이유
조직에서 BAS를 사용하면 시스템 보안과 관련하여 많은 이점이 있습니다. 이러한 이점 중 일부는 다음과 같습니다.
BAS를 통해 조직은 보안 시스템이 작동하는지 알 수 있습니다.
조직이 사이버 보안에 많은 비용을 투자하는 만큼 시스템이 정교한 공격에 효과적인지 완전히 확인할 수 없는 경우가 많습니다. 이는 BAS 플랫폼을 사용하여 모든 시스템에 반복적이고 정교한 공격을 탑재하여 실제 공격을 얼마나 잘 견딜 수 있는지 확인함으로써 피할 수 있습니다.
또한 이 작업은 필요할 때마다 낮은 위험으로 수행할 수 있으며 조직은 시스템에서 어떤 취약점이 악용될 수 있는지에 대한 포괄적인 보고서를 받습니다.
BAS는 블루팀과 레드팀의 한계를 극복합니다.
레드 팀 구성원이 시스템에 공격을 가하고 블루 팀 구성원이 시스템을 방어하도록 하려면 많은 리소스가 필요합니다. 격일로 지속 가능하게 할 수있는 일이 아닙니다. BAS는 조직이 일년 내내 지속적으로 저렴한 비용으로 시뮬레이션을 실행할 수 있도록 블루 및 레드 팀 구성원이 수행하는 작업을 자동화하여 이 문제를 극복합니다.
BAS는 인간의 경험과 오류의 한계를 피합니다.
보안 테스트는 시스템을 테스트하는 사람들의 기술과 경험에 따라 달라지므로 매우 주관적일 수 있습니다. 또한 인간은 실수를 합니다. BAS를 사용하여 보안 테스트 프로세스를 자동화함으로써 조직은 보안 태세에 대해 보다 정확하고 일관된 결과를 얻을 수 있습니다.
BAS는 또한 광범위한 공격을 시뮬레이션할 수 있으며 그러한 공격을 수행하는 인간의 기술과 경험에 제한을 받지 않습니다.
BAS는 보안 팀이 위협에 더 잘 대처할 수 있도록 지원합니다.
위반 또는 소프트웨어 제조업체가 취약점을 찾고 보안 패치를 릴리스하기를 기다리지 않고 보안 팀은 지속적으로 BAS를 사용하여 시스템의 취약점을 조사할 수 있습니다. 이를 통해 공격자보다 앞서 나갈 수 있습니다.
침입을 기다리고 공격에 대응하는 대신 침입에 사용할 수 있는 영역을 찾고 공격자가 악용하기 전에 해결할 수 있습니다.
보안을 중시하는 모든 조직에게 BAS는 공격자에 대한 기반을 마련하고 공격자가 악용하기 전에 취약성을 무력화하는 데 도움이 되는 도구입니다.
올바른 BAS 플랫폼을 선택하는 방법
많은 BAS 플랫폼이 존재하지만 모든 플랫폼이 조직에 적합한 것은 아닙니다. 조직에 적합한 BAS 플랫폼을 결정하려면 다음을 고려하십시오.
사용 가능한 사전 구성된 공격 시나리오의 수
BAS 플랫폼은 공격을 감지하고 처리할 수 있는지 테스트하기 위해 조직의 시스템에 대해 실행되는 사전 구성된 공격 시나리오와 함께 제공됩니다. BAS 플랫폼을 선택할 때 사이버 공격의 전체 수명 주기를 포괄하는 많은 사전 구성된 공격이 포함된 플랫폼을 원합니다. 여기에는 시스템 액세스에 사용되는 공격과 시스템이 손상된 후 실행되는 공격이 포함됩니다.
사용 가능한 위협 시나리오에 대한 지속적인 업데이트
공격자는 컴퓨터 시스템을 공격하는 새로운 방법을 끊임없이 혁신하고 개발하고 있습니다. 따라서 끊임없이 변화하는 위협 환경을 유지하고 위협 라이브러리를 지속적으로 업데이트하여 최신 공격으로부터 조직을 안전하게 보호하는 BAS 플랫폼이 필요합니다.
기존 시스템과의 통합
BAS 플랫폼을 선택할 때 보안 시스템과 쉽게 통합되는 플랫폼을 선택하는 것이 중요합니다. 또한 BAS 플랫폼은 매우 낮은 위험으로 조직에서 테스트하려는 모든 영역을 다룰 수 있어야 합니다.
예를 들어 클라우드 환경이나 네트워크 인프라를 사용하고 싶을 수 있습니다. 따라서 이를 지원하는 플랫폼을 선택해야 합니다.
생성된 보고서
BAS 플랫폼이 시스템의 공격을 시뮬레이션한 후에는 발견된 취약점과 보안 격차를 수정하기 위해 취할 수 있는 조치를 자세히 설명하는 포괄적이고 실행 가능한 보고서를 생성해야 합니다. 따라서 시스템에서 발견된 기존 취약점을 해결하기 위해 관련 정보가 포함된 상세하고 포괄적인 실시간 보고서를 생성하는 플랫폼을 선택하십시오.
사용의 용이성
BAS 도구가 아무리 복잡하거나 정교하더라도 사용과 이해가 쉬워야 합니다. 따라서 작동하는 데 보안에 대한 전문 지식이 거의 필요하지 않고 적절한 문서가 있으며 직관적인 사용자 인터페이스가 있어 공격을 쉽게 배포하고 보고서를 생성할 수 있는 플랫폼을 선택하십시오.
BAS 플랫폼을 선택하는 것은 성급하게 결정해서는 안 되며 결정을 내리기 전에 위의 요소를 신중하게 고려해야 합니다.
보다 쉽게 선택할 수 있도록 사용 가능한 최고의 BAS 플랫폼 7가지를 소개합니다.
시뮬레이트
Cymulate는 2021년 Frost 및 Sullivan 올해의 BAS 제품으로 선정된 SaaS(Software as a service) BAS 제품이며 그럴 만한 이유가 있습니다. SaaS(Software as a Service)이므로 몇 번의 클릭만으로 몇 분 안에 배포를 완료할 수 있습니다.
무제한 공격 시뮬레이션을 실행하기 위해 단일 경량 에이전트를 배포함으로써 사용자는 보안 태세에 대한 기술 및 경영진 보고서를 몇 분 안에 얻을 수 있습니다. 또한 사용자 지정 및 사전 구축된 API 통합과 함께 제공되어 다양한 보안 스택과 쉽게 통합할 수 있습니다.
Cymulate는 위반 및 공격 시뮬레이션을 제공합니다. 이는 지속적인 퍼플 팀 구성, APT(Advanced Persistent Threat) 공격, 웹 애플리케이션 방화벽, 엔드포인트 보안, 데이터 유출 이메일 보안, 웹 게이트웨이 및 피싱 평가를 위한 MITRE ATT&CK 프레임워크와 함께 제공됩니다.
또한 Cymulate를 사용하면 시뮬레이션하려는 공격 벡터를 선택할 수 있으며 시스템에서 공격 시뮬레이션을 안전하게 수행하고 실행 가능한 통찰력을 생성할 수 있습니다.
어택IQ
AttackIQ는 SaaS(Software as a Service)로도 제공되며 보안 시스템과 쉽게 통합되는 BAS 솔루션입니다.
그러나 AttackIQ는 해부학적 엔진 때문에 두드러집니다. 이 엔진을 통해 인공 지능(AI) 및 기계 학습(ML)을 활용하는 사이버 보안 구성 요소를 테스트할 수 있습니다. 또한 시뮬레이션에서 AI 및 ML 기반 사이버 방어를 사용합니다.
AttackIQ를 사용하면 MITRE ATT&CK 프레임워크에 따라 위반 및 공격 시뮬레이션을 실행할 수 있습니다. 이를 통해 다단계 공격에서 공격자의 행동을 에뮬레이션하여 보안 프로그램을 테스트할 수 있습니다.
이를 통해 취약성 및 텍스트 네트워크 제어를 식별하고 위반 대응을 분석할 수 있습니다. AttackIQ는 또한 수행된 시뮬레이션에 대한 심층 보고서와 발견된 문제를 수정하기 위해 구현할 수 있는 완화 기술을 제공합니다.
크롤
Kroll은 BAS 솔루션 구현에 대해 다른 접근 방식을 사용합니다. 공격을 시뮬레이션하는 데 사용할 수 있는 공격 시나리오와 함께 번들로 제공되는 다른 제품과 달리 Kroll은 다릅니다.
사용자가 서비스를 사용하기로 결정하면 Kroll 전문가는 자신의 기술과 경험을 활용하여 시스템에 특정한 일련의 공격 시뮬레이션을 설계하고 제작합니다.
특정 사용자의 요구 사항을 고려하고 시뮬레이션을 MITRE ATT&CK 프레임워크에 맞춥니다. 공격이 스크립팅되면 시스템의 보안 상태를 테스트하고 다시 테스트하는 데 사용할 수 있습니다. 여기에는 구성 변경 및 벤치마크 응답 준비가 포함되며 시스템이 내부 보안 표준을 준수하는 방법이 측정됩니다.
SafeBreach
SafeBreach는 BAS 솔루션의 선구자라는 자부심을 가지고 있으며 BAS에 막대한 공헌을 했으며 이는 수상 경력과 해당 분야의 특허로 입증되었습니다.
또한 사용자가 사용할 수 있는 공격 시나리오의 수 측면에서 SafeBreach는 경쟁 상대가 없습니다. 해커의 플레이북에는 악의적인 행위자가 일반적으로 사용하는 25,000개 이상의 공격 방법이 있습니다.
SafeBreach는 모든 시스템과 쉽게 통합할 수 있으며 클라우드, 네트워크 및 엔드포인트 시뮬레이터를 제공합니다. 이는 조직이 시스템에 침투하고 손상된 시스템에서 측면 이동하고 데이터 유출을 수행하는 데 사용할 수 있는 허점을 탐지할 수 있는 이점이 있습니다.
또한 사용자가 전체 보안 상태를 쉽게 이해하고 전달할 수 있도록 시각화 기능이 포함된 사용자 지정 가능한 대시보드와 유연한 보고서가 있습니다.
펜테라
Pentera는 외부 공격면을 검사하여 최신 위협 행위자의 행동을 시뮬레이션하는 BAS 솔루션입니다. 이를 위해 악성 행위자가 시스템을 공격할 때 수행하는 모든 작업을 수행합니다.
여기에는 공격 영역을 매핑하기 위한 정찰, 취약성 검색, 수집된 자격 증명에 대한 도전이 포함되며 안전한 맬웨어 복제본을 사용하여 조직의 엔드포인트에 도전합니다.
또한 시스템의 측면 이동, 데이터 유출, 테스트에 사용된 코드 정리와 같은 유출 후 단계를 진행하므로 발자국을 남기지 않습니다. 마지막으로 Pentera는 각 근본 원인 취약성의 중요성에 따라 수정 조치를 제시합니다.
위협 시뮬레이터
Threat Simulator는 Keysight의 Security Operations Suite의 일부로 제공됩니다. Threat Simulator는 조직의 프로덕션 네트워크와 엔드포인트에서 공격을 시뮬레이션하는 SaaS(software-as-a-service) BAS 플랫폼입니다.
이를 통해 조직은 취약점이 악용되기 전에 해당 영역의 취약점을 식별하고 수정할 수 있습니다. 가장 좋은 점은 조직이 위협 시뮬레이터에서 발견한 취약점을 처리하는 데 도움이 되는 사용자 친화적인 단계별 지침을 제공한다는 것입니다.
또한 조직의 보안 상태를 한 눈에 볼 수 있는 대시보드가 있습니다. 플레이북에 포함된 20,000개 이상의 공격 기술과 제로데이 업데이트를 갖춘 위협 시뮬레이터는 BAS 플랫폼 중 최고의 자리를 놓고 진지한 경쟁자입니다.
그레이매터 검증
GreyMatter는 사용 가능한 보안 기술 스택과 쉽게 통합되고 전체 조직의 보안 상태와 사용 중인 보안 도구에 대한 통찰력을 제공하는 Reliaquest의 BAS 솔루션입니다.
Greymatter는 위협 사냥을 통해 시스템에 존재할 수 있는 잠재적 위협을 찾고 시스템에 침입한 위협이 있는 경우 위협 인텔리전스를 제공합니다. 또한 MITRE ATT&CK 프레임워크 매핑에 따라 위반 및 공격 시뮬레이션을 제공하고 잠재적인 위협을 식별하기 위해 개방형, 심층 및 다크 웹 소스에 대한 지속적인 모니터링을 지원합니다.
위반 및 공격 시뮬레이션 이상의 기능을 수행하는 BAS 솔루션을 원하는 경우에는 Greymatter를 선택하는 것이 좋습니다.
결론
오랫동안 공격으로부터 중요한 시스템을 보호하는 것은 사이버 보안 전문가가 공격이 발생하기를 기다리는 사후 대응 활동이었으며 이로 인해 불리한 위치에 놓였습니다. 그러나 BAS 솔루션을 수용함으로써 사이버 보안 전문가는 공격자의 마음을 적응시키고 공격자보다 먼저 시스템의 취약점을 지속적으로 조사하여 우위를 점할 수 있습니다. 보안을 중시하는 모든 조직에게 BAS 솔루션은 필수품입니다.
보안을 개선하기 위해 일부 사이버 공격 시뮬레이션 도구를 탐색할 수도 있습니다.