5분 분량
이 블로그 게시물은 IBM Security Randori 팀에서 제공하는 "레드팀 구성에 대해 알아야 할 모든 것" 시리즈의 일부입니다. Randori 플랫폼은 ASM(공격 표면 관리)과 CART(지속적 자동화 레드팀 구성)를 결합하여 보안 상태를 개선합니다.
군사 이론가인 Helmuth von Moltke는 "적과의 접촉에서 살아남는 전투 계획은 없다"고 말하며 단일 계획이 아닌 일련의 전투 옵션을 개발해야 한다고 주장했습니다. 오늘날 사이버 보안 팀은 계속해서 어려운 방법으로 이 교훈을 배우고 있습니다. IBM Security X-Force의 연구에 따르면 공격자들의 움직임이 빨라지면서 랜섬웨어 공격을 실행하는 데 걸리는 시간이 지난 몇 년간 94% 감소했습니다. 이전에는 몇 개월이 걸렸던 작업을 이제는 단 며칠이면 완료할 수 있습니다.
취약점을 차단하고 복원력을 개선하려면 조직은 위협 행위자보다 앞서 보안 운영을 테스트해야 합니다. 레드팀 운영은 이를 위한 가장 좋은 방법 중 하나임에 틀림없습니다.
레드팀 구성은 조직에 적대적 관점을 적용하여 방어자의 편견을 제거함으로써 사이버 보안의 효율성을 테스트하는 프로세스라고 정의할 수 있습니다.
레드팀은 윤리적 해커가 조직에서 자체 시스템에 대한 실제 공격자의 전술, 기술 및 절차(TTP)를 에뮬레이트할 수 있는 권한을 받음으로써 시작됩니다.
조직에서 IT 보안 격차와 약점을 사전에 식별하고 해결하는 데 사용할 수 있는 보안 위험 평가 서비스입니다.
레드 팀은 공격 시뮬레이션 방법론을 활용합니다. 정교한 공격자(또는 지능형 지속적 위협)의 행동을 시뮬레이션하여 조직의 인력, 프로세스 및 기술이 특정 목표를 달성하기 위한 공격에 얼마나 잘 저항할 수 있는지 확인합니다.
취약성 평가와 모의 침투 테스트는 네트워크 내의 알려진 모든 취약점을 조사하고 이를 악용하는 방법을 테스트하기 위해 고안된 보안 테스트 서비스입니다. 요약하자면, 취약성 평가와 침투 테스트는 기술적 결함을 식별하는 데 유용하며, 레드팀 훈련은 전체 IT 보안 태세의 상태에 대한 실행 가능한 인사이트를 제공합니다.
조직은 레드팀 훈련을 통해 방어 체계가 실제 사이버 공격을 얼마나 잘 견딜지 확인할 수 있습니다.
IBM Security Randori의 제품 및 해커 운영 센터 부사장인 Eric McIntyre는 다음과 같이 설명합니다. “레드팀 활동을 하면 공격자가 방어 체계를 트리거하기 전에 네트워크에서 얼마나 멀리 침입할 것인지에 대한 피드백 루프를 볼 수 있습니다. 또는 공격자가 방어 체계 어디에서 허점을 발견하는지 알아내고, 현재의 방어를 향상할 수 있는 부분을 찾아내기도 합니다.”
제어, 솔루션, 심지어 인력과 관련하여 무엇이 효과가 있고 없는지를 파악하는 효과적인 방법은 전담 공격자와 대결하는 것입니다.
레드팀 구성은 조직의 전반적인 사이버 보안 성과를 평가할 수 있는 강력한 방법입니다. 이를 통해 보안 리더는 조직의 보안 수준을 실제와 같이 평가할 수 있습니다. 레드팀은 비즈니스에 다음과 같은 도움을 줄 수 있습니다.
IBM Security 전문가로부터 이해하기 쉽고 영향력 있는 인사이트를 확보하여 최신 사이버 위협에 직접 대처할 수 있는 스마트한 전략과 귀중한 전문 지식을 여러분의 받은 편지함으로 전달해 드립니다.
IBM Security Randori Attack Targeted 자세히 보기
침투 테스트
레드 팀 구성
목표
악용 가능한 취약점을 식별하고 시스템에 대한 액세스 권한 확보
실제 공격자를 에뮬레이션하여 특정 시스템 또는 데이터에 액세스
기간
단기: 하루~몇 주
더 오래: 몇 주에서 한 달 이상.
도구 세트
시중에서 판매되는 침투 테스트 도구
사용자 지정 도구와 이전에 알려지지 않은 익스플로잇을 포함한 다양한 도구, 전술 및 기법
인식
방어자들은 침투 테스트가 진행되고 있다는 것을 알고 있습니다.
방어팀은 레드팀 훈련이 진행 중이라는 사실을 인지하지 못함
취약점
알려진 취약점
알려진 취약점과 알려지지 않은 취약점
범위 지정
테스트 대상이 좁고 미리 정의됨(예: 방화벽 구성이 효과적인지 여부)
민감한 데이터 유출과 같이 테스트 대상이 여러 분야에 걸쳐있을 수 있음
테스트
보안 시스템은 침투 테스트를 통해 독립적으로 테스트
레드팀 훈련에서 함께 테스트
침해 후 활동
침투 테스터는 유출 후 활동에 참여하지 않습니다.
레드팀원이 보안 침해 이후 활동에 참여
목표
조직의 환경 손상
실제 공격자처럼 행동하고 데이터를 유출하여 추가 공격 시작
결과
악용 가능한 취약점을 식별하고 기술 권장 사항 제안
전반적인 사이버 보안 상태를 평가하고 개선을 위한 권장 사항 제안
레드팀은 실제 공격자가 사용하는 도구와 기법을 모방하여 조직의 보안을 테스트하는 공격형 보안 전문가입니다. 레드팀은 탐지를 피하면서 블루 팀의 방어를 우회하려고 시도합니다.
블루팀은 레드팀을 포함한 공격자로부터 조직을 방어하고 조직의 사이버 보안을 개선하기 위해 지속적으로 노력하는 내부 IT 보안 팀입니다. 침입 징후에 대한 시스템 모니터링, 경고 조사, 인시던트 대응 등을 일상적인 업무로 수행합니다.
보라색 팀은 실제 팀이 아니라 레드 팀과 블루 팀 사이에 존재하는 협력 사고 방식입니다. 레드 팀과 블루 팀 구성원 모두 조직의 보안을 강화하기 위해 노력하지만 항상 서로 인사이트를 공유하지는 않습니다. 퍼플 팀의 역할은 두 팀 간의 효율적인 의사 소통과 협업을 장려하여 두 팀과 조직의 사이버 보안을 지속적으로 개선할 수 있도록 하는 것입니다.
레드팀은 실제 공격자들이 사용하는 것과 동일한 도구와 기술을 사용하려고 할 것입니다. 하지만 사이버 범죄자와 달리 레드팀은 실제로 피해를 입히지 않습니다. 대신 조직의 보안 조치에 존재하는 결함을 찾아냅니다.
몇 가지 일반적인 레드팀 도구 및 기술은 다음과 같습니다.
레드팀 구성은 복원력의 핵심 동력이지만 보안팀에 심각한 문제를 야기할 수도 있습니다. 가장 큰 문제 두 가지는 레드팀 훈련을 수행하는 데 드는 비용과 시간입니다. 즉, 일반적인 조직에서는 레드팀 훈련이 기껏해야 주기적으로 이루어지기 때문에 조직의 사이버 보안에 대한 인사이트가 특정 시점에만 제공된다는 뜻입니다. 문제는 테스트 당시에는 보안 태세가 강력할 수 있지만 훈련이 끝난 후에도 그대로 유지된다는 보장이 없다는 것입니다.
지속적이고 자동화된 테스트를 실시간으로 수행하는 것이 공격자의 관점에서 조직을 진정으로 이해할 수 있는 유일한 방법입니다.
IBM Security Randori 는 Randori Attack Targeted라는 CART 솔루션을 제공합니다. 이 소프트웨어를 통해 조직은 사내 레드 팀처럼 보안 태세를 지속적으로 평가할 수 있습니다. 이를 통해 기업은 방어 체계를 정확하고 사전 예방적이며, 가장 중요하게는 지속적으로 테스트하여 복원력을 구축하고 효과가 있는 것과 그렇지 않은 것을 확인할 수 있습니다.
IBM Security Randori Attack Targeted는 사내 레드 팀의 유무에 관계없이 사용할 수 있도록 설계되었습니다. 세계 최고의 공격 보안 전문가들의 지원이 제공되는 Randori Attack Targeted는 보안 리더에게 방어 성능을 파악할 수 있는 방법을 제공하여 중간 규모 조직도 엔터프라이즈급 보안을 시행할 수 있도록 합니다.
레드팀으로 비즈니스의 보안 태세를 개선하는 방법을 다룰 다음 게시글을 기대해 주세요.