ASM(Attack Surface Management)은 조직의 공격 표면을 구성하는 사이버 보안 취약성과 잠재적 공격 벡터를 지속적으로 발견, 분석, 해결 및 모니터링하는 활동을 말합니다.
다른 사이버 보안 분야와는 다르게, ASM은 방어자의 관점이 아니라 전적으로 해커의 관점에서 수행됩니다. ASM은 표적을 식별하고 악의적 공격자에게 주어진 기회를 바탕으로 리스크를 평가합니다. ASM은 해커가 사용하는 방법과 리소스 중 많은 부분을 똑같이 사용하며, ASM 작업과 기술은 사이버 범죄자의 행동을 잘 알고 이들의 행동을 재연하는 데 능숙한 '윤리적 해커'가 만들어 내고 이를 수행합니다.
비교적 최근의 ASM 기술인 외부 공격 표면 관리(external attack surface management, EASM)는 ASM과 같은 의미로 사용되기도 합니다. 그러나 EASM은 조직의 외부 또는 인터넷 대면 IT 자산(조직의 디지털 공격 표면이라고도 불림)의 취약성과 리스크에 특히 집중합니다. ASM은 악의적 내부자 또는 부적절한 최종 사용자에게 피싱 사기 예방 교육을 진행하는 등 조직의 물리적, 소셜 엔지니어링 공격 표면의 취약성도 해결합니다.
COVID-19 팬데믹으로 가속화된 클라우드 도입, 디지털 혁신, 원격 근무 확장으로 인해 새로운 자산이 회사의 네트워크에 매일 연결되면서 평균적인 회사의 디지털 발자국과 공격 표면이 더 커지고, 더 분산되며, 더 역동적으로 변했습니다.
Randori의 State of Attack Surface Management 2022(ibm.com 외부 링크) 보고서에 따르면, 조직 중 67%는 지난 12개월간 공격 표면이 확장되었으며, 69%는 지난 1년 동안 알 수 없는 또는 부적절하게 관리되는 인터넷 연결 자산으로 인해 손해를 입은 것으로 나타났습니다. (Randori는 IBM Corp.의 자회사임) Gartner(ibm.com 외부 링크)의 산업 분석가들은 공격 표면 확장을 2022년 CISO의 1순위 보안 및 리스크 관리 우선 과제로 꼽았습니다.
기업 네트워크가 더 안정적이었고 중앙 집중식으로 관리되었던 과거에 개발된 기존의 자산 검색, 리스크 평가, 취약성 관리 프로세스는 오늘날의 네트워크에서 발생하는 새로운 취약성과 공격 벡터의 속도를 따라잡을 수 없습니다. 예를 들어, 침투 테스트는 알려진 자산에서 의심되는 취약성을 테스트할 수 있지만, 보안 팀이 매일 발생하는 새로운 사이버 리스크와 취약성을 식별하는 데는 도움이 되지 않습니다.
그러나 ASM은 지속적 워크플로우를 따르고 해커의 관점을 견지하므로 보안 팀과 보안 운영 센터(SOC)는 끊임없이 증가하고 형태가 변하는 공격 표면에 맞서 사전 예방적 보안 태세를 유지할 수 있습니다. ASM 솔루션은 취약성과 공격 벡터가 등장할 경우 이에 관한 실시간 가시성을 제공합니다. ASM 솔루션은 취약성을 분석하고 우선 순위를 지정할 때 배경 정보를 얻기 위해 기존의 리스크 평가 및 취약성 관리 툴과 프로세스에서 얻은 정보를 활용할 수 있습니다. 그리고 위협을 더 효과적으로 완화하고 전사적으로 위협 대응 속도를 높이기 위해 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 감지 및 대응(EDR) 또는 확장 감지 및 대응(XDR)과 같은 위협 감지 및 대응 기술을 통합할 수 있습니다.
ASM은 자산 발견, 분류 및 우선 순위 지정, 문제 해결, 모니터링이라는 네 가지 핵심 프로세스로 구성됩니다. 다시 말하지만, 디지털 공격 표면의 크기와 형태가 끊임없이 변하므로 프로세스는 지속적으로 실행되며 ASM 솔루션은 가능한 경우 언제든지 이러한 프로세스를 자동화합니다. ASM의 목표는 보안 팀이 항상 노출된 자산을 완벽하게 파악하고 이에 관한 최신 목록을 유지하도록 지원하며, 조직에 가장 큰 리스크를 제기하는 취약성과 위협에 대한 대응 속도를 높이는 것입니다.
자산 검색
자산 검색은 조직을 공격하려고 시도하는 해커 또는 사이버 범죄자에게 진입 지점 역할을 수행할 수 있는 인터넷에 연결된 하드웨어, 소프트웨어, 클라우드 자산을 지속적으로 자동 검색하고 식별합니다. 이러한 자산의 예는 다음과 같습니다.
분류, 분석 및 우선 순위 지정
자산이 식별된 후 분류 및 분석을 통해 취약성을 결정하고 '공격 가능성'에 따라 우선 순위를 지정합니다. '공격 가능성'은 해커가 조직을 표적으로 삼을 가능성을 측정하는 객관적 기준입니다.
그 다음, ID, IP 주소, 소유권, IT 인프라 내 다른 자산과의 연결을 기준으로 자산 목록을 작성합니다. 분석을 통해 가능한 노출과 이러한 노출의 원인(예: 구성 오류, 코딩 오류, 패치 누락), 해커가 이러한 노출을 통해 수행할 수 있는 공격 유형(예: 민감한 데이터 도난, 랜섬웨어 또는 기타 멀웨어 확산)을 확인합니다.
그 다음, 문제 해결을 위해 취약성의 우선 순위를 정합니다. 우선 순위 지정은 리스크 평가 활동입니다. 일반적으로 각 취약성에는 다음 항목을 기준으로 보안 등급 또는 리스크 점수가 부여됩니다.
문제 해결
일반적으로 우선 순위에 따라 취약성 문제를 해결합니다. 이 활동에는 다음과 같은 작업이 수반됩니다.
또한 문제 해결에는 최소 권한 액세스 또는 다단계 인증(MFA) 실행 등 취약성 해결을 위한 더 광범위한 자산 간 조치도 포함될 수 있습니다.
모니터링
공격 표면의 보안 리스크는 새로운 자산이 배포되거나 기존 자산이 새로운 방식으로 배포되면 언제든 변경되므로 목록으로 파악된 네트워크의 자산과 네트워크 자체 모두 지속적으로 모니터링하고 취약성이 있는지 검색합니다. 지속적 모니터링을 통해 ASM은 새로운 취약성과 공격 벡터를 실시간으로 감지 및 평가하고, 보안 팀에게 즉시 관심을 가져야 하는 새로운 취약성을 알려줍니다.
디지털 발자국의 확장을 관리하고 거짓 긍정을 줄임으로써 목표를 달성하여 조직의 사이버 레질리언스를 빠르게 개선할 수 있습니다.
도구를 연결하고, 보안 운영 센터(SOC)를 자동화하며, 가장 중요한 과제에 전념할 수 있는 시간을 확보합니다.
가장 중요한 자산을 노출시킬 수 있는 결함을 식별하고 우선 순위를 지정하며 그 해결 방법을 관리하는 취약성 관리 프로그램을 도입하세요.
조직의 공격 표면은 조직의 사이버 보안 취약성의 합을 말합니다.
내부자 위협은 회사의 자산에 대한 액세스 권한이 있는 사용자가 의도적으로 또는 실수로 자산을 침해하는 경우에 발생합니다.
제로 트러스트 접근 방식을 따르려면 네트워크 외부 또는 내부의 모든 사용자가 애플리케이션과 데이터에 대한 액세스를 얻고 이를 유지하기 위해 인증을 받고, 권한을 획득하고, 지속적으로 검증을 받아야 합니다.
멀웨어는 컴퓨터 또는 네트워크를 손상 또는 파괴하거나 컴퓨터, 네트워크, 데이터에 대한 무단 액세스를 제공하기 위해 작성된 소프트웨어 코드입니다.
클라우드 컴퓨팅 환경 및 워크로드 보안을 위한 가이드입니다.
데이터 보안은 라이프사이클 전체에서 도난, 손상 또는 무단 액세스로부터 디지털 정보를 보호하는 활동입니다.