게시일: 2023년 12월 18일
기고자: Teaganne Finn, Amanda Downie
블루팀은 조직을 위협하고 보안 태세를 강화할 수 있는 레드팀을 포함한 사이버 공격자를 방어하는 내부 IT 보안 팀입니다.
블루팀의 임무는 비즈니스 목표를 잘 이해하고 조직의 보안 조치를 개선하기 위해 끊임없이 노력함으로써 항상 조직의 자산을 보호하는 것입니다.
블루팀의 목표는 다음과 같습니다.
1. 디지털 발자국 분석 및 위험 인텔리전스 분석을 통해 취약점과 잠재적인 보안 인시던트를 식별하고 완화합니다.
2. DNS(도메인 네임 서버), 인시던트 대응 및 복구 등 정기적인 보안 감사를 실시합니다.
3. 모든 직원에게 잠재적인 사이버 위협에 대해 교육합니다.
IBM® Security Randori의 잠재적 비용 절감 및 비즈니스 이점을 예측해 보세요.
IBM 뉴스레터 구독하기
블루팀이 어떻게 운영되는지 설명하는 가장 좋은 방법은 축구팀에 비유하는 것입니다. 조직의 사이버 보안 전문가로 구성된 블루팀은 피싱 공격 및 의심스러운 활동과 같은 모든 잠재적 위협으로부터 조직을 방어하는 역할을 합니다. 블루팀의 업무, 즉 방어선의 첫 번째 단계 중 하나는 조직의 보안 전략을 이해하고 실제 공격에 대한 방어 계획을 수립하는 데 필요한 데이터를 수집하는 것입니다.
방어 계획에 앞서 블루팀은 보호가 필요한 영역에 관한 모든 정보를 수집하고 위험 평가를 수행합니다. 이 테스트 기간 동안 블루팀은 DNS 감사 및 네트워크 트래픽 샘플 캡처와 함께 중요 자산을 식별하고 각 자산의 중요도를 기록합니다. 이러한 자산이 식별되면 위험 평가를 수행하여 각 자산에 대한 위협과 눈에 보이는 약점 또는 구성 문제가 있을 수 있는 부분을 식별할 수 있습니다. 이것은 마치 축구팀에서 코치와 선수들이 지난 경기에서 무엇이 잘됐고 무엇이 잘못되었는지에 대해 토론하는 것과 같습니다.
평가가 완료되면 블루팀은 직원들에게 안전 절차에 대한 추가 교육을 실시하고 비밀번호 규칙을 강화하는 등 안전 조치를 취합니다. 축구로 비유하자면 새로운 전략을 만들어 이 전략이 얼마나 잘 작동하는지 테스트하는 것과 같습니다. 방어 계획이 수립된 후 블루팀의 역할은 침입 징후를 감지하고, 경고를 조사하고, 비정상적인 활동에 대응할 수 있는 모니터링 도구를 도입하는 것입니다.
블루팀은 다양한 대응책과 위협 인텔리전스를 활용해 사이버 공격으로부터 네트워크를 보호하고 전반적인 보안 태세를 강화하는 방법을 파악하기 시작합니다.
블루팀 구성원은 지속적으로 잠재적인 취약성을 찾아내고 새롭게 등장하는 위협에 대해 기존 보안 조치를 테스트해야 합니다. 다음은 블루팀 구성원이 갖추어야 할 몇 가지 기술과 도구입니다.
블루팀 구성원은 방화벽, 피싱, 보안 네트워크 아키텍처, 취약성 평가, 위협 모델링 등 사이버 보안의 일부 개념에 대한 기본적인 이해를 갖추고 있어야 합니다.
블루팀 구성원은 Linux, Windows, macOS와 같은 운영 체제에 대해 깊이 이해하고 있어야 합니다.
인시던트 발생 시기와 발생 상황에 대비하는 것이 중요합니다. 블루팀 구성원은 인시던트 대응 계획을 개발하고 실행하는 기술을 갖추고 있어야 합니다.
안티바이러스 소프트웨어 및 SIEM 시스템과 함께 방화벽, 침입 탐지 시스템/예방 시스템(IDS/IPS)과 같은 보안 도구를 능숙하게 사용할 수 있어야 합니다. SIEM 시스템은 네트워크 활동을 수집하기 위해 실시간 데이터 검색을 수행합니다. 또한 엔드포인트 보안 소프트웨어를 설치하고 구성할 수 있어야 합니다.
블루팀은 높은 수준의 위협에 집중하도록 구성되었으며 탐지 및 대응 기술과 관련하여 매우 철저해야 합니다.
이제 강력한 블루팀을 구성하고 조직의 방어를 감사했으므로 이를 실행에 옮길 차례입니다. 레드팀 또는 공격 보안 팀이 네트워크 보안을 테스트하기 위해 개입하는 단계입니다. 레드팀 훈련은 조직의 시스템 보안을 평가하기 위한 독립적인 윤리적 해커인 보안 전문가 그룹으로 정의할 수 있습니다.
레드팀은 보안 위험을 평가하는 방법으로 조직의 자체 시스템에 대해 실제 공격자의 전술, 기법 및 절차(TTP)를 시뮬레이션합니다. 모의 침투 테스트를 수행함으로써 조직은 인력과 프로세스가 조직의 자산에 대한 공격에 얼마나 잘 대처할 수 있는지 더 잘 파악할 수 있습니다. 또한 레드팀원은 모의 공격 중에 맬웨어를 배포하여 블루팀의 보안 방어를 테스트하거나 소셜 엔지니어링을 활용하여 블루팀원이 정보를 공유하도록 유도할 수 있습니다.
레드팀의 주요 목표는 테스터가 블루팀의 방어를 눈치채지 못하게 우회하도록 하는 것입니다. 레드팀과 블루팀은 둘 다 동일한 목적을 위해 일하지만 완전히 다른 두 가지 접근 방식을 사용하기 때문에 공생 관계를 맺고 있습니다. 두 사람이 함께 일할 때 이를 흔히 퍼플팀이라고 합니다. 보안을 개선하기 위한 새로운 기술이 등장할 때마다 블루팀의 역할은 최신 정보를 파악하고 나아가 새로운 정보를 레드팀과 공유하는 것입니다.
두 팀 모두 레드/블루팀 연습과 테스트를 완료하면 다음 단계는 그 결과를 보고하는 것입니다. 이들은 협력하여 계획을 수립하고 조직을 보호하는 데 필요한 보안 제어를 구현합니다.
블루팀 테스트는 조직의 위협 탐지에 막대한 가치를 제공하며, 따라서 우수한 대응 능력을 갖춘 보안 시스템을 구축하고 실행하는 데 필요한 기술을 갖춘 블루팀을 구성하는 것이 중요합니다.
IBM Security Randori Recon을 통해 공격자보다 먼저 외부 공격 표면의 위험과 예상치 못한 사각지대를 발견하세요.
조직에 대한 공격을 시뮬레이션하여 위험 탐지 및 인시던트 대응을 테스트, 측정 및 개선합니다.
IBM® X-Force Red로 조직의 취약점이 어디에 있는지 확인하세요. 도구와 기술을 사용하여 공격자보다 앞서 나가고 가장 중요한 데이터를 보호할 수 있도록 도와줍니다.
IBM이 Forrester Consulting에 의뢰하여 총경제효과(TEI) 연구를 수행하고 기업이 Randori를 배포하여 실현할 수 있는 잠재적 투자수익률(ROI)을 조사한 방법을 읽어보세요.
IBM® Security X-Force Threat Intelligence Index 2023은 CISO, 보안팀 및 비즈니스 리더에게 실행 가능한 인사이트를 제공합니다. 어떻게 이를 통해 위협 행위자가 공격을 수행하는 방식과 조직을 선제적으로 보호하는 방법을 이해할 수 있는지 알아보세요.
공격자처럼 공격 표면을 볼 수 있습니다. IBM Security Randori Recon은 공격자의 관점에서 지속적인 자산 검색 및 문제 우선순위 지정을 제공합니다.
2023년 데이터 유출 비용 보고서의 종합 결과를 살펴보세요. 데이터 유출 피해를 입은 550개 이상의 조직의 경험에서 교훈을 얻으세요.
조직을 사이버 공격으로부터 보호할 수 있도록 X-Force가 제공하는 기능에 대해 자세히 알아보세요.
사이버 인시던트에 대비하여 팀을 교육하고, 사이버 범위에서 제공하는 다른 서비스를 통해 조직이 전체 비즈니스 위기 대응에 대비할 수 있는지 확인하세요.