공격의 신나는 교육 사용 시작
팁
Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
Office 365용 Microsoft Defender 플랜 2(추가 기능 라이선스 또는 Microsoft 365 E5 같은 구독에 포함)가 있는 조직에서는 Microsoft Defender 포털의 공격 시뮬레이션 훈련 사용하여 실제 공격 시나리오를 실행할 수 있습니다. organization. 이러한 시뮬레이션된 공격은 실제 공격이 수익에 영향을 미치기 전에 취약한 사용자를 식별하고 찾는 데 도움이 될 수 있습니다.
이 문서에서는 공격 시뮬레이션 훈련 기본 사항을 설명합니다.
공격 시뮬레이션 훈련 대한 자세한 내용은 이 짧은 비디오를 시청하세요.
참고
공격 시뮬레이션 훈련 위협 관리> 공격 시뮬레이터 또는 https://protection.office.com/attacksimulator의 보안 & 규정 준수 센터에서 사용할 수 있었던 이전공격 시뮬레이터 v1 환경을 대체합니다.
시작하기 전에 알아야 할 사항은 무엇인가요?
공격 시뮬레이션 훈련 Microsoft 365 E5 또는 Office 365용 Microsoft Defender 플랜 2 라이선스가 필요합니다. 라이선스 요구 사항에 대한 자세한 내용은 라이선스 조건을 참조하세요.
공격 시뮬레이션 훈련 온-프레미스 사서함을 지원하지만 보고 기능이 줄어듭니다. 자세한 내용은 온-프레미스 사서함 관련 문제 보고를 참조하세요.
Microsoft Defender 포털을 열려면 로 https://security.microsoft.com이동합니다. 공격 시뮬레이션 훈련 Email 및 공동 작업>공격 시뮬레이션 훈련 사용할 수 있습니다. 공격 시뮬레이션 훈련 직접 이동하려면 를 사용합니다https://security.microsoft.com/attacksimulator.
다양한 Microsoft 365 구독에서 공격 시뮬레이션 훈련 가용성에 대한 자세한 내용은 Office 365용 Microsoft Defender 서비스 설명을 참조하세요.
이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.
Microsoft Entra 권한: 다음 역할 중 하나의 멤버 자격이 필요합니다.
- 전역 관리자
- 보안 관리자
- 공격 시뮬레이션 관리자²: 공격 시뮬레이션 캠페인의 모든 측면을 만들고 관리합니다.
- 공격 페이로드 작성자²: 관리자가 나중에 시작할 수 있는 공격 페이로드를 만듭니다.
중요
microsoft는 가장 적은 권한으로 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
² Microsoft Defender 포털의 Email & 공동 작업 권한에서 이 역할 그룹에 사용자를 추가하는 것은 현재 지원되지 않습니다.
현재 MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)는 지원되지 않습니다.
공격 시뮬레이션 훈련 해당하는 PowerShell cmdlet이 없습니다.
공격 시뮬레이션 및 학습 관련 데이터는 Microsoft 365 서비스에 대한 다른 고객 데이터와 함께 저장됩니다. 자세한 내용은 Microsoft 365 데이터 위치를 참조하세요. 공격 시뮬레이션 훈련 APC, EUR 및 NAM 지역에서 사용할 수 있습니다. 공격 시뮬레이션 훈련 사용할 수 있는 이러한 지역 내의 국가에는 ARE, AUS, BRA, CAN, CHE, DEU, ESP, FRA, GBR, IND, ISR, ITA, JPN, KOR, LAM, MEX, NOR, POL, QAT, SGP, SWE, TWN 및 ZAF가 포함됩니다.
참고
NOR, ZAF, ARE 및 DEU는 최신 추가 사항입니다. 보고된 전자 메일 원격 분석을 제외한 모든 기능은 이러한 지역에서 사용할 수 있습니다. 기능을 사용하도록 설정하기 위해 노력하고 있으며, 보고된 이메일 원격 분석을 사용할 수 있게 되는 즉시 고객에게 알릴 것입니다.
microsoft 365 GCC, GCC High 및 DoD 환경에서는 공격 시뮬레이션 훈련 사용할 수 있지만 GCC High 및 DoD에서는 특정 고급 기능을 사용할 수 없습니다(예: 페이로드 자동화, 권장 페이로드, 예측된 손상된 속도). organization Microsoft 365 G5, Office 365 G5 또는 정부용 Office 365용 Microsoft Defender(플랜 2)가 있는 경우 이 문서에 설명된 대로 공격 시뮬레이션 훈련 사용할 수 있습니다.
참고
공격 시뮬레이션 훈련 E3 고객에게 평가판으로 기능의 하위 집합을 제공합니다. 평가판 제품에는 자격 증명 수확 페이로드를 사용하는 기능과 'ISA 피싱' 또는 '매스 마켓 피싱' 교육 환경을 선택할 수 있는 기능이 포함되어 있습니다. E3 평가판 제품에는 다른 기능이 포함되지 않습니다.
시뮬레이션
공격 시뮬레이션 훈련 시뮬레이션은 현실적이지만 무해한 피싱 메시지를 사용자에게 전달하는 전체 캠페인입니다. 시뮬레이션의 기본 요소는 다음과 같습니다.
- 시뮬레이션된 피싱 메시지를 받는 사람 및 일정에 따라
- 사용자가 시뮬레이션된 피싱 메시지에 대한 작업 또는 작업 부족(올바르고 잘못된 작업 모두)에 따라 학습합니다.
- 시뮬레이션된 피싱 메시지(링크 또는 첨부 파일)에 사용되는 페이로드 및 피싱 메시지의 컴퍼지션(예: 패키지 배달, 계정 문제 또는 상금 획득).
- 사용되는 사회 공학 기술 입니다. 페이로드 및 소셜 엔지니어링 기술은 밀접하게 관련되어 있습니다.
공격 시뮬레이션 훈련 여러 유형의 소셜 엔지니어링 기술을 사용할 수 있습니다. 방법 가이드를 제외하고 이러한 기술은 MITRE ATT&CK® 프레임워크에서 큐레이팅되었습니다. 다양한 기술에 다양한 페이로드를 사용할 수 있습니다.
다음과 같은 소셜 엔지니어링 기술을 사용할 수 있습니다.
자격 증명 수확: 공격자가 받는 사람에게 링크*가 포함된 메시지를 보냅니다. 받는 사람이 링크를 클릭하면 일반적으로 사용자에게 사용자 이름과 암호를 요청하는 대화 상자가 표시되는 웹 사이트로 이동됩니다. 일반적으로 대상 페이지는 사용자에 대한 신뢰를 구축하기 위해 잘 알려진 웹 사이트를 나타내는 테마입니다.
맬웨어 첨부 파일: 공격자가 받는 사람에게 첨부 파일이 포함된 메시지를 보냅니다. 받는 사람이 첨부 파일을 열면 공격자가 추가 코드를 설치하거나 추가 코드를 설치할 수 있도록 사용자의 디바이스에서 임의의 코드(예: 매크로)가 실행됩니다.
첨부 파일의 링크: 이 기술은 자격 증명 수집의 하이브리드입니다. 공격자가 받는 사람에게 첨부 파일 내부의 링크가 포함된 메시지를 보냅니다. 받는 사람이 첨부 파일을 열고 링크를 클릭하면 일반적으로 사용자에게 사용자 이름과 암호를 요청하는 대화 상자를 표시하는 웹 사이트로 이동합니다. 일반적으로 대상 페이지는 사용자에 대한 신뢰를 구축하기 위해 잘 알려진 웹 사이트를 나타내는 테마입니다.
맬웨어*에 대한 링크: 공격자는 잘 알려진 파일 공유 사이트(예: SharePoint Online 또는 Dropbox)의 첨부 파일에 대한 링크가 포함된 메시지를 받는 사람에게 보냅니다. 받는 사람이 링크를 클릭하면 첨부 파일이 열리고 사용자의 디바이스에서 임의의 코드(예: 매크로)가 실행되어 공격자가 추가 코드를 설치하거나 추가 코드를 설치하는 데 도움이 됩니다.
드라이브 바이 URL*: 공격자가 받는 사람에게 링크가 포함된 메시지를 보냅니다. 받는 사람이 링크를 클릭하면 백그라운드 코드를 실행하려는 웹 사이트로 이동됩니다. 이 백그라운드 코드는 수신자에 대한 정보를 수집하거나 장치에 임의 코드를 배포하려고 시도합니다. 일반적으로 대상 웹 사이트는 손상된 잘 알려진 웹 사이트 또는 잘 알려진 웹 사이트의 복제본입니다. 웹 사이트에 대해 잘 알고 있으면 링크를 클릭해도 안전하다고 사용자를 설득할 수 있습니다. 이 기술은 물 구멍 공격으로도 알려져 있습니다.
OAuth 동의 부여*: 공격자는 데이터에 액세스하려는 악의적인 Azure 애플리케이션 만듭니다. 애플리케이션은 링크가 포함된 이메일 요청을 보냅니다. 받는 사람이 링크를 클릭하면 애플리케이션의 동의 부여 메커니즘에서 데이터에 대한 액세스 권한을 요청합니다(예: 사용자의 받은 편지함).
방법 가이드: 사용자에 대한 지침(예: 피싱 메시지를 보고하는 방법)이 포함된 교육 가이드입니다.
* 링크는 URL 또는 QR 코드일 수 있습니다.
공격 시뮬레이션 훈련 사용하는 URL은 다음 표에 나와 있습니다.
참고
피싱 캠페인에서 URL을 사용하기 전에 지원되는 웹 브라우저에서 시뮬레이션된 피싱 URL의 가용성을 확인합니다. 자세한 내용은 Google 안전 검색에 의해 차단된 피싱 시뮬레이션 URL을 참조하세요.
시뮬레이션 만들기
시뮬레이션을 만들고 시작하는 방법에 대한 지침은 피싱 공격 시뮬레이션을 참조하세요.
시뮬레이션의 방문 페이지는 사용자가 페이로드를 열 때 이동하는 위치입니다. 시뮬레이션을 만들 때 사용할 방문 페이지를 선택합니다. 기본 제공 방문 페이지, 이미 만든 사용자 지정 방문 페이지 중에서 선택하거나 시뮬레이션을 만드는 동안 사용할 새 방문 페이지를 만들 수 있습니다. 방문 페이지를 만들려면 공격 시뮬레이션 훈련 방문 페이지를 참조하세요.
시뮬레이션의 최종 사용자 알림은 사용자에게 주기적인 미리 알림(예: 학습 할당 및 미리 알림 알림)을 보냅니다. 기본 제공 알림, 이미 만든 사용자 지정 알림 중에서 선택하거나 시뮬레이션을 만드는 동안 사용할 새 알림을 만들 수 있습니다. 알림을 만들려면 공격 시뮬레이션 훈련 대한 최종 사용자 알림을 참조하세요.
팁
시뮬레이션 자동화는 기존 시뮬레이션보다 다음과 같은 향상된 기능을 제공합니다.
- 시뮬레이션 자동화에는 여러 소셜 엔지니어링 기술 및 관련 페이로드가 포함될 수 있습니다(시뮬레이션에는 하나만 포함됨).
- 시뮬레이션 자동화는 자동화된 예약 옵션(시뮬레이션의 시작 날짜 및 종료 날짜 이상)을 지원합니다.
자세한 내용은 공격 시뮬레이션 훈련 대한 시뮬레이션 자동화를 참조하세요.
페이로드
공격 시뮬레이션 훈련 사용 가능한 소셜 엔지니어링 기술에 대한 많은 기본 제공 페이로드가 포함되어 있지만 기존 페이로드 복사 및 사용자 지정을 포함하여 비즈니스 요구에 더 잘 맞는 사용자 지정 페이로드를 만들 수 있습니다. 시뮬레이션을 만들기 전이나 시뮬레이션을 만드는 동안 언제든지 페이로드를 만들 수 있습니다. 페이로드를 만들려면 공격 시뮬레이션 훈련 대한 사용자 지정 페이로드 만들기를 참조하세요.
자격 증명 수집 또는 첨부 파일 소셜 엔지니어링 기술의 링크를 사용하는 시뮬레이션에서 로그인 페이지는 선택한 페이로드의 일부입니다. 로그인 페이지는 사용자가 자격 증명을 입력하는 웹 페이지입니다. 적용 가능한 각 페이로드는 기본 로그인 페이지를 사용하지만 사용되는 로그인 페이지를 변경할 수 있습니다. 기본 제공 로그인 페이지, 이미 만든 사용자 지정 로그인 페이지 중에서 선택하거나 시뮬레이션 또는 페이로드를 만드는 동안 사용할 새 로그인 페이지를 만들 수 있습니다. 로그인 페이지를 만들려면 공격 시뮬레이션 훈련 로그인 페이지를 참조하세요.
시뮬레이션된 피싱 메시지에 가장 적합한 학습 환경은 organization 발생할 수 있는 실제 피싱 공격에 최대한 가깝게 만드는 것입니다. Microsoft 365에서 감지된 무해한 버전의 실제 피싱 메시지를 캡처하고 사용하여 시뮬레이션된 피싱 캠페인에 사용할 수 있다면 어떻게 해야 할까요? 페이로드 자동화(페이로드 수집이라고도 함)를 사용할 수 있습니다. 페이로드 자동화를 만들려면 공격 시뮬레이션 훈련 대한 페이로드 자동화를 참조하세요.
또한 공격 시뮬레이션 훈련 페이로드에서 QR 코드 사용을 지원합니다. 기본 제공 QR 코드 페이로드 목록에서 선택하거나 사용자 지정 QR 코드 페이로드를 만들 수 있습니다. 자세한 내용은 공격 시뮬레이션 훈련 QR 코드 페이로드를 참조하세요.
보고서 및 인사이트
시뮬레이션을 만들고 실행한 후에는 시뮬레이션이 어떻게 진행되는지 확인해야 합니다. 예시:
- 모두가 그것을 받았습니까?
- 시뮬레이션된 피싱 메시지와 그 안의 페이로드(삭제, 보고, 페이로드 열기, 자격 증명 입력 등)에 대한 작업을 누가 했나요?
- 할당된 교육을 완료한 사람.
공격 시뮬레이션 훈련 사용 가능한 보고서 및 인사이트는 공격 시뮬레이션 훈련 대한 인사이트 및 보고서에 설명되어 있습니다.
예측된 손상률
특정 대상 그룹에 대해 시뮬레이션된 피싱 캠페인을 조정해야 하는 경우가 많습니다. 피싱 메시지가 완벽에 너무 가깝으면 거의 모든 사람이 속을 것입니다. 너무 의심스럽다면 속지 않을 것입니다. 또한 일부 사용자가 식별하기 어렵다고 생각하는 피싱 메시지는 다른 사용자가 쉽게 식별할 수 있는 것으로 간주됩니다. 그렇다면 어떻게 균형을 맞출 수 있을까요?
예측된 손상률(PCR)은 페이로드가 시뮬레이션에 사용될 때의 잠재적 효과를 나타냅니다. PCR은 Microsoft 365에서 지능형 기록 데이터를 사용하여 페이로드에 의해 손상될 사람들의 비율을 예측합니다. 예시:
- 콘텐츠 페이로드.
- 다른 시뮬레이션에서 집계되고 익명화된 손상률입니다.
- 메타데이터를 페이로드합니다.
PCR을 사용하면 피싱 시뮬레이션에 대해 예측된 클릭률과 실제 클릭률을 비교할 수 있습니다. 이 데이터를 사용하여 예측된 결과와 비교하여 organization 수행하는 방식을 확인할 수도 있습니다.
페이로드에 대한 PCR 정보는 페이로드를 보고 선택하는 위치와 다음 보고서 및 인사이트에서 사용할 수 있습니다.
팁
공격 시뮬레이터는 안전한 링크 정책에서 사용자 클릭 추적 설정이 꺼져 있더라도 Office 365용 Defender 안전한 링크를 사용하여 피싱 캠페인의 대상 수신자에게 전송되는 페이로드 메시지의 URL에 대한 클릭 데이터를 안전하게 추적합니다.
트릭 없이 학습
기존 피싱 시뮬레이션은 사용자에게 의심스러운 메시지와 다음 목표를 제시합니다.
- 사용자가 메시지를 의심스러운 것으로 보고하도록 합니다.
- 사용자가 시뮬레이션된 악성 페이로드를 클릭하거나 시작하고 자격 증명을 포기한 후 학습을 제공합니다.
그러나 학습을 제공하기 전에 사용자가 올바르거나 잘못된 작업을 수행할 때까지 기다리지 않으려는 경우가 있습니다. 공격 시뮬레이션 훈련 대기를 건너뛰고 학습으로 바로 이동하는 다음 기능을 제공합니다.
교육 캠페인: 교육 캠페인은 대상 사용자를 위한 교육 전용 과제입니다. 시뮬레이션 테스트를 통해 사용자를 배치하지 않고 학습을 직접 할당할 수 있습니다. 교육 캠페인을 사용하면 월간 사이버 보안 인식 교육과 같은 학습 세션을 쉽게 수행할 수 있습니다. 자세한 내용은 공격 시뮬레이션 훈련 캠페인 교육을 참조하세요.
시뮬레이션의 방법 가이드: 방법 가이드 소셜 엔지니어링 기술을 기반으로 하는 시뮬레이션은 사용자를 테스트하려고 시도하지 않습니다. 방법 가이드는 사용자가 받은 편지함에서 직접 볼 수 있는 간단한 학습 환경입니다. 예를 들어 다음과 같은 기본 제공 방법 가이드 페이로드를 사용할 수 있으며 기존 페이로드 복사 및 사용자 지정을 포함하여 고유한 페이로드를 만들 수 있습니다.
- 교육 가이드: 피싱 메시지를 보고하는 방법
- 교육 가이드: QR 피싱 메시지를 인식하고 보고하는 방법
팁
공격 시뮬레이션 훈련 QR 코드 기반 공격에 대해 다음과 같은 기본 제공 학습 옵션을 제공합니다.
- 학습 모듈:
- 악성 디지털 QR 코드
- 악의적인 인쇄 QR 코드
- 시뮬레이션의 방법 가이드: 교육 가이드: QR 피싱 메시지를 인식하고 보고하는 방법