제로 트러스트를 통한 가시성, 자동화 및 오케스트레이션

  • 아티클

제로 트러스트 보안 프레임워크의 특징인 관점의 중요한 변화 중 하나는 기본적으로 신뢰에서 예외별 신뢰로 전환하는 것입니다. 그러나 신뢰가 필요하면 신뢰할 수 있는 방법이 필요합니다. 더 이상 요청을 신뢰할 수 있다고 가정하지 않으므로 해당 요청의 신뢰성을 증명하는 수단을 설정하는 것은 해당 시점 신뢰성을 증명하는 데 매우 중요합니다. 이 증명에는 요청 시 작업 및 요청과 관련된 작업에 대한 가시성을 얻을 수 있는 기능이 필요합니다.

다른 제로 트러스트 가이드에서는 ID, 엔드포인트 및 디바이스, 데이터, 앱, 인프라네트워크에서 엔드 투 엔드 제로 트러스트 접근 방식을 구현하는 방법을 정의했습니다. 이러한 모든 투자는 가시성을 높여 신뢰를 결정하는 데 더 나은 데이터를 제공합니다. 그러나 이러한 6개 영역에서 제로 트러스트 접근 방식을 채택하면 SOC(보안 운영 센터) 분석가가 완화해야 하는 인시던트 수를 반드시 늘릴 수 있습니다. 분석가는 이미 인재가 부족한 시기에 그 어느 때보다 바쁘게 됩니다. 이로 인해 만성적인 경고 피로와 분석가가 중요한 경고를 누락할 수 있습니다.

위협을 관리하는 통합 기능 다이어그램.

이러한 개별 영역 각각에서 고유한 관련 경고를 생성하므로 위협으로부터 더 효율적으로 방어하고 트랜잭션에 대한 신뢰의 유효성을 검사하기 위해 결과적으로 유입되는 데이터를 관리할 수 있는 통합 기능이 필요합니다.

필요한 기능은 다음과 같습니다.

  • 위협 및 취약성을 검색합니다.
  • 조사하기.
  • 응답.
  • 사냥.
  • 위협 분석을 통해 추가 컨텍스트를 제공합니다.
  • 취약성 평가
  • 세계적 수준의 전문가로부터 도움 받기
  • 핵심 요소 간에 이벤트가 발생하지 않도록 방지하거나 차단합니다.

위협 관리에는 사후 탐지 및 자동 관리 탐지가 포함되며, 둘 모두를 지원하는 도구가 필요합니다.

사후 감지 는 조사할 수 있는 6가지 핵심 요소 중 하나에서 인시던트가 트리거되는 경우입니다. 또한 SIEM과 같은 관리 제품은 데이터를 보강하고 상관 관계를 지정하는 다른 분석 계층을 지원하여 인시던트의 플래그를 불량으로 지정합니다. 다음 단계는 공격에 대한 자세한 설명을 얻기 위해 조사하는 것입니다.

자동 관리 검색 은 손상된 가설을 증명하기 위해 데이터에 헌팅을 적용하는 경우입니다. 위협 헌팅은 위반되었다는 가정으로 시작됩니다. 실제로 위반이 있다는 증거를 찾습니다.

위협 헌팅은 COVID-19 피싱 공격과 같은 현재 위협에 기반한 가설로 시작됩니다. 분석가는 이 가상의 위협부터 시작하여 손상의 주요 지표를 식별하고 데이터를 검색하여 환경이 손상되었다는 증거가 있는지 확인합니다. 지표가 있는 경우 헌팅 시나리오로 인해 특정 지표가 다시 발생할 경우 조직에 알리는 분석이 발생할 수 있습니다.

어느 쪽이든, 인시던트가 감지되면 공격의 전체 스토리를 작성하기 위해 인시던트를 조사해야 합니다. 사용자가 다른 작업을 수행했나요? 어떤 다른 시스템이 관련되었습니까? 실행된 실행 파일은 무엇인가요?

조사한 결과 실행 가능한 학습이 수행되면 수정 단계를 수행할 수 있습니다. 예를 들어 조사를 통해 제로 트러스트 배포에서 차이가 있다고 확인되면 이러한 차이를 해결하고 향후 원치 않는 인시던트를 방지하도록 정책을 수정할 수 있습니다. SOC 분석가가 위협을 해결하고 다음 인시던트로 이동하는 데 걸리는 시간을 줄이므로 가능한 경우 수정 단계를 자동화하는 것이 좋습니다.

위협 평가의 또 다른 핵심 구성 요소는 수집된 데이터에 대해 알려진 위협 인텔리전스를 통합하는 것입니다. IP, 해시, URL, 파일, 실행 파일 등이 잘못된 것으로 알려진 경우 이를 식별하고, 조사하고, 수정할 수 있습니다.

인프라 핵심 요소에서는 취약성을 해결하는 데 시간이 걸렸습니다. 시스템이 취약한 것으로 알려져 있고 위협이 해당 취약성을 이용한 경우 이를 감지, 조사 및 수정할 수 있습니다.

이러한 전술을 사용하여 위협을 관리하려면 SOC 관리자가 위협 인텔리전스를 탐지, 조사, 수정, 헌팅 및 활용하고, 알려진 취약성을 파악하며, 위협 전문가의 지원을 받고, 6가지 핵심 요소 중 하나에서 위협을 차단할 수 있는 중앙 콘솔이 있어야 합니다. 이러한 단계를 지원하는 데 필요한 도구는 단일 워크플로로 통합되면 최상으로 작동하므로 SOC 분석가의 효율성을 높일 수 있는 원활한 환경을 제공합니다.

보안 운영 센터에서는 SIEM 및 SOAR 기술의 조합을 배포하여 위협을 수집, 탐지, 조사 및 대응하는 경우가 많습니다. Microsoft는 Microsoft Sentinel을 서비스 제공 SIEM(SIEM-as-a-Service) 제품으로 제공합니다. Microsoft Sentinel은 모든 Microsoft Defender for Identity 및 타사 데이터를 수집합니다.

Microsoft Sentinel의 핵심 피드인 MTP(Microsoft Threat Protection)는 모든 Microsoft 365 구성 요소에서 컨텍스트 인식 보호, 탐지 및 대응을 제공하는 통합 엔터프라이즈 방어 제품군을 제공합니다. 컨텍스트 인식 및 조정을 통해 Microsoft 365를 사용하는 고객은 엔드포인트, 공동 작업 도구, ID 및 애플리케이션에서 가시성과 보호를 얻을 수 있습니다.

이 계층 구조를 통해 고객의 집중력을 극대화할 수 있습니다. 컨텍스트 인식 및 자동화된 수정이지만 MTP는 이미 오버로드된 SOC 담당자에게 경고 피로를 더하지 않고도 많은 위협을 감지하고 중지할 수 있습니다. MTP 내부의 고급 헌팅은 이러한 컨텍스트를 사냥에 가져와 많은 주요 공격 지점에 집중합니다. 그리고 Microsoft Sentinel을 통해 전체 에코시스템에서 헌팅 및 오케스트레이션을 수행하면 운영자의 인지 오버로드를 최소화하면서 유형이 다른 환경의 모든 측면에 대한 올바른 가시성을 얻을 수 있는 기능이 제공됩니다.

가시성, 자동화 및 오케스트레이션에 대한 제로 트러스트 배포 목표

가시성, 자동화 및 오케스트레이션에 대한 엔드투엔드 제로 트러스트 프레임워크를 구현하는 경우 먼저 다음과 같은 초기 배포 목표에 집중하는 것이 좋습니다.

하나의 검사 표시가 있는 목록 아이콘입니다.

I.Establish visibility.

Ii.자동화를 사용하도록 설정합니다.

이러한 목표가 완료되면 다음과 같은 추가 배포 목표에 집중합니다.

두 개의 검사 표시가 있는 목록 아이콘입니다.

Iii.추가 보호 및 검색 컨트롤을 사용하도록 설정합니다.

표시 유형, 자동화 및 오케스트레이션 제로 트러스트 배포 가이드

이 가이드에서는 제로 트러스트 보안 프레임워크의 원칙에 따라 가시성, 자동화 및 오케스트레이션을 관리하는 데 필요한 단계를 안내합니다.




하나의 검사 표시가 있는 검사 목록 아이콘입니다.

초기 배포 목표

9\. 가시성 설정

첫 번째 단계는 MTP(Microsoft Threat Protection)를 사용하도록 설정하여 가시성을 설정하는 것입니다.

다음 단계를 수행합니다.

  1. Microsoft Threat Protection 워크로드 중 하나에 등록합니다.
  2. 워크로드를 사용하도록 설정하고 연결을 설정합니다.
  3. 환경에서 진행되는 작업에 대한 즉각적인 가시성을 제공하도록 디바이스 및 인프라에 대한 검색을 구성합니다. 이렇게 하면 중요한 데이터의 흐름을 시작하는 데 가장 중요한 "발신음"이 제공됩니다.
  4. Microsoft Threat Protection을 사용하도록 설정하여 워크로드 간 가시성 및 인시던트 탐지를 얻습니다.

II. 자동화 사용

가시성이 설정되면 다음 주요 단계는 자동화를 사용하도록 설정하는 것입니다.

자동화된 조사 및 수정

Microsoft Threat Protection을 사용하여 조사 및 수정을 모두 자동화했으며, 이는 기본적으로 추가 계층 1 SOC 분석을 제공합니다.

AIR(자동화된 조사 및 수정)은 점진적으로 사용하도록 설정되므로 수행되는 작업을 편안하게 개발할 수 있습니다.

다음 단계를 수행합니다.

  1. AIR을 테스트 그룹에 사용하도록 설정합니다.
  2. 조사 단계 및 대응 작업을 분석합니다.
  3. 탐지 및 대응 시간을 줄이기 위해 모든 디바이스에 대한 자동 승인으로 점진적으로 전환합니다.

제로 트러스트 모델을 배포하여 발생하는 인시던트에 대한 가시성을 얻으려면 인시던트 조사 및 대응을 위한 중앙 집중식 플랫폼을 제공할 수 있도록 MTP, 기타 Microsoft 데이터 커넥터 및 관련 타사 제품을 Microsoft Sentinel에 연결해야 합니다.

데이터 연결 프로세스의 일환으로 관련 분석을 사용하도록 설정하여 인시던트를 트리거하고 시간이 지남에 따라 데이터를 그래픽으로 표현하는 통합 문서를 만들 수 있습니다.

기계 학습 및 융합 분석이 즉시 제공되지만, 알려진 불량 엔터티와 관련된 이벤트를 식별하는 데 도움이 되도록 위협 인텔리전스 데이터를 Microsoft Sentinel에 수집하는 것도 유용합니다.




두 개의 검사 표시가 있는 검사 목록 아이콘입니다.

추가 배포 목표

III. 추가 보호 및 탐지 제어 사용

추가 컨트롤을 사용하도록 설정하면 MTP 및 Sentinel로 들어오는 신호가 개선되어 응답을 오케스트레이션하는 가시성과 기능이 향상됩니다.

공격 표면 감소 제어는 이러한 기회 중 하나를 나타냅니다. 이러한 보호 제어는 맬웨어와 가장 관련이 있는 특정 활동을 차단할 뿐만 아니라 프로세스 초기에 이러한 기술을 악용하는 공격자를 탐지하는 데 도움이 되는 특정 방법을 사용하려는 시도도 제공합니다.

이 가이드에서 설명하는 제품

Microsoft Azure

Microsoft Defender for Identity

Microsoft Sentinel

Microsoft 365

Microsoft Threat Protection



제로 트러스트 배포 가이드 시리즈

소개 아이콘

ID 아이콘

엔드포인트 아이콘

애플리케이션 아이콘

데이터 아이콘

인프라 아이콘

네트워크 아이콘

가시성, 자동화, 오케스트레이션 아이콘