일반적인 사이버 위협 및 공격 패턴

  • 10분

이 모듈에서는 일반적인 사이버 위협, 비즈니스 복원력, 보안 백업 및 복원 구성 및 보안 업데이트 관리를 다룹니다.

최근에 랜섬웨어 공격을 경험한 중견 회사에서 일한다고 상상해 보십시오. 이 공격으로 인해 회사의 시스템과 데이터에 상당한 피해가 발생했으며 회사는 복구에 어려움을 겪고 있습니다. 사이버 보안 설계자는 회사가 향후 공격으로부터 복구하는 데 도움이 되는 포괄적인 백업 및 복원 계획을 설계하는 임무를 맡았습니다. 이 모듈에서는 Azure Backup을 사용하여 보안 백업 및 복원 구성을 디자인하는 방법과 온-프레미스 리소스에 대한 Configuration Manager와 통합하는 방법을 알아봅니다. 또한 업데이트 관리를 사용하여 보안 업데이트를 관리하는 방법과 사이버 위협 시 비즈니스 복원력을 지원하는 방법을 알아봅니다.

이 모듈은 사이버 위협 이해, 보안 백업 및 복원 구성 디자인, 보안 업데이트 관리 및 비즈니스 복원력 지원의 네 가지 섹션으로 나뉩니다.

학습 목표

이 모듈에서는 다음 방법을 알아봅니다.

  • 랜섬웨어와 같은 일반적인 사이버 위협을 이해합니다.
  • 비즈니스 복원력을 지원하는 방법을 이해합니다.
  • 보안 백업 및 복원을 위한 구성 설계.
  • 보안 업데이트를 관리하기 위한 솔루션을 설계합니다.

이 모듈의 내용은 SC-100: Microsoft 사이버 보안 설계자 인증 시험을 준비하는 데 도움이 됩니다.

필수 조건

  • 하이브리드 환경의 보안 정책, 요구 사항, 제로 트러스트 아키텍처 및 관리에 대한 개념적 지식
  • 제로 트러스트 전략, 보안 정책 적용, 비즈니스 목표에 기반한 보안 요구 사항 개발과 관련된 실무 경험

사이버 위협

위협 환경의 정의

규모에 상관없이 모든 조직이 상호 작용하는 디지털 환경은 사이버 공격의 진입점이 될 수 있습니다. 여기에는 다음이 포함될 수 있습니다.

  • 전자 메일 계정
  • 소셜 미디어 계정
  • 모바일 장치
  • 조직의 기술 인프라
  • 클라우드 서비스
  • 사람

이러한 사항을 종합하여 위협 환경이라고 합니다. 위협 환경은 컴퓨터나 휴대폰에만 국한되지 않습니다. 조직에서 소유하거나 관리하는 요소 또는 그렇지 않은 요소를 포함할 수 있습니다. 다음에 알게 되면 범죄자들은 공격을 감행하고 수행할 수 있는 모든 수단을 사용합니다.

공격 벡터의 정의

공격 벡터는 공격자가 시스템에 대한 액세스 권한을 얻는 진입점 또는 경로입니다.

가장 일반적인 공격 벡터 8개를 보여 주는 다이어그램: 이메일, 소셜 미디어, 이동식 디바이스, 브라우저, 클라우드 서비스, 참가자, 디바이스 및 무선.

일반적인 공격 벡터의 몇 가지 예는 다음과 같습니다.

  • 전자 메일 은 아마도 가장 일반적인 공격 벡터일 것입니다. 사이버 범죄자는 사용자가 조치를 취하는 겉보기에 합법적인 이메일을 보냅니다. 대표적인 행동은 파일 다운로드 또는 디바이스를 훼손하는 링크 선택입니다.
  • 이동식 미디어. 공격자는 USB 드라이브, 스마트 케이블, 스토리지 카드 같은 미디어를 사용하여 디바이스를 훼손할 수 있습니다. 예를 들어 공격자는 나중에 사용자에게 무료 선물로 제공되거나 공용 공간에 남아 있는 USB 디바이스에 악성 코드를 로드할 수 있습니다. USB 장치를 연결하는 순간 사용자의 기기가 손상됩니다.
  • 브라우저. 공격자는 악성 웹 사이트나 브라우저 확장을 사용하여 사용자가 디바이스에 악성 소프트웨어를 다운로드하게 하거나 사용자의 브라우저 설정을 변경할 수 있습니다. 그 결과 디바이스가 손상되어 더 광범위한 시스템 또는 네트워크의 진입점을 제공하게 됩니다.
  • 클라우드 서비스. 조직은 일상적인 비즈니스 및 프로세스를 위해 클라우드 서비스에 더 많이 의존합니다. 공격자는 클라우드에 있는 보안이 충분하지 않은 리소스나 서비스를 훼손할 수 있습니다. 예를 들어 공격자는 클라우드 서비스의 계정을 훼손하여 계정에 액세스할 수 있는 리소스 또는 서비스를 제어할 수 있습니다. 그리고 더 많은 권한을 가진 다른 계정에 액세스하기도 합니다.
  • 내부자. 조직의 직원은 본인의 의사와는 상관없이 사이버 공격의 공격 벡터 역할을 할 수 있습니다. 직원은 권위자를 사칭하여 시스템에 대한 무단 액세스 권한을 얻는 사이버 범죄자의 희생양이 되기도 합니다. 이것은 일종의 소셜 엔지니어링 공격입니다. 이 시나리오에서 직원은 의도치 않게 공격 벡터 역할을 합니다. 하지만 정식 액세스 권한이 있는 직원이 이 방법을 이용해 고의적으로 물건을 훔치거나 피해를 유발하는 경우도 있습니다.

보안 위반의 정의

디바이스, 서비스 또는 네트워크에 대한 무단 액세스 권한을 얻는 모든 공격은 보안 위반으로 간주됩니다. 보안 위반은 침입자(공격자)가 건물(디바이스, 애플리케이션 또는 네트워크)에 성공적으로 침입한 상태라고 생각하면 됩니다.

보안 위반은 다음을 비롯한 다양한 형식으로 발생합니다.

  • 소셜 엔지니어링 공격 - 사칭 공격은 권한 없는 사용자(공격자)가 권위 있는 사람인 척하여 권한 있는 사용자의 신뢰를 얻으려 할 때 발생하며, 이는 악의적인 활동 수행을 위해 시스템에 접근하는 것을 목표로 합니다. 예를 들어 사이버 범죄자는 지원 엔지니어를 가장하여 사용자가 암호를 노출하게 함으로써 조직의 시스템에 액세스하기도 합니다.
  • 브라우저 공격 - 데스크톱, 랩톱 또는 휴대폰에서 브라우저는 인터넷의 중요한 액세스 도구입니다. 브라우저의 보안 취약성은 그 보급성으로 인해 상당한 영향을 미칠 수 있습니다.
  • 암호 공격 - 암호 공격은 누군가가 암호로 보호된 계정에 인증을 사용하여 디바이스 또는 시스템에 무단으로 액세스하려고 시도하는 경우입니다. 많은 공격자는 암호를 해독하고 추측하는 프로세스를 가속화하는 소프트웨어를 사용합니다.

데이터 위반의 정의

데이터 위반은 공격자가 데이터 액세스 권한 또는 제어를 성공적으로 획득한 경우에 발생합니다. 침입자 예제를 다시 살펴보면, 데이터 위반은 건물에 액세스하거나 건물 안에 있는 중요 문서 및 정보를 훔치는 사람과 비슷합니다.

사무실 건물에서 도망치는 도둑을 설명하는 다이어그램

보안 위반에 성공한 공격자는 대부분 데이터를 노립니다. 중요한 정보를 나타내기 때문입니다. 데이터 보안이 부족하면 공격자가 데이터에 액세스하고 데이터를 제어할 수 있습니다. 그 결과 사용자, 조직, 심지어 정부에 이르는 피해자는 심각한 영향을 받게 됩니다. 피해자의 데이터를 다양한 방식으로 악용할 수 있기 때문입니다. 예를 들어 데이터를 인질로 삼거나 재정 또는 평판 관련 피해를 유발할 수 있습니다.

공격 체인 모델링

공격 체인은 조직 피해로 이어지는 공격 중 일반적인 이벤트 체인을 설명합니다. 여기에는 공격 중에 악의적인 사용자 또는 내부자가 수행한 기술적 및 비기술적 단계가 포함됩니다. 내부 위험 또는 외부 공격에 대한 단일 선형 경로는 없다는 점에 유의해야 합니다. 공격에는 많은 공통된 요소가 있지만 각 요소는 고유한 경로를 사용할 수 있습니다.

MCRA에는 아래와 같이 외부 공격 및 내부자 위험과 관련된 일반적인 기술을 보여 주는 공격 체인 다이어그램이 포함되어 있습니다.

외부 공격 및 내부자 위험을 모두 보여 주는 공격 체인 M C R A의 다이어그램.

이 다이어그램의 위쪽 부분은 많은 외부 공격 및 각 단계에 매핑되는 Microsoft 기능에서 볼 수 있는 일반적인 단계를 나타냅니다. 하단 부분에는 내부자 위험 선행 지표와 Microsoft Purview 참가자 위험 관리가 위험한 사용자 활동을 신속하게 식별, 심사 및 조치를 수행하는 방법을 보여 줍니다.

대부분의 외부 공격에는 일반적인 단계가 포함되며 위의 다이어그램에 표시된 일반적인 패턴을 따릅니다. 외부 공격의 변형은 대부분 다양한 진입점을 사용하는 데서 비롯됩니다. 또한 공격은 데이터 도용, 데이터 암호화 또는 비즈니스 중단과 같은 공격자의 다양한 목표에 따라 다릅니다.

주요 인시던트를 초래하는 대부분의 외부 공격에는 자격 증명 도난을 사용하는 특정 형태의 권한 상승이 포함되며, 권한 있는 액세스를 보호하여 완화됩니다. 자세한 내용은 권한 있는 액세스 보안을 참조하세요.

록히드 마틴은 사이버 보안에 대한 '킬 체인' 군사 개념의 첫 번째 적응 중 하나를 만들었습니다. 사이버 보안 공격 체인의 이 개념은 조직이 공격을 순차적인 이벤트 체인으로 보고 공격을 이해하고 보안 제어를 계획하는 방법을 완성하는 데 도움이 됩니다. 오늘날 많은 조직에서 MITRE ATT&CK 프레임워크를 사용하여 위협 탐지 검사와 같은 자세한 제어 계획을 수립합니다.

아래 다이어그램에서는 비즈니스 리더 및 비보안 전문가와의 통신을 개선하기 위해 Microsoft가 개발한 간단한 PETE(Prepare-Enter-Traverse-Execute) 모델과 이러한 관계가 서로 어떻게 관련되는지 설명합니다.

MITRE ATT&CK, PETE 및 록히드 마틴 킬 체인이 서로 어떻게 매핑되는지에 대한 다이어그램.

공격자는 다양한 기술을 선택하여 목표 준비, 입력, 트래버스 및 실행의 각 목표를 달성할 수 있습니다. 또한 공격자는 기술을 조합하거나 동일한 기술을 반복적으로 사용하여 목표를 달성할 수도 있습니다.

MCRA 및 MCSB의 모든 보안 모범 사례는 공격자의 성공 위험을 줄이기 위한 것입니다. 여러 MCRA 모범 사례는 외부 공격의 보안 운영 측면(탐지, 응답, 복구)에 직접 초점을 맞춥니다.