공격 표면 관리란 무엇인가요?

다른 사이버 보안 분야와 달리 ASM은 방어자의 관점이 아닌 전적으로 해커의 관점에서 수행됩니다. 이는 악의적인 공격자에게 노출된 기회를 기준으로 대상을 식별하고 위험을 평가합니다.

ASM은 해커가 사용하는 것과 동일한 여러 방법과 리소스에 의존합니다. 많은 ASM 작업과 기술은 사이버 범죄자의 행동에 익숙하고 이를 재현하는 데 능숙한 윤리적 해커에 의해 고안되고 수행됩니다.

비교적 새로운 ASM 기술인 외부 공격 표면 관리(EASM)는 간혹 ASM과 같은 의미로 사용됩니다. 그러나 EASM은 특히 조직의 외부 또는 인터넷 연결 IT 자산(조직의 디지털 공격 표면이라고도 함)으로 인한 취약점과 위험에 중점을 둡니다.

또한 ASM은 악의적인 내부자 또는 피싱 사기에 대한 부적절한 최종 사용자 교육과 같은 조직의 물리적 및 소셜 엔지니어링 공격 표면에 존재하는 취약성을 해결합니다.

최근 몇 년 동안 클라우드 도입 증가, 디지털 혁신 및 원격 근무 확장으로 인해 일반적인 기업의 디지털 발자국과 공격 표면은 더 커지고 분산되고 더욱 역동적으로 변했으며, 매일 새로운 자산이 회사 네트워크에 연결하게 되었습니다.

기업 네트워크가 보다 안정적이고 중앙 집중화되어 있을 때 개발된 기존의 자산 검색, 위험 평가 및 취약점 관리 프로세스는 오늘날 네트워크에서 새로운 취약점과 공격 벡터가 발생하는 속도를 따라잡을 수 없습니다. 예를 들어, 모의 침투 테스트는 알려진 자산의 의심되는 취약점을 테스트할 수 있지만 보안팀이 매일 발생하는 새로운 사이버 위험과 취약점을 식별하는 데는 도움이 되지 않습니다.

그러나 보안팀과 SOC (Security Operations Center)는 ASM의 지속적 워크플로우와 해커의 관점을 통해 지속적으로 증가하고 변화하는 공격 표면에 맞서 사전 예방적 보안 태세를 구축할 수 있습니다. ASM 솔루션은 취약점과 공격 벡터가 나타날 때 이에 대한 실시간 가시성을 제공합니다.

ASM 작업 및 기술은 취약성을 분석하고 우선순위를 지정할 때 보다 광범위한 컨텍스트를 파악하기 위해 전통적인 위험 평가와 취약성 관리 도구 및 프로세스의 정보를 활용할 수 있습니다. 또한 SIEM(보안 정보 및 이벤트 관리), EDR(엔드포인트 탐지 및 대응) 또는 XDR(확장된 탐지 및 대응)을 포함한 위협 탐지 및 대응 기술과 통합하여 위협 완화를 개선하고 전사적으로 위협 대응을 가속화할 수도 있습니다.

ASM은 자산 검색, 분류 및 우선순위 지정, 해결, 모니터링의 네 가지 핵심 프로세스로 구성됩니다. 다시 말하지만 디지털 공격 표면의 크기와 형태는 끊임없이 변화하므로 프로세스는 지속적으로 수행되며 ASM 솔루션은 가능할 때마다 이러한 프로세스를 자동화합니다. 목표는 노출된 자산의 온전한 최신 인벤토리로 보안팀을 무장시키고 조직에 가장 큰 위험을 초래하는 취약점과 위협에 더욱 빠르게 대응하는 것입니다.

자산 발견은 조직을 공격하려는 해커나 사이버 범죄자의 진입점 역할을 할 수 있는 인터넷 연결 하드웨어, 소프트웨어 및 클라우드 자산을 자동으로 지속적으로 검색하고 식별합니다. 이러한 자산에는 다음이 포함될 수 있습니다.

• 알려진 자산: 라우터, 서버, 회사 소유 또는 개인 소유 기기(PC, 노트북, 모바일 디바이스), IoT 디바이스, 사용자 디렉터리, 온프레미스 및 클라우드에 배포된 애플리케이션, 웹사이트 및 독점 데이터베이스 등 조직이 인지하고 적극적으로 관리하는 모든 IT 인프라 및 리소스입니다.
  
  
• 알려지지 않은 자산: IT 또는 보안팀이 인지하지 못한 채 네트워크 리소스를 사용하는 '인벤토리 미등록' 자산을 의미합니다. 정식 승인이나 관리 감독 없이 네트워크에 배포된 하드웨어 또는 소프트웨어를 의미하는 섀도우 IT는 가장 일반적인 유형의 알려지지 않은 자산입니다. 섀도우 IT의 예로는 조직의 네트워크를 사용하는 개인 웹사이트, 클라우드 애플리케이션, 관리되지 않는 모바일 디바이스 등이 있습니다. 고아 IT는 사용되지 않지만 적절히 폐기되지 않은 오래된 소프트웨어, 웹사이트 및 디바이스로, 또 다른 일반적인 유형의 미등록 자산입니다.
  
  
• 제3자 또는 공급업체 자산: 조직이 소유하지 않지만 조직의 IT 인프라 또는 디지털 공급망에 속하는 자산입니다. 여기에는 SaaS(Software-as-a-Service) 애플리케이션, API, 퍼블릭 클라우드 자산 또는 조직의 웹사이트 내에서 사용되는 타사 서비스가 포함됩니다.
  
  
• 자회사 자산: 조직의 자회사 네트워크에 연결된 알려진 자산, 미확인 자산 또는 제3자 자산을 의미합니다. 합병 또는 인수 이후, 상위 조직의 IT 및 보안팀이 이러한 자산을 즉시 인지하지 못할 수 있습니다.
  
  
• 악성 또는 불법 자산: 위협 행위자가 기업을 공격 대상으로 삼기 위해 생성하거나 탈취한 자산입니다. 이는 회사 브랜드를 사칭하는 피싱 웹사이트 또는 데이터 유출의 일환으로 도난당해 다크 웹에서 공유되는 민감한 데이터를 포함할 수 있습니다.

자산이 식별되면 자산을 분류하고, 취약성을 분석하고, '공격 가능성'에 따라 우선순위를 지정합니다. 이는 본질적으로 해커가 자산을 표적으로 삼을 가능성의 객관적인 척도입니다.

자산은 ID, IP 주소, 소유권 및 IT 인프라 내 다른 자산과의 연결을 기준으로 목록화됩니다. 자산은 노출 가능성, 노출의 원인(예: 잘못된 구성, 코딩 오류, 패치 누락), 그리고 이러한 노출을 통해 해커가 수행할 수 있는 공격 유형(예: 민감한 데이터 유출, 랜섬웨어 또는 기타 멀웨어 확산)에 대해 분석됩니다.

다음으로 취약점의 해결 우선순위가 지정됩니다. 우선순위 지정은 위험 평가 연습입니다. 일반적으로 각 취약점에는 다음을 기반으로 보안 등급이나 위험 점수가 부여됩니다.

• 분류 및 분석 과정에서 수집된 정보.
  
  
• 위협 인텔리전스 피드(독점형 및 오픈 소스), 보안 평가 서비스, 다크 웹 및 기타 출처에서 취약점이 해커에게 얼마나 잘 보이는지, 얼마나 쉽게 악용되는지 및 어떻게 악용되었는지 등에 관한 데이터를 수집합니다.
  
  
• 조직의 자체 취약점 관리 및 보안 위험 평가 활동의 결과입니다. 레드팀 구성으로 불리는 이러한 활동 중 하나는 기본적으로 해커의 관점에서 침투 테스트를 수행하는 것입니다. 많은 경우 이러한 활동은 사내의 윤리적 해커나 제3자 윤리적 해커가 수행합니다. 레드팀원들은 알려진 취약점이나 의심되는 취약점을 테스트하는 대신 해커가 악용하려고 시도할 수 있는 모든 자산을 테스트합니다.

일반적으로 취약점은 우선순위에 따라 해결됩니다. 이러한 해결 방법은 다음과 같습니다.

• 해당 자산에 적절한 보안 제어 적용(예: 소프트웨어 또는 운영 체제 패치 적용, 애플리케이션 코드 디버깅, 더 강력한 데이터 암호화 구현).
  
  
• 이전에 알려지지 않았던 자산 관리 통제—이전에는 관리되지 않았던 IT의 보안 표준을 설정하고, 고아 IT를 안전하게 폐기하고, 악성 자산을 제거하고, 자회사 자산을 조직의 사이버 보안 전략, 정책 및 워크플로우에 통합.

또한 문제 해결에는 최소 권한 액세스 또는 MFA(다단계 인증) 구현과 같이 취약점 해결을 위한 광범위한 자산 간 조치가 포함될 수 있습니다.

조직의 공격 표면에 있는 보안 위험은 새로운 자산이 배포되거나 기존 자산이 새로운 방식으로 배포될 때마다 변경되므로, 네트워크의 등록된 자산과 네트워크 자체 모두를 대상으로 취약점을 지속적으로 모니터링하고 스캔합니다. ASM은 지속적인 모니터링을 통해 새로운 취약성과 공격 벡터를 실시간으로 탐지 및 평가하고, 즉각적인 대응이 필요한 취약점에 대해 보안팀에 경고합니다.