3P by neo 3달전 | favorite | 댓글 1개

수비자의 사고방식

  • 많은 네트워크 방어는 적과 접촉하기 전에 잘못된 방향으로 시작됨
  • 수비자들은 자산을 보호하고 우선순위를 정하며 업무 기능에 따라 분류하는 데 집중함
  • 수비자들은 시스템 관리 서비스, 자산 인벤토리 데이터베이스, BCDR 스프레드시트 등에서 자산 목록에 둘러싸여 있음
  • 문제는 수비자들이 자산 목록이 아닌 그래프를 가지고 있다는 것임
  • 자산은 보안 관계에 의해 서로 연결되어 있음
  • 공격자는 스피어피싱과 같은 기술을 사용하여 그래프 어딘가에 침투하고, 그래프를 탐색하여 취약한 시스템을 찾음

그래프란 무엇인가?

  • 네트워크의 그래프는 자산 간의 보안 종속성을 나타냄
  • 네트워크 설계, 관리, 사용되는 소프트웨어 및 서비스, 사용자 행동 등이 그래프에 영향을 미침
  • 예를 들어, 도메인 컨트롤러(DC)를 관리하는 Bob의 워크스테이션이 보호되지 않으면 DC가 손상될 수 있음
  • Bob의 워크스테이션에 관리자 권한이 있는 다른 계정도 DC를 손상시킬 수 있음
  • 공격자는 이러한 경로를 통해 DC를 손상시킬 수 있음

Mallory의 여섯 단계

  • 공격자는 손상된 기기에서 대기하며 높은 가치의 계정이 로그인할 때까지 기다림
  • 예시 그래프를 통해 공격자가 어떻게 고가치 자산에 도달할 수 있는지 설명함
  • 터미널 서버를 손상시키면 많은 사용자 자격 증명을 덤프할 수 있음
  • 공격자는 그래프를 탐색하여 고가치 자산으로 이동할 수 있는 여러 경로를 발견함
  • 고가치 자산을 보호하려면 모든 종속 요소가 동일하게 보호되어야 함

보안 종속성

  • Windows 네트워크에서 사용자가 특정 종류의 로그온을 수행할 때 자격 증명이 도난당할 수 있음
  • 다양한 관계가 보안 종속성을 생성함
    • 공통 비밀번호를 가진 로컬 관리자 계정
    • 많은 사용자를 위한 로그인 스크립트를 호스팅하는 파일 서버 및 소프트웨어 업데이트 서버
    • 클라이언트 기기에 프린터 드라이버를 제공하는 프린터 서버
    • 스마트 카드 로그온을 위한 인증서를 발급하는 인증 기관
    • 데이터베이스 서버에서 코드 실행이 가능한 데이터베이스 관리자 등

그래프 관리

  • 수비자가 할 수 있는 일:
    • 네트워크를 시각화하여 목록을 그래프로 변환
    • 그래프를 가지치기하는 제어 구현
      • 큰 연결성을 생성하는 원치 않는 엣지 검사
      • 관리자 수 줄이기
      • 이중 인증 사용
      • 사용자 계정이 손상된 경우 자격 증명 회전 접근법 적용
      • 포리스트 신뢰 관계 재고

목록 사고방식 감지

  • 수비자는 공격자가 전장을 시각화할 때 우위를 점하지 않도록 해야 함
  • 수비자는 네트워크에 대한 완전한 정보를 가질 수 있음
  • 공격자는 네트워크를 조각별로 연구해야 함
  • 수비자는 공격자가 그래프를 이해하는 방법에서 교훈을 얻어야 함
  • 현실에서 관리하는 것이 준비된 수비자의 사고방식임

추가 읽을거리

  • 여러 공격 그래프에 관한 논문들:
    • Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
    • Two Formal Analyses of Attack Graphs
    • Using Model Checking to Analyze Network Vulnerabilities
    • A Graph-Based System for Network-Vulnerability Analysis
    • Automated Generation and Analysis of Attack Graphs
    • Modern Intrusion Practices
    • Attack Planning in the Real World

GN⁺의 정리

  • 이 글은 네트워크 방어의 사고방식과 공격자의 접근 방식을 비교하여 설명함
  • 수비자는 자산 목록이 아닌 그래프를 통해 네트워크를 이해해야 함을 강조함
  • 공격자는 그래프를 통해 취약점을 탐색하고 공격 경로를 찾음
  • 수비자는 네트워크를 시각화하고 그래프를 관리하여 보안을 강화할 수 있음
  • 이 글은 네트워크 보안에 관심 있는 사람들에게 유용하며, 공격자와 수비자의 사고방식 차이를 이해하는 데 도움이 됨
Hacker News 의견
  • 공격자는 특정 목표를 달성하기 위해 깊이 탐구할 수 있는 특권이 있음
  • 방어자는 여러 신호와 위협 벡터를 추적하며 우선순위를 정해야 함
    • 방어자는 자산을 관리하기 위해 목록을 사용함
    • 목록을 통해 자산을 최신 상태로 유지하고 제한된 신뢰를 가정하며 자원을 격리함
    • 의존성 그래프를 만들기 전에 목록을 먼저 작성해야 함
  • 복잡한 적응 시스템은 구성 요소와 상호 작용을 위한 메시징 버스를 가짐
    • 개별적으로 개미를 잡는 것보다 페로몬 경로를 파괴하는 것이 효과적임
  • 방어자의 역할은 단순한 방어가 아님
    • 사이버 보안은 주 업무가 아닌 부수적인 역할임
    • 공격자는 시스템을 공격하는 것이 유일한 목적임
  • 공격자는 약점을 찾고 한 번만 성공하면 됨
  • 방어자는 모든 것을 동시에 지켜야 함
  • 공격자는 그래프를 사용하지 않음
    • 웹 보안에서는 그래프 사고가 적용되지 않음
    • 침투 테스트 보고서에는 그래프가 아닌 할 일 목록이 포함됨
    • 방어자는 종종 중요하지 않은 일에 시간을 소비함
  • 사이버 보안 회사에서 일한 경험이 있음
    • 많은 사이버 보안 관행이 무의미하다고 느낌
  • 방어는 여러 요소로 구성됨
    • 효과적인 통제 개발, 공격 식별, 사건 대응 등
    • 방어에는 네트워크 그래프를 고려한 건축적 결정이 포함됨
  • 방어의 약한 고리가 전체 강도를 결정함
    • 체크리스트 기반 보안은 인프라 문제를 무시함
    • SBOM을 사용하여 구성 요소 관계를 매핑할 수 있음
  • 네트워크에 침입자를 잡기 위한 허니팟이 필요함
    • 가짜 암호화 자격 증명, 가짜 비밀번호 저장소 등