측면 이동과 이를 탐지하는 방법|로그리듬

보안 운영의 맥락에서 측면 이동의 개념에 대해 들어보셨을 것이며,위협 행위자가 이 전략을 활용하여 데이터에 접근하는 방법에 대한 일반적인 아이디어를 갖고 계실 것입니다. 그러나 측면 운동은 정확히 무엇입니까? 그리고 조직의 보안 운영에 어떤 영향을 줍니까?

측면 운동은 무엇입니까?

정의부터 시작합시다.:

측면 이동은 적들이 네트워크에서 원격 시스템을 입력하고 제어하는 데 사용하는 기술로 구성됩니다. 그들의 1 차적인 목적에 처음부터 끝까지 따름것은 수시로 그들의 표적을 발견하,연속적으로 그것에 접근을 얻기 위하여 네트워크를 탐구할것을 요구한다. 그들의 목표에 도달하는 것은 종종 여러 시스템을 통해 피벗하고 계정에 대한 액세스 권한을 얻는 것을 포함합니다. 적들은 자신의 원격 액세스 도구를 설치하여 측면 이동을 수행하거나 기본 네트워크 및 운영 체제 도구를 사용하여 합법적 인 자격 증명을 사용할 수 있습니다.

측면 이동 기술

마이트레의 정의에서 주목해야 할 중요한 점은 측면 이동은 하나의 기술이 아니라,진보된 지속적 위협과 위협 행위자들이 의도한 대상에 접근하기 위해 사용하는 착취 영역을 포함하는 일련의 기술이라는 것이다.

이러한 기술은 자격 증명을 도용하고 원격 서비스를 악용하는 데 사용되는 다양한 취약점과 방법을 강조합니다. 마이 터의 웹 사이트에서 각 기술을 완화하기위한 측면 이동 기술 및 단계의 전체 목록을 찾을 수 있습니다. 측면 이동의 예는 다음과 같습니다:

  • 원격 서비스의 착취
  • 내부 스피어 피싱
  • 윈도우 관리자 공유

측면 이동 감지

측면 움직임을 나타내는 기술을 감지하는 것은 이러한 유형의 활동을 식별하는 데 하나 이상의 접근 방식이 있음을 깨닫는 것입니다. 대부분의 경우 위협 행위자가 환경 전체에서 이동하는 시점을 식별하기 위해 여러 접근 방식을 조합해야 할 수 있습니다.

환경 내에서 측면 움직임을 감지하는 것은 간단한 작업이 아니지만 측면 이동 기술과 관련된 의심스러운 활동을 경고하고 조사 프로세스를 지원하는 컨텍스트를 제공하는 데 도움이되는 여러 가지 방법이 있습니다.

실시간 모니터링과 행동 분석을 모두 사용하면 잠재적으로 악의적인 활동을 즉시 식별하고 상황에 맞는 증거로 이러한 활동을 조사할 수 있습니다. 이 두 가지 기능이 어떻게 함께 작동하는지 더 잘 이해하기 위해 정확히 무엇을 분해합시다.

실시간 모니터링(경고)

환경 전반에서 데이터를 효과적으로 수집,정규화 및 상관시키는 것은 추가 조사가 필요한 의심스러운 활동을 식별할 수 있는 실시간 경고를 제공합니다. 이 기술은 경고를 집계하여 실시간으로 위협의 진행을 관찰하고 진정한 위협을 더 가리키는 복합 활동을 볼 수 있습니다.

실시간 모니터링을 사용하는 경우,특히 측면 이동 기술을 중심으로,이 프레임워크에 매핑되는 규칙을 적용할 수도 있습니다. 프레임 워크 아래의 모든 기술에 대한 규칙을 제공하면 모든 잠재적 인 개발 영역을 커버 할 수 있습니다.

행동 분석(조사)

행동 분석은 사용자 및 네트워크 엔티티의 활동에 대한 고유 한 시각을 제공하여 정상적인 행동에서 상당한 편차를 보이는 활동의 우선 순위를 정하고 해결합니다.사용자 및 엔티티 행동 분석 솔루션은 기계 학습을 사용하여 각 사용자 및 엔티티의 기준선(정상 동작)과 해당 기준선에서 벗어난 활동의 중요성을 결정합니다. 이러한 편차를 이해하면 의심스러운 활동에 대한 경고에 대한 조사를 지원하는 상황별 증거를 제공할 수 있습니다.

각 탐지 방법이 고유한 관점을 제공하고 리소스 및 타이밍 요구 사항이 서로 다르므로 모든 시나리오에 적합한 접근 방식일 수도 있고 그렇지 않을 수도 있는 단일 방법에만 의존하지 않는 것이 중요합니다. 일부 시나리오는 측면 이동 기술을 효율적으로 탐지하기 위해 실시간 경고 만 필요할 수 있으며,보다 정교한 공격은 악의적 인 행위자를 자신있게 식별하기 위해 행동 분석을 통한 경고 및 조사가 필요할 수 있습니다.

측면 이동 사용 사례

다음은 측면 이동 공격 및 감지 시퀀스의 예입니다.

공격자:정찰

  • 공격자는 다음과 같은 도구를 사용하여 정찰과 인텔 수집을 시작합니다.

공격자: 악용

  • 공격자는 정찰 중에 식별된 취약점을 악용하여 초기 액세스 권한을 얻습니다.

공격자:자격 증명 도용

  • 공격자는 내부 스피어 피싱 기술을 사용하여 동일한 조직 내의 다른 사용자를 악용하고 더 많은 액세스 권한을 얻습니다.

시콥스:초기 경고

  • 피싱 표시기 및 경고 생성으로 인해 상관 관계 규칙이 즉시 트리거
  • 새 사례 생성
  • 조사 시작

공격자: 권한 에스컬레이션

  • 스피어피싱 악용에 성공한 후 공격자는 권한을 에스컬레이션하여 원하는 대상에 액세스하려고 시도합니다.

초옵스:추가 경고가 트리거됨

  • 권한이 수정되어 경고가 트리거됩니다.
  • 새 경고가 기존 사례에 추가됩니다.
  • 세콥스는 행동 분석을 통해 변칙 활동을 식별하고 기존 경고에 컨텍스트를 추가하기 위해 조사를 계속한다.

공격자: 공격자가 대상 서버에 원격으로 액세스하도록 세션을 시작합니다.

  • 공격자는 대상 서버에서 중요한 데이터를 봅니다.
  • 공격자가 서버에서 파일을 복사하기 시작합니다.
  • 초옵스:추가 경고가 트리거되고 응답

    • 중요한 파일 액세스로 인해 경고가 트리거됩니다.
    • 파일 복사로 인해 경고가 트리거됩니다.
    • 새 경고가 기존 사례에 추가되어 이제 교정을 시작하기에 충분한 증거가 있습니다.

    측면 이동 방지

    팀이 측면 이동을 감지하고 대응하는 데 걸리는 시간을 줄이면 위협 행위자가 네트워크를 통해 이동하여 중요한 데이터에 액세스할 가능성이 낮아집니다. 보안 오케스트레이션,자동화 및 대응 기능을 통합하는 우에바 솔루션은 팀이 모든 관련 악의적인 활동을 신속하게 식별하여 신속한 탐지 및 대응하는 데 도움을 줄 수 있습니다.

    온디맨드 웨비나를 통해 우에바 시장에 대해 자세히 알아보고 팀이 내부자 위협에 대한 가시성을 확보할 수 있는 방법을 알아보세요.



    +