ClickCease 사이버 보안의 불충분한 내부 네트워크 모니터링

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

사이버 보안의 불충분한 내부 네트워크 모니터링

조아오 코레이아

2024년 1월 15일 기술 에반젤리스트

이 글은 최근 미국 국가안보국(NSA)이 발표한 NSA/CISA 합동 사이버 보안 자문 를 통해 이들 기관에서 실시한 레드/블루팀 훈련에서 확인된 주요 사이버 보안 문제에 대해 살펴봅니다. 이 글에서는 특정 이슈에 대해 보다 심층적으로 살펴보고, 해당 이슈가 적용되는 실제 시나리오와 이를 제한하거나 극복하기 위해 채택할 수 있는 완화 전략에 대해 알아봅니다. 이는 NSA/CISA 보고서에서 제공한 정보를 확장한 것입니다.

효과적인 내부 네트워크 모니터링은 사이버 위협을 탐지하고 완화하는 데 매우 중요합니다. 불충분한 모니터링은 조직을 탐지되지 않은 공격에 취약하게 만들 수 있습니다. 이 장에서는 부적절한 네트워크 모니터링의 영향을 살펴보고 모니터링 기능을 강화하기 위한 전략을 제공합니다.

 

불충분한 모니터링의 문제점

 

호스트 및 네트워크 센서 구성의 제한 사항

 

많은 기업이 트래픽 수집 및 엔드-호스트 로깅을 위해 호스트 및 네트워크 센서를 최적으로 구성하지 못합니다. 이러한 부적절한 구성으로 인해 공격자의 침해를 탐지하지 못하고 보안 기준선을 설정하고 이상 징후를 탐지하는 데 필요한 트래픽 데이터를 수집하는 기능이 제한될 수 있습니다.

 

호스트 기반 모니터링만으로는 해결하기 어려운 문제

 

호스트 기반 모니터링에만 의존하는 것은 불충분할 수 있는데, 이 접근 방식은 개별 호스트에서 발생하는 부정적 활동에 대해서는 알려주지만 호스트 간에 이동하는 활동에 대해서는 알려주지 않기 때문입니다. 예를 들어, 호스트 기반 모니터링을 사용하는 조직은 감염된 호스트는 식별할 수 있지만 감염의 원인은 식별하지 못하여 향후 측면 이동 및 감염을 방지하려는 노력을 방해할 수 있습니다.

또한 호스트 간의 적절한 모니터링 상관관계가 부족하면 익스플로잇 전후의 패턴을 파악하기 어렵고, 이는 상황을 바로잡으려 할 때 비효율성과 잠재적인 감독 소홀로 이어집니다.

 

측면 이동 및 명령 및 제어 활동 감지 실패

 

네트워크 모니터링이 불충분한 조직은 네트워크 내 측면 이동과 명령 및 제어 활동을 감지하지 못할 수 있습니다. 평가팀이 보안 대응을 트리거하지 않고 심층적인 액세스 권한을 얻는 사례에서 알 수 있듯이 네트워크 모니터링이 포괄적이지 않으면 성숙한 사이버 보안 태세도 손상될 수 있습니다.

완화 전략

애플리케이션 및 서비스의 기준 설정

 

애플리케이션과 서비스의 액세스 및 사용, 특히 관리 활동에 대해 정기적으로 감사를 실시하세요. 이러한 관행은 정상적인 네트워크 동작을 이해하는 데 도움이 되므로 이상 징후를 더 쉽게 발견할 수 있습니다.

 

포괄적인 네트워크 모니터링 구현

 

호스트 기반 모니터링과 네트워크 모니터링을 결합하여 사이버 보안 환경을 전체적으로 파악할 수 있습니다. 이 조합을 사용하면 개별 호스트와 네트워크를 통해 이동하는 악성 활동을 모두 탐지할 수 있습니다.

 

네트워크 트래픽 정기 감사

 

네트워크 트래픽 및 패턴에 대한 정기적인 감사를 수행하여 비정상적인 활동이나 무단 액세스 시도를 식별합니다. 이러한 사전 예방적 접근 방식은 잠재적 위협을 조기에 감지하고 대응하는 데 도움이 됩니다.

 

고급 분석 도구 사용

 

고급 분석 도구와 알고리즘을 사용하여 네트워크 트래픽에서 사이버 위협을 나타내는 패턴을 분석하세요. 머신 러닝 기술은 기존의 모니터링 방법을 회피할 수 있는 정교한 공격을 탐지하는 데 특히 효과적일 수 있습니다.

 

네트워크 모니터링 관행에 대한 직원 교육

 

IT 직원이 네트워크 모니터링 관행에 대해 잘 교육받고 최신 사이버 위협에 대해 인지하고 있는지 확인하세요. 정기적인 교육 세션을 통해 새로운 기술 및 공격 벡터에 대한 최신 정보를 얻을 수 있습니다.

 

인시던트 대응 계획 만들기

 

네트워크 모니터링을 통해 감지된 이상 징후에 대응하는 절차를 포함하는 사고 대응 계획을 수립하고 정기적으로 업데이트합니다. 이러한 계획에는 기술적 대응과 커뮤니케이션 전략이 모두 포함되어야 합니다.

 

적절한 호스트 분리 시행

 

두 호스트가 통신할 이유가 없는 경우 각각을 별도의 네트워크 세그먼트로 이동하는 것을 고려해야 합니다. 모니터링 정책은 아니지만 그 자체는은 아니지만, 적어도 위협 행위자의 가시성과 노출을 줄이려는 시도입니다.

 

차단 규칙을 차단 및 로그로 변경

 

서로 다른 시스템 간의 통신 시도가 차단된 경우 이를 식별하고 조사하세요. 단순히 연결을 차단하는 것만으로도 조사 시도가 오랫동안 탐지되지 않을 수 있습니다.

 

결론

 

현재 모니터링 관행의 격차를 파악하고 이러한 완화 전략을 구현함으로써 조직은 사이버 위협을 탐지하고 대응하는 능력을 크게 향상시킬 수 있습니다.

요약
사이버 보안의 불충분한 내부 네트워크 모니터링
기사 이름
사이버 보안의 불충분한 내부 네트워크 모니터링
설명
부적절한 네트워크 모니터링의 영향을 살펴보고 모니터링 기능을 강화하기 위한 전략을 제공합니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기