2022년 6월 3일
로드먼 라메자니안 - 엔터프라이즈 클라우드 보안 어드바이저, Skyhigh Security
고대 군사 전략가인 손자는 이렇게 말했습니다: "적을 알고 자신을 알면 백 번의 전투를 두려워할 필요가 없다."
기업용 멀티 클라우드 보안 플랫폼인 Skyhigh Cloud Access Security Broker (CASB)는 SOC 분석가가 클라우드 위협을 조사하고 보안 관리자가 미래의 공격을 정밀하게 방어할 수 있도록 워크플로우에 MITRE ATT&CK를 포함합니다.
대부분의 기업은 1,500개 이상의 클라우드 서비스를 사용하며 로그인부터 파일 공유, 다운로드에 이르기까지 수백만 개의 이벤트를 생성하고, 생산성을 위한 것이지만 공격자가 악용할 수 있는 수많은 작업을 수행합니다. 지금까지는 이러한 건초 더미 속에서 공격자의 활동을 찾는 것이 매우 힘든 작업이었으며, 노이즈가 너무 많아서 많은 데이터 유출이 너무 늦을 때까지 발견되지 않았습니다.
Skyhigh Security Service Edge (SSE)는 Skyhigh CASB를 포함하여 클라우드 위협 조사에 대한 다계층 접근 방식을 취하므로 클라우드 서비스에서 적의 활동을 탐지하고, 격차를 식별하고, 정책 및 구성에 대한 목표 변경을 구현하는 시간을 단축할 수 있습니다.
먼저, 사용자 및 엔티티 행동 분석(UEBA)에서 알려진 정상 행동의 기준선에 대해 이벤트 더미를 지속적으로 처리하여 환경의 이상 징후와 실제 위협을 식별하고 여러 서비스 및 계정 전반의 행동을 평가합니다.
UEBA가 손상된 계정으로 판단하여 처리한 이벤트
이를 통해 조사 프로세스를 관리 가능한 인시던트 수로 줄일 수 있습니다. 이번 릴리스에서는 이러한 인시던트가 이제 다른 SOC와 동일한 언어인 MITRE ATT&CK로 제공됩니다. 각 클라우드 보안 인시던트는 ATT&CK 전술 및 기법에 매핑되어 현재 사용자 환경에서 실행 중인 적대적 활동을 보여줍니다.
Skyhigh Cloud Access Security Broker (CASB)에서의 멀티 클라우드 MITRE ATT&CK 공격자 활동 보기
Skyhigh CASB에는 세 가지 보기가 있습니다:
- 회고: 사용자 환경에서 이미 발생한 모든 공격 기법 보기
- 사전 예방: 진행 중인 공격을 확인하여 차단 조치를 취할 수 있습니다.
- 전체 킬체인: 인시던트, 이상 징후, 위협, 취약성의 조합을 전체적 위반의 연속으로 파악합니다.
조직 내 여러 팀이 Skyhigh Security Service Edge (SSE)에 추가되어 혜택을 누릴 수 있습니다:
- 보안팀은 사후 대응에서 사전 예방으로 발전합니다: 분석가들은 Skyhigh CASB를 통해 ATT&CK 프레임워크에서 실행된 위협뿐만 아니라 여러 서비스형 소프트웨어(SaaS), 서비스형 플랫폼(PaaS), 서비스형 인프라(IaaS) 환경에서 차단할 수 있는 잠재적 공격도 시각화할 수 있습니다.
- 사일로를 깨는 보안 운영팀: 이제 보안 운영팀은 엔드포인트 및 네트워크 위협 조사에 사용하는 것과 동일한 ATT&CK 프레임워크에 매핑된 API를 통해 사전 필터링된 클라우드 보안 사고를 보안 정보 이벤트 관리(SIEM)/보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼으로 가져올 수 있습니다.
- 보안 관리자는 정밀하게 방어합니다: Skyhigh CASB는 클라우드 보안 태세 관리(CSPM)를 새로운 차원으로 끌어올려 보안 관리자에게 특정 ATT&CK 공격 기법에 대응하는 SaaS, PaaS 및 IaaS 환경에 대한 클라우드 서비스 구성 권장 사항을 제공합니다.
많은 보안팀은 ATT&CK와 같은 반복 가능한 프로세스와 프레임워크를 활용하여 엔드포인트와 네트워크에 대한 위험을 완화하고 위협에 대응하지만, 지금까지 클라우드 위협과 취약성은 익숙하지 않은 패러다임을 제시했습니다. 클라우드 위협과 취약성을 ATT&CK의 공통 언어로 번역함으로써 Skyhigh CASB는 보안 팀이 프로세스와 런북을 클라우드로 확장하고 클라우드 취약성을 이해하여 선제적으로 대응하며 기업 보안을 개선할 수 있도록 지원합니다.
Skyhigh SSE에 대해 자세히 알아보세요.
블로그로 돌아가기