보안 전문가 필독! ATT&CK Matrix를 통한 Discovery 기법 완전 분석 - 2부

Discovery

서론: Discovery 기법과 사이버 보안의 미래

Discovery 기법은 사이버 보안의 끊임없이 변화하는 풍경 속에서 점점 더 중요해지고 있습니다. 기술의 발전과 함께, 공격자들은 더욱 정교하고 다양한 방법으로 정보를 수집하게 되었습니다. 이에 따라, 보안 전문가들은 새로운 보안 도전 과제에 직면하고 있으며, 이를 해결하기 위해선 Discovery 기법에 대한 깊은 이해와 지속적인 연구가 필요합니다. 2부에서는 최신 Discovery 기법들과 이에 대응하기 위한 혁신적인 보안 전략을 탐구합니다. 또한, 미래의 사이버 보안 환경에서 Discovery 기법이 어떤 역할을 할 것인지에 대해 전망해보며, 이를 통해 조직이 앞서가는 보안 전략을 수립할 수 있도록 안내합니다.

Remote System Exploration

Discovery 기술

Network Share Discovery
소개: 네트워크 공유 발견은 공격자가 네트워크 상의 공유 리소스, 파일 시스템, 그리고 이들에 대한 접근 권한 정보를 식별하는 과정입니다. 이 정보는 추가적인 공격 벡터를 제공할 수 있습니다.
대응법: 네트워크 공유에 대한 엄격한 접근 제어 정책을 구현하고, 불필요한 공유를 제거합니다. 또한, 정기적인 보안 감사를 통해 민감한 정보가 포함된 공유를 식별하고 보호합니다.

Network Sniffing
소개: 네트워크 스니핑은 공격자가 네트워크 트래픽을 모니터링하고 데이터 패킷을 가로채는 기법입니다. 이를 통해 민감한 정보를 획득할 수 있습니다.
대응법: 네트워크 통신의 암호화(예: VPN 사용)를 통해 데이터 패킷의 가독성을 제한합니다. 또한, 네트워크 모니터링 도구를 활용하여 의심스러운 스니핑 활동을 감지합니다.

Password Policy Discovery
소개: 비밀번호 정책 발견은 공격자가 목표 시스템의 비밀번호 정책을 파악하는 과정입니다. 이를 통해 비밀번호 공격의 효율성을 높일 수 있습니다.
대응법: 강력한 비밀번호 정책을 구현하고, 이를 정기적으로 갱신합니다. 또한, 사용자 교육을 통해 강력한 비밀번호 생성의 중요성을 강조합니다.

Peripheral Device Discovery
소개: 주변 장치 발견은 공격자가 시스템에 연결된 주변 장치(예: 프린터, 스캐너)를 식별하는 과정입니다. 이 정보는 추가적인 공격 경로를 제공할 수 있습니다.
대응법: 주변 장치의 보안을 강화하고, 불필요한 장치의 연결을 제한합니다. 또한, 장치에 대한 접근 제어를 강화하여 무단 접근을 방지합니다.

Permission Groups Discovery
소개: 권한 그룹 발견은 공격자가 시스템 내의 사용자 그룹 및 이들의 권한을 파악하는 과정입니다. 이 정보는 권한 상승 공격에 활용될 수 있습니다.
대응법: 최소 권한 원칙을 적용하고, 권한 그룹의 구성을 정기적으로 검토합니다. 또한, 권한 변경에 대한 감사 로깅을 활성화하여 무단 변경을 감지합니다.

Process Discovery
소개: 프로세스 발견은 공격자가 시스템에서 실행 중인 프로세스를 식별하는 과정입니다. 이 정보는 시스템의 취약점을 파악하고 공격을 위한 정보를 제공합니다.
대응법: 중요한 시스템 프로세스에 대한 모니터링과 관리를 강화하고, 불필요한 프로세스는 종료합니다. 보안 소프트웨어를 사용하여 악성 프로세스를 차단합니다.

Query Registry
소개: 레지스트리 쿼리는 공격자가 시스템 레지스트리에서 설정, 구성 정보, 그리고 설치된 소프트웨어 정보를 추출하는 기법입니다.
대응법: 중요 레지스트리 항목에 대한 접근을 제한하고, 레지스트리 변경에 대한 감사를 수행합니다. 보안 소프트웨어를 활용하여 무단 레지스트리 접근을 감지합니다.

Remote System Discovery
소개: 원격 시스템 발견은 공격자가 네트워크 상의 다른 컴퓨터나 장치를 식별하는 과정입니다. 이 정보는 네트워크 내에서의 이동을 위해 사용됩니다.
대응법: 네트워크 세분화와 함께 강력한 방화벽 정책을 구현하여, 불필요한 네트워크 트래픽과 원격 접근을 제한합니다.

 

Software Discovery
소개: 소프트웨어 발견은 공격자가 시스템에 설치된 소프트웨어 애플리케이션과 그 버전을 식별하는 과정입니다. 취약한 소프트웨어는 공격 목표가 될 수 있습니다.
대응법: 설치된 소프트웨어에 대한 정기적인 취약점 평가와 업데이트를 수행합니다. 불필요한 소프트웨어는 제거하여 공격 표면을 줄입니다.

System Information Discovery
소개: 시스템 정보 발견은 공격자가 운영 체제, 설치된 패치, 시스템 구성 등의 정보를 수집하는 과정입니다. 이 정보는 공격 계획을 세우는 데 사용됩니다.
대응법: 시스템 정보에 대한 접근을 최소화하고, 시스템의 보안 설정을 강화합니다. 보안 패치를 적시에 적용하여 취약점을 해결합니다.

System Location Discovery
소개: 시스템 위치 발견은 공격자가 네트워크 내의 시스템 위치 정보를 파악하는 기법입니다. 이는 특정 위치의 시스템을 타겟으로 하는 공격에 사용될 수 있습니다.
대응법: 위치 정보의 공개를 제한하고, 네트워크 접근 제어를 통해 민감한 시스템의 보호를 강화합니다. 위치 기반 보안 정책을 적용합니다.

System Network Configuration Discovery
소개: 시스템 네트워크 구성 발견은 공격자가 시스템의 네트워크 설정과 관련 정보를 수집하는 과정입니다. 이를 통해 네트워크 구조와 취약점을 파악할 수 있습니다.
대응법: 네트워크 구성 정보의 접근을 제한하고, 네트워크 보안 설정을 정기적으로 감사합니다. 네트워크 장비의 보안을 강화합니다.

System Network Connections Discovery
소개: 시스템 네트워크 연결 발견은 공격자가 시스템의 네트워크 연결, 활성 연결, 그리고 이를 통한 데이터 흐름을 식별하는 과정입니다.
대응법: 네트워크 연결에 대한 모니터링을 강화하고, 의심스러운 연결을 즉시 차단합니다. 보안 방화벽과 침입 탐지 시스템을 활용합니다.

System Owner/User Discovery
소개: 시스템 소유자/사용자 발견은 공격자가 시스템의 소유자나 사용자 계정 정보를 수집하는 과정입니다. 이 정보는 사회 공학 공격 등에 활용될 수 있습니다.
대응법: 사용자 계정 정보의 공개를 최소화하고, 사용자 교육을 통해 사회 공학 공격에 대한 인식을 높입니다. 이상 활동 감지를 위한 시스템을 구축합니다.

System Service Discovery
소개: 시스템 서비스 발견은 공격자가 시스템에서 실행 중인 서비스와 그 구성을 파악하는 과정입니다. 이 정보는 취약한 서비스를 공격하는 데 사용됩니다.
대응법: 불필요한 서비스는 비활성화하고, 실행 중인 서비스에 대한 보안 검토를 정기적으로 수행합니다. 서비스에 대한 접근 제어를 강화합니다.

System Time Discovery
소개: 시스템 시간 발견은 공격자가 시스템의 현재 시간 설정을 확인하는 과정입니다. 이 정보는 타이밍 기반 공격에 활용될 수 있습니다.
대응법: 시스템 시간 정보의 불필요한 공개를 제한하고, 시스템의 시간 동기화를 보안 강화된 방식으로 구성합니다. 시간 관련 보안 정책을 적용합니다.

Virtualization/Sandbox Evasion
소개: 가상화/샌드박스 회피는 맬웨어나 악성 코드가 가상화 환경이나 샌드박스를 감지하고, 이를 회피하는 기법입니다. 이를 통해 분석을 회피합니다.
대응법: 가상화 환경과 샌드박스의 보안을 강화하고, 악성 코드의 회피 기법에 대응할 수 있는 최신 보안 도구를 사용합니다. 동적 분석 환경을 다양화하여 탐지 능력을 향상시킵니다.

 

 

Virtualization Security

결론: 지속 가능한 보안을 위한 Discovery 기법의 적용

사이버 보안 환경은 지속적으로 발전하고 있으며, 이에 따라 Discovery 기법의 적용도 진화해야 합니다. 2부에서 검토한 최신 Discovery 기법과 대응 전략은 보안 전문가들이 오늘날의 복잡한 사이버 위협에 효과적으로 대응할 수 있는 방법을 제시합니다. 보안 전략의 핵심은 예측 가능성이 아니라, 적응력에 있습니다. 따라서, 조직은 지속적인 학습, 기술 개발, 그리고 직원 교육을 통해 보안 역량을 강화해야 합니다. 또한, 사이버 보안의 미래를 위해 Discovery 기법을 활용한 지속 가능한 보안 접근 방식의 개발이 중요합니다. 이를 통해, 조직은 변화하는 위협 환경 속에서도 강력하고 유연한 보안 체계를 유지할 수 있을 것입니다.

 

보안 전문가 필독! ATT&CK Matrix를 통한 Discovery 기법 완전 분석 - 1부