2019-12-14 17:30 (토)
BAS 플랫폼 'AttackIQ(어텍아이큐)', 조직의 해킹대응능력 강화와 보안인프라 효과검증 가능해
상태바
BAS 플랫폼 'AttackIQ(어텍아이큐)', 조직의 해킹대응능력 강화와 보안인프라 효과검증 가능해
  • 길민권 기자
  • 승인 2019.11.13 13:57
이 기사를 공유합니다

MITRE ATT&CK(마이터 어택) 기반, 보안 솔루션 효율성과
공격 형태에 따른 전술을 시뮬레이션해 실제 공격 발생하기 전 문제점 스스로 진단하고 대응
AttackIQ의 필요성

침해사고와 신규 위협은 계속 증가하고 있다. 많은 기업들은 “우리가 침해사고를 막을 수 있는지 사전 검증할 방법은 없을까. 그리고 우리가 도입한 보안솔루션들이 제 역할을 하고 있을까” 등을 고민하고 있다.

조직의 보안팀 스스로 해킹 대응 능력을 진단하고 지속적인 테스트와 검증을 통해 대응능력을 키워나갈 방안 그리고 도입한 보안솔루션이 얼마나 효율적이고 제 역할을 하고 있는지 검증할 방법이 필요하다. 이에 대두된 솔루션이 ‘AttackIQ(어텍아이큐)’다.

AttackIQ(어텍아이큐)는 MITRE ATT&CK(마이터 어택) 기반으로 정의된 공격자 시나리오를 통해 보안 솔루션의 효율성과 공격 형태에 따른 전술을 시뮬레이션해 실제로 공격이 발생하기 이전에 문제점을 스스로 진단하고 대응할 수 있도록 해주는 BAS(Breach & Attack Simulation) 플랫폼이다.

AttackIQ는 레드팀 및 블루팀이 보안 제어 및 직원의 효율성을 테스트하고 측정할 수 있는 플랫폼을 업계 최초로 구축한 지속적인 보안 검증 시장 전문 기업이다. 보안 컨설팅, 침투 테스트, 위협 조사, 공격 모델링, 제품 개발 및 서비스 분야에서 수년간의 경험을 가진 보안 전문가팀이 2013년 설립했으며, 전 세계 유수의 기업과 군 기관에 글로벌 레퍼런스를 구축하고 있다.

AttackIQ의 침입 및 공격 시뮬레이션을 통해 1차 경계 보안 솔루션의 방어 역량 평가 및 2차 내부 행위 기반 위협을 가시화할 수 있다. 지속적인 테스트와 검증으로 스스로 진단하고 대응하는 능력을 향상시키고, 진화하는 공격 전술과 기술을 모방한 공격 시나리오로 선행적인 사이버 대응 전략 확립이 가능하다.

실제 공격이 발생하면 100% 방어와 관련 위협 정보를 정확히 파악하는 것은 불가능하다. 실제 위협이 발생하면 보안 담당자는 벤더나 보안 솔루션 업체에 연락해 패치가 나오거나 패턴이 업데이트될 때까지 기다려야 하는 것이 현실이다.

AttackIQ는 사전에 고객이 구축한 방어 솔루션이 공격 위협으로부터 어느 정도 방어 역량이 되는지 공격자와 유사한 시나리오로 공격을 시뮬레이션 하여 탐지나 대응이 안 되는 부분을 사전에 파악해 취약한 부분을 강화할 수 있는 방안을 제공한다. 1차 방어가 뚫린다고 가정하면 엔드포인트 입장에서 2차 공격이 어디까지 피해가 전파될 수 있으며, 어떤 형태로 문제가 발생할 수 있는지 MITRE ATT&CK 프레임워크 기반에 행위 기반 위협 시뮬레이션을 제공한다. 또한, 경계 보안 솔루션들이 어떠한 위협에 노출되어 있는 지를 파악하고 이를 통과한 악성 위협들이 실제 고객사 내부에 어떻게, 어느 정도 피해를 줄 수 있는지 명확하게 제시한다.

경계 보안 솔루션들은 노출된 위협을 방어할 수 있도록 강화할 수 있지만, 행위 기반 위협들에 대한 조치는 고객사가 현재 보유한 솔루션이나 기술로 해결하기 어려운 부분이 있습니다. AttackIQ는 향후 어떠한 부분에 보안 투자를 집중해야 하는 지에 대한 의사결정을 통해 합리적으로 보안 전략을 수립할 수 있게 도와줍니다.

◇AttackIQ 작동 방식

AttackIQ 특징
AttackIQ 특징

AttackIQ는 보안팀이 지속적으로 보안 인프라를 테스트하고 자동화된 주문형 공격 시나리오를 실행해 보안 전문가의 글로벌 커뮤니티 내 전문 지식을 활용할 수 있는 공격 방어 형태의 개방형 플랫폼이다.

시뮬레이션을 구현하기 위해 고객사 자산에 설치된 에이전트와 공격 시나리오 관리를 위한 FireDrill 서버와 통신해 아래와 같은 프로세스로 작동한다.

1. 공격 시뮬레이션을 위한 시나리오 선택

2. 공격 시뮬레이션을 통한 보안 솔루션의 효율성 및 공격 단계별 위협 평가

3. 공격에 성공한 시나리오에 대한 결과 확인 및 완화 방안 조치

◇AttackIQ 특징

AttackIQ는 기존 인프라에 맞게 설계되었다. AttackIQ의 관리 콘솔을 사내 구축형, 가상 사설 클라우드 또는 관리형 멀티 테넌트 클라우드로 실행할 수 있는 배포 옵션을 통해 IT 요구사항 및 용량에 가장 적합한 배포 결정을 유연하게 수행할 수 있다.

또 광범위한 시나리오 라이브러리를 통해 적대적 행동에 대한 보안 통제를 적극적으로 실행할 수 있다. 공격자의 행위에 대한 시뮬레이션(TTP: Tactics, Techniques in Procedures)과 온디맨드 방식, 스케줄 설정 및 API를 통한 수행이 가능하다. 기본적으로 1천600여 개의 시나리오 템플릿을 제공하며, 이를 레고 블록처럼 고객이 원하는 형태로 조합해 어떠한 공격이라도 시뮬레이션 할 수 있다. 특별히 고객 환경에 따른 수정된 시나리오를 원할 경우 제공되는 소스를 수정해 고객이 원하는 시나리오로 수정도 가능하다. 즉 어떻게 공격 시뮬레이션을 수행하는지 보여주는 플랫폼이다.

MITRE ATT&CK는 공격자 행위의 구조화된 목록으로 공격자가 사용하는 행동을 포괄적으로 나타내어 다양한 공격 및 방어 측정, 표현, 기타 매커니즘에 유용하다. 보안 컨트롤 및 그 효능을 테스트하고 다양한 전술과 기술에 대한 역량을 보장한다. 가시성과 보안의 갭에 대한 이해가 가능하며, 도구와 시스템의 구성을 검증할 수 있다. 추측과 가정이 아닌 실제로 탐지되거나 완화되는 대상과 그렇지 않은 대상을 정확히 파악해 어떠한 공격 요소가 공격에 성공했고 또한 방어에 성공했는가를 설명할 수 있다.

또 AttackIQ는 공격자 입장에서 시뮬레이션을 해 어떤 솔루션에서 탐지가 되었는지 혹은 어느 지점에서 방어에 실패했는지 파악할 수 있는 검증 방안이다. 직접 및 통합 지점에서 다양한 보안 솔루션에 통합되어 전체적인 파이프라인의 유효성을 검사한다. SIEM, SOAR, 엔드포인트, 네트워크, 클라우드, 식별 및 데이터 검증뿐만 아니라 관련 프로세스 및 사람들의 유효성을 검증한다.

현재의 보안 효과와 비즈니스에 대한 노출을 알리기 위해 AttackIQ 플랫폼에는 많은 경영진 및 기술 보고서도 있다. 이 보고서는 비즈니스에 대한 위험 노출이 가장 큰 분야를 대상으로 하고 우선 순위를 지정하는데 도움이 된다. 또한 AttackIQ 플랫폼은 IT 및 보안 워크플로우에 자동으로 알림을 보내어 위험 노출을 최소화하는 방법에 대한 완화 및 실행 가능한 인텔리전스를 제공하도록 구성할 수 있다.

API는 응용 프로그램, 시스템, 데이터베이스 및 디바이스간의 연결고리로 전반적인 비즈니스전략비 지원하기 위한 필수 요소이자 원동력이다. AttackIQ가 지원하는 API 접근 방식은 기존 IT 인프라 구조에 플랫폼을 통합하고 워크플로우에 적합한 플랫폼과 통신하며 팀 협업을 통한 효율성과 생산성을 향상시킬 수 있다. API 외에도 AttackIQ는 맞춤형 시나리오, 통합 및 평가 템플릿을 개발할 수 있는 개발 SDK를 제공한다.

AttackIQ는 집단 지성을 제공하고 전반적인 비즈니스 위험을 최소화하는 것을 목표로 전문 지식을 전달하고 공유하는 글로벌 보안 전문가 집단의 신뢰할 수 있는 커뮤니티를 운영한다.

AttackIQ 커뮤니티는 기술 플랫폼과 API 사용, 시나리오, 통합 및 평가 템플릿 생성에 대한 개발을 지원하고, 공격자 행동, 보안 제어 기능 및 구성에 대한 기사, 블로그, 공격자 TTP 및 방어 전략과 관련된 콘텐츠, 아이디어, 문제 및 솔루션을 공유하기 위한 옵트인 리소스를 제공한다.

◇AttackIQ 활용

고객사의 보안 현황 및 보안 수준 확인을 위해 11개의 전술과 약 160여 개의 시나리오를 기반으로 평가를 수행할 수 있다. 이를 통해 조직의 보안 역량 수준에 맞게 활용할 수 있다.

보안 역량이 낮은 경우 어느 부문이 취약하고 보안 솔루션을 어떠한 단계로 구축해야 하는지 결정할 수 있다. 보안 역량이 중간인 경우는 네트워크 레벨 보안 취약점 파악, 엔드포인트 레벨 보안을 강화하기 위해 무엇을 해야하는지 결정할 수 있다. 그리고 보안 역량이 높은 경우는 방어 시스템의 약점 파악, 현재 방어 역량에 지속적인 공격 측면의 검증 프로세스를 추가해 종합 보안 시스템 구축 여부를 판단할 수 있다.

◇AttackIQ 기대효과

AttackIQ는 보안 테스트, 보안 운영자 훈련 및 가상 공격 시뮬레이션을 위한 통합 플랫폼이다. 공격자가 생각하고 행동하는 방식으로의 방어 매트릭스를 구축해 위협 현황을 가시화해 준다.

기존 사이버 방어 체계의 방어 역량 평가와 강화된 침투 시뮬레이션 및 보안 팀 훈련(사이버 모의 훈련, 계열사 사이버 공격 대응 훈련), 전체 보안 현황의 일관된 베이스라인 확보 후 향후 개선해야 할 지표를 조치하여 개선 효과의 정량화, 보안 솔루션 구매 개선, 현재의 보안 상태와 실제 위협 요소와의 연결 분석을 통해 올바른 보안 전략 수립, 시그니처, IOC, 행위 기반 위협에 대한 탐지 능력 향상 및 위협 가시화가 가능하다.

AttackIQ 한국총판 소프트와이드시큐리티는 BAS 플랫폼을 국내에 처음으로 도입한 이후, 연구 개발 기간을 거쳐 한국형 서비스 모델을 구축했다.

소프트와이드시큐리티 관계자는 “AttackIQ는 마이터 어택의 공격 시나리오를 통해 사용자가 공격 유형을 정의하고 원하는 대로 시나리오를 구성해 테스트할 수 있고, 어떻게 공격이 이루어지는지 보여주는 유일한 BAS 플랫폼”이라며 “사전 공격을 통해 선제적 대응이 가능하고 행위 기반의 위협을 가시화해 엔드포인트와 기존의 방어 체계를 강화할 수 있는 솔루션”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★