네트워크 인프라는 대부분의 산업에서 비즈니스 운영의 핵심입니다. 데이터를 중앙 집중화하고 데이터 교환을 단순화하며 직원 간의 의사 소통을 용이하게하기 때문에 조직 전체의 신경 센터로 간주 될 수 있습니다.
따라서 조직의 원활한 운영을 위해 필수적인 도구이며,점점 더 많고 정교한 외부 및 내부 공격으로부터 자신을 보호하기 위해 보안 측면에서 지속적인 관심이 필요합니다.
네트워크 인프라:사이버 공격의 궁극적 목표
유일한 문제는 네트워크 인프라에 대한 사이버 공격의 빈도,규모 및 영향이 계속 증가한다는 것입니다. 외부 및 내부 서버,네트워크 장치 및 장비,워크 스테이션은 초보자와 숙련 된 공격자가 대상으로합니다.이 모든 엔티티는 여전히 공격 표면이 크고 직원 인식이 부족하며 보안 결함,설계 불량,구성 및 구현,보안 조치가 약합니다.
공격자가 선호하는 목표를 가지고 있더라도 보안 사고로부터 보호되는 산업은 없습니다. 이것은 특히 의료,금융 및 소매 산업,이러한 분야에서 운영 하는 조직의 크기에 관계 없이 경우입니다.
이러한 공격에 대한 네트워크 인프라의 보안을 보장하기 위해서는 공격 표면의 감소,네트워크 세분화,통신 암호화,사회 공학 공격에 대한 사용자 인식,최소 권한 원칙,로그 모니터링 등의 특정 보안 조치가 필요합니다. 보안 감사 또는 침투 테스트를 해결하기 위해 컴퓨터 네트워크의 기존 결함을 감지 할 수있는 좋은 방법입니다.
이 기사에서는 네트워크 인프라에 대한 내부 및 외부 공격 중에 가장 자주 악용되는 일반적인 취약점(기술 및 조직)에 대해 침투 테스트 중에 발생한 구체적인 사례를 설명하여 설명합니다. 또한 위험을 줄이거 나 이러한 공격에 대응하기 위해 구현해야 할 모범 사례 및 조치를 자세히 설명합니다.
네트워크 인프라의 일반적인 취약점은 무엇이며 자신을 보호하는 방법은 무엇입니까?
공격 표면 관리 및 위험 노출
모든 컴퓨터 공격은 일반적으로 대상 회사의 공격 표면을 식별하기 위해 정찰 단계로 시작합니다. 즉,공격자는 잠재적으로 취약한 엔티티에 대한 공격을 시작하기 전에 가능한 한 많은 정보 시스템에 대한 정보를 수집합니다. 따라서 공격 영역은 네트워크 내부 또는 외부에 노출된 요소의 합으로 보안 사고를 유발하도록 공격할 수 있습니다: 서버(내부 및 외부),응용 프로그램,응용 프로그램,기술,버전,구성 요소,기술 또는 개인 데이터 등
이 모든 것들은 허가받지 않은 사람이 포트 스캔이나 구글이나 다크 웹에서 신중하게 검색 한 후 귀하의 정보 시스템에 침입하기 위해 악용 할 수있는 잠재적 인 취약점을 가지고 있습니다.
공격 표면을 줄이는 것은 내부 및 외부 공격으로부터 자신을 보호하는 사이버 보안의 핵심 원칙입니다. 이렇게 하려면 두 가지 작업이 필요합니다: 한편,공격 표면을 알고 따라서 시스템 아키텍처가 지속적으로 진화하고 있기 때문에 지속적으로 업데이트해야 그것의 전체 맵을 작성하는 것이 필수적이다. 한편,공격 표면을 줄이기 위해 시스템과 네트워크를 강화하기위한 조치를 구현해야합니다.
공격 영역을 매핑한다는 것은 모든 자산,버전,구현에 대한 최신 목록을 유지하고 전체 정보 시스템에 연동하는 것을 의미합니다. 이 작업은 수행하기가 매우 복잡하지 않습니다. 다음과 같은 도구 쇼단 또는 검열 이 과정을 용이하게합니다. 직원이 사용하는 도구,민감한 문서 또는 암호의 누출 가능성과 같이 나열되지 않았거나 알려지지 않은 요소에 대해서만 정찰 감사를 수행하기 위해 전문 제 3 자에게 전화하여 공격 표면을 줄이기위한 철저한 맵을 작성할 가치가 있습니다.
식별 후 공격 표면을 줄이기 위해 시스템 및 네트워크를 강화하는 작업은 다음과 같습니다(전체 목록이 아님).:
- 네트워크에 연결된 모든 서비스 및 장치의 기본 암호 변경
- 사용되지 않는 응용 프로그램,서비스 및 환경 제거 또는 제거
- 사용 된 타사 구성 요소 또는 서비스에서 발견 된 새 버전 및 취약점에 대한 기술 및 기술 모니터링
- 서버,응용 프로그램,데이터베이스 등에 대한 액세스 권한을 관리 할 때 최소 권한 원칙 구현
- 중요 시스템 및 응용 프로그램을 분할하여 네트워크 세분화
- 중요 응용 프로그램 및 시스템에 대한 다단계 인증 시스템 구현
내부 네트워크 세분화 및 피벗 공격 부족
대부분의 네트워크는 플랫 네트워크로 설정되며,각 서버와 워크스테이션은 동일한 로컬 영역 네트워크에서 실행되므로 네트워크의 각 응용 프로그램과 시스템은 다른 모든 것과 통신하고 연결할 수 있습니다.
보안 관점에서 볼 때 이러한 시스템의 대부분은 서로 상호 작용할 필요가 없으므로 이러한 유형의 관행은 피해야합니다. 또한 플랫 네트워크(공격자 또는 맬웨어에 의해)가 공격을 받고 하나의 시스템이 손상되면 전체 정보 시스템도 위험에 처하게됩니다. 실제로 이러한 공격은”피벗”이라는 방법을 사용합니다.이 방법은 손상된 엔티티를 사용하여 다른 요소에 액세스하고 네트워크에서 자유롭게 이동하는 것으로 구성됩니다.
따라서 네트워크 분할은 공격을 피할 수 없더라도 성공적인 공격의 영향을 줄이는 주요 방법 중 하나로 남아 있기 때문에 필수적인 보안 조치입니다. 원리는 간단하다. 이름에서 알 수 있듯이 컴퓨터 네트워크를 가상 로컬 영역 네트워크 내에서 서로 격리 된 더 작은 네트워크 세그먼트로 나누는 것이 포함됩니다. 이를 통해 보안 문제 및 우선 순위,특히 이러한 시스템의 중요도에 따라 응용 프로그램,서버,워크 스테이션을 네트워크 하위 파티션으로 그룹화 할 수 있습니다. 필터링 및 방화벽은 영역 분할을 용이하게합니다.
와이파이의 사용은 또한 그것 공격을 위한 진입점을 제공할 수 있다. 우선,개인 또는 방문자 터미널의 와이파이 연결을 조직의 터미널(일반적으로 게스트 와이파이 사용)과 구별 한 다음 와이파이 네트워크에 연결하는 스테이션의 흐름을 필터링하고 제한하는 것이 필수적입니다. 이를 위해,여러 와이파이 네트워크 만 필요한 요소가 회사 내에서 다양한 사용자 그룹에 의해 액세스되는 것을 보장하면서 특정 중요한 리소스에 대한 액세스를 제한하기 위해 조직 내에서(분명히 분할 각 하나)를 설정할 수 있습니다.
내부 네트워크에서 회색 상자 침투 테스트 중에 수행 된 세분화 테스트의 구체적인 예입니다. 테스트가 회색 상자에서 수행 된 바와 같이,감사를 담당하는 펜 테스터는 네트워크의 분할을 테스트하기 위해 게스트 와이파이에 대한 액세스 권한을 부여했다:
- 테스트 중에 네트워크 내에서 사용할 수 있는 프린터를 제외하고 네트워크가 잘 분할되었습니다: 이 취약점이 악의적인 공격자에 의해 악용되었다면,그는 프린터를 공격 벡터로 사용하여 내부 네트워크를 손상시킬 수 있었을 것입니다.
- 펜테스터의 권고는 따라서 프린터에 대한 액세스를 회사 직원에게만 제한하고 관리 인터페이스에 대한 로그인 자격 증명을 변경하는 것이었다.
따라서,네트워크 아키텍처의 분할은 정보 시스템의 구분된 경계로 침입의 결과를 제한한다. 사이버 공격의 경우 공격자 또는 맬웨어의 측면 이동이 불가능하므로 전파가 방지됩니다. 또한 여러 하위 네트워크가 자체적으로 소규모 네트워크 역할을하므로 관리자는 각 네트워크 간의 트래픽 흐름을 더 잘 제어 할 수 있으므로 비정상적인 이벤트를 더 쉽게 발견 할 수 있습니다.
그럼에도 불구하고 중요한 시스템과 응용 프로그램을 서로 격리하기 위해 설정된 세분화가 견고한지 확인하는 테스트를 수행하는 것이 중요합니다. 내부 네트워크 펜테스트가 가장 효과적인 방법입니다. 침투 테스트 중에 펜 테스터는 중요한 시스템,응용 프로그램 및 데이터에 대한 액세스를 허용 할 수있는 잠재적 인 취약점(기술적 결함,구성 또는 구현 결함)을 식별하기 위해 네트워크 외부 및 네트워크 내부에서 세분화 컨트롤에 중점을 둡니다.
내부 침투 테스트를 통해 중요한 시스템과 응용 프로그램이 보안 수준이 낮은 네트워크와 통신하지 않도록 합니다. 이러한 테스트의 목적은 세그멘테이션이 의도한 대로 작동하는지,그리고 공격자나 맬웨어에 의해 악용될 수 있는 허점이 없는지 확인하는 것입니다.
통신 암호화 부족,스니핑 및 중간 공격에 대한 인간
일부 내부 네트워크는 정보가 일반 텍스트,즉 암호화되지 않은 텍스트로 전송되도록 구성됩니다. 이 정보는 계정 아이디 및 관련 암호,민감한 데이터(개인,은행 등)일 수 있습니다.),건축 문서 및 다른 긴요한 정보,등등. 이러한 관행은 외부 공격자(네트워크에 대한 액세스 권한을 얻은)및 악의적 인 직원에 의해 정보 시스템이 손상 될 위험을 크게 증가시킵니다. 통신이 액세스 포인트에 의해 덮여 경계를 가로 챌 수 있기 때문에 위험은 와이파이 네트워크에 대한 더 크다.
네트워크의 컴퓨터가 손상되면 공격자는 와이어 샤크와 같은 네트워크 트래픽을 도청하는 소프트웨어를 사용하여 모든 브로드캐스트 정보를 검색할 수 있습니다. 이 프로세스에서는’스니핑’이라고 합니다.
스니핑의 영향을 높이기 위해 공격자는 자신을”중간에있는 사람”에 넣습니다. 또한 스파이 공격으로 알려진 중간 공격에 남자,에터 캡과 같은 도구를 사용하여,두 기계 또는 서버 사이의 정보 트랜잭션에 침입 공격자로 구성되어 있습니다. 일단 중간 위치에있는 사람,공격자는 민감한 정보와 데이터를 유출하는 트래픽을 청취하기 위해 와이어 샤크를 시작합니다.
내부 네트워크에서 회색 상자 침투 테스트 중에 발생한 콘크리트 케이스:이 서버와 네트워크 상의 모든 컴퓨터 사이의 중간에 있는 사람은 와이어샤크를 사용하여 들어오는 중소기업 통신을 가로채고 분석한다.
중간 공격 스니핑과 사람의 위험의 정도를 감안할 때,네트워크에 순환하는 정보의 암호화가 필요하다. 데이터를 암호화하는 것은 암호 해독 키 없이는 이해할 수 없게 만드는 것을 의미합니다. 가장 일반적인 보안 조치는 기존 프로토콜에 암호화 계층을 추가하는 것입니다. 이 문제를 해결하려면 다음을 수행하십시오.). 이 프로토콜은 암호화를 가능하게 하여 통신의 기밀성을 보장합니다.
액세스 및 신원 관리
무차별 대입 공격 또는 암호 분사 및 권한 에스컬레이션을 포함한 인증 기능에 대한 공격과 관련하여 일반적인 웹 응용 프로그램 취약점에 대한 이전 기사에서 이미 메커니즘을 자세히 설명했습니다. 따라서 인증 시스템을 통해 액세스할 수 있는 네트워크 인프라의 모든 엔터티에 적용되므로 참조할 수 있습니다. 더하여,우리는 열성적인 기사안에 활동 전화번호부 공격에 돌아올 것이다.
로깅 및 모니터링 부족
로깅 및 모니터링의 부족은 공격자가 가능한 한 오랫동안 네트워크에서 자신의 위치를 유지할 수있는 기술적 및 조직적 결함입니다.
네트워크 세분화와 마찬가지로 좋은 로깅 및 모니터링 관행이 공격에 대한 최대 보호를 보장하지는 않지만 비정상적인 이벤트 및 침입을 감지하고 영향을 줄이는 좋은 방법으로 남아 있음을 지정하는 것이 중요합니다. 주요 원칙 및 메커니즘은 무엇입니까?
네트워크 내 통신에 관련된 대부분의 요소(정보 교환,데이터 교환 등))그것에 대한 정보를 보관하십시오. 실제로 실행중인 모든 시스템과 응용 프로그램은 발생하는 모든 이벤트를”기록”합니다. 마찬가지로 라우터,프록시 및 방화벽과 액세스 포인트는 각 패킷을 추적합니다. 그런 다음 이 정보는 각 엔터티가 속한 컴퓨터의 시스템에 의해 관리됩니다. 특정 기간 동안 일반적으로”로그”라고하는 전용 파일에 저장됩니다.
효율적인 공격자는 네트워크에서 하나 이상의 컴퓨터를 손상시킨 후 항상 자신의 트랙을 지 웁니다. 이것은 손상된 네트워크의 관리자의 눈에서 자신의 존재를 숨기고 손상된 컴퓨터에서 가능한 한 오랫동안 자신의 위치를 유지하는 것입니다. 따라서 좋은 로그 관리는 침입을 신속하게 감지하고 효과적으로 반응하는 데 매우 유용합니다.
로그의 관리 및 악용을 용이하게하기 위해,그들은 쉽게 관리 할 수 있도록 내부 서버 영역에 중앙 집중화되어야한다. 그런 다음 다른 컴퓨터의 로그 파일에 나열된 모든 이벤트를 모니터링하고 동기화하는 프로그램(에이전트)을 구현해야 합니다.
컴퓨터가 손상될 경우 공격자에 의해 로그가 파괴될 가능성이 높기 때문에 중요합니다. 중앙 집중화,동기화 및 로그를 복제하면 항상 복사본을 확보 할 수 있습니다.
인간의 결함 및 사회 공학 공격
기술적 결함,구성 또는 구현 문제 외에도 공격자가 정보 시스템을 손상시키기 위해 가장 자주 악용하는 취약점은 여전히 인간입니다. 회사의 직원은 여전히 사이버 보안에서 가장 약한 고리이며 공격자는 이것을 알고 있으며 성공적인 사이버 공격의 소식이 그것을 증명합니다!
피싱 공격 통계에 대한 아이비엠 보고서에 따르면 2018 년 데이터 유출의 평균 비용은 390 만 달러였다. 그리고 2019 년 인터넷 범죄 보고서에서 벡 공격(비즈니스 이메일 타협–사기범이 회사 임원 또는 공급 업체로 포즈를 취하여 직원을 속여 공격자가 통제하는 은행 계좌로 지불을 이체하는 공격)은 전 세계 기업들에게 약 16 억 달러의 비용이 소요될 것이라고 추정했습니다.
사회 공학 공격의 원리는 간단하며,그 구현은 대부분의 경우 많은 기술적 지식을 필요로하지 않습니다. 공격자는 인간의 심리적 자원에 의존 한 다음 사회적 기술을 사용하여 회사 또는 그 시스템에 대한 정보를 얻거나 손상시킵니다(응용 프로그램,외부 인프라,내부 네트워크,재개 할 정보 시스템의 전부 또는 일부).
이메일이 주요 공격 벡터로 남아 있습니다. 비싱(전화 공격)와 함께 피싱,스피어 피싱(사람들의 제한된 그룹에 피싱)를 사용하여,공격자는 우리의 자연적인 호기심,의무의 우리의 감각,우리의 전문 양심,거래에 대한 우리의 애정을 활용하는 방법을 알고,우리를 설득 링크를 클릭하거나 첨부 파일을 다운로드합니다. 인터페이스 클론 또는 악성 코드,그들은 여전히 관리:
최근 몇 년 동안 중소기업에 대한 성공적인 사회 공학 공격의 사례가 많이있었습니다. 그리고 그 결과는 종종 파괴적이고 돌이킬 수 없습니다. 그러나 사회 공학 공격의 영향을 제한하는 간단한 방법이 있습니다.
- 첫째,도전과 위협에 적합한 보안 전략을 생각하고 구현하십시오. 모든 시스템의 암호화,네트워크의 세분화,액세스 및 정체성의 엄격한 관리,공격 표면의 감소는 공격에 대응하거나 영향을 줄이는 모든 방법입니다.
- 그리고 무엇보다도 외부 인프라 또는 내부 네트워크에 대한 침투 테스트를 통해 시스템의 견고성을 테스트하십시오. 침투 테스트는 외부 및 내부 공격자에 대한 시스템의 보안을 테스트하는 가장 좋은 방법입니다. 원리는 간단하다:잠재적 인 취약점을 식별하고 공격자에 의해 악용되기 전에 신속하게 수정합니다. 외부 인프라 침투 테스트는 외부에 열려있는 구성 요소의 취약점을 검색 할 수 있습니다. 내부 네트워크 테스팅은 서버,와이파이,네트워크 장비,워크 스테이션 등 식별 된 요소에 대한 보안 테스트를 수행하기 전에 네트워크를 매핑하는 것으로 구성됩니다. 테스트 후 발행된 보고서를 통해 발견된 취약점의 메커니즘을 이해하여 이를 재현하고 수정할 수 있습니다.
- 그런 다음 내부적으로 또는 전문 제 3 자를 통해 사회 공학 테스트를 수행하십시오. 이것은 당신이 겉으로는 무해한 이메일,전화 또는 귀하의 건물에 물리적 침입에 직면했을 때 직원의 행동을 평가할 수 있습니다(예를 들어,갇힌 키 입금),하지만 그들은 악한 해커의 결과 인 경우 극적인 영향,우리가 좋은 해커에 반대. 이 테스트의 결과는 팀의 인식을 최적화하는 데 사용할 수 있습니다.
- 마지막으로,사이버 보안은 모든 사람의 비즈니스 여야 하기 때문에 지속적으로 인식을 제고하고 모든 직원을 교육해야 합니다. 당신은 인식 제고 팀 회의를 구성하거나 사이버 보안의 주제에 당신의 전문 팀에 의해 제공되는 교육 과정을 수행 할 수 있습니다. 또한 사회 공학 공격에 대한 인식을 높이기위한 제 3 자 교육 과정이 있습니다. 이러한 비 기술적 인 교육 과정은 쉽게 피싱,비싱,인터페이스 클론,랜섬웨어를 통해 사이버 공격의 메커니즘을 이해하고,미끼를 복용 피하기 위해 채택 할 모범 사례와 자세 할 수 있습니다.
외부 인프라,내부 네트워크 또는 사회 공학 테스트에 대한 교육 프로젝트 또는 침투 테스트와 관련된 질문은 당사에 문의하십시오. 우리는 귀하의 요구 사항을 논의하고 예산 또는 조직 여부에 관계없이 보안 문제 및 제약 조건에 적합한 개입을 제공 할 것입니다.