측면 이동
측면 이동이란 무엇입니까?
측면 이동은 사이버 공격자가 초기 액세스 권한을 얻은 후 민감한 데이터 및 기타 고 부가가치 자산을 찾기 위해 네트워크 깊숙이 이동하는 기술을 말합니다. 네트워크에 진입 한 후 공격자는 손상된 환경을 통해 이동하고 다양한 도구를 사용하여 증가 된 권한을 획득하여 지속적인 액세스를 유지합니다.
측면 운동은 과거의 단순한 사이버 공격에서 오늘날의 진보 된 지속적인 위협을 구별하는 핵심 전술이다.
측면 이동을 통해 위협 행위자는 처음 감염된 컴퓨터에서 발견되더라도 탐지를 피하고 액세스를 유지할 수 있습니다. 그리고 장기화 드웰 시간,데이터 도난은 원래 위반 후 몇 주 또는 몇 달까지 발생하지 않을 수 있습니다.
피싱 공격 또는 맬웨어 감염과 같은 끝점에 대한 초기 액세스 권한을 얻은 후 공격자는 합법적 인 사용자를 가장하고 최종 목표에 도달 할 때까지 네트워크의 여러 시스템을 통해 이동합니다. 이 목표를 달성하려면 여러 시스템 및 계정에 대한 정보 수집,자격 증명 획득,권한 확대 및 궁극적으로 식별 된 페이로드에 대한 액세스 권한이 필요합니다.
2021 크라우드스트라이크 글로벌 위협 보고서
2021 글로벌 위협 보고서를 다운로드하여 지난 해 우리 팀이 관찰한 공격자의 끊임없이 진화하는 전술,기술 및 절차의 추세를 파악하십시오.
지금 다운로드
측면 이동의 일반적인 단계
측면 이동의 세 가지 주요 단계가 있습니다:정찰,자격 증명/권한 수집 및 네트워크의 다른 컴퓨터에 대한 액세스 확보.
정찰
정찰하는 동안 공격자는 네트워크,사용자 및 장치를 관찰,탐색 및 매핑합니다. 이 맵을 통해 침입자는 호스트 명명 규칙 및 네트워크 계층 구조를 이해하고 운영 체제를 식별하며 잠재적 인 페이로드를 찾고 정보에 입각 한 정보를 얻을 수 있습니다.
위협 행위자는 다양한 도구를 배포하여 네트워크의 위치,액세스 할 수있는 항목 및 방화벽이나 기타 억제 장치가 무엇인지 파악합니다. 공격자는 포트 검색,프록시 연결 및 기타 기술을 위해 많은 외부 사용자 지정 도구 및 오픈 소스 도구를 활용할 수 있지만 기본 제공 창 또는 지원 도구를 사용하면 탐지하기가 더 어려워지는 이점을 제공합니다.
정찰 중에 사용할 수 있는 기본 제공 도구는 다음과 같습니다:
- 컴퓨터의 현재 네트워크 연결을 표시합니다. 이는 중요한 자산을 식별하거나 네트워크에 대한 지식을 얻는 데 사용할 수 있습니다.
- 네트워크 구성 및 위치 정보에 대한 액세스를 제공합니다.
- 캐시는 물리적 주소에 대한 정보를 제공합니다. 이 정보는 네트워크 내의 개별 컴퓨터를 대상으로 하는 데 사용할 수 있습니다.
- 로컬 라우팅 테이블에 연결된 호스트의 현재 통신 경로가 표시됩니다.
- 파워쉘,강력한 명령줄 및 스크립팅 도구,현재 사용자가 로컬 관리자 액세스 권한이 있는 네트워크 시스템을 빠르게 식별할 수 있습니다.
공격자가 액세스 할 중요한 영역을 식별하면 다음 단계는 항목을 허용하는 로그인 자격 증명을 수집하는 것입니다.
자격 증명 덤프 및 권한 에스컬레이션
네트워크를 통해 이동하려면 공격자가 유효한 로그인 자격 증명이 필요합니다. 불법적으로 자격 증명을 얻는 데 사용되는 용어를”자격 증명 덤핑”이라고합니다.”이러한 자격 증명을 얻는 한 가지 방법은 오타 스쿼팅 및 피싱 공격과 같은 사회 공학 전술을 사용하여 사용자를 속여 공유하도록 유도하는 것입니다. 자격 증명을 훔치는 다른 일반적인 기술은 다음과 같습니다:
- 해시를 전달하는 것은 사용자의 암호에 액세스하지 않고 인증하는 방법입니다. 이 기술은 일단 인증되면 공격자가 로컬 또는 원격 시스템에서 작업을 수행할 수 있도록 하는 유효한 암호 해시를 캡처하여 표준 인증 단계를 무시합니다.
- 패스 티켓은 케르 베로스 티켓을 사용하여 인증하는 방법입니다. 도메인 컨트롤러를 손상시킨 침입자는 무기한 유효하며 암호 재설정 후에도 모든 계정을 가장하는 데 사용할 수 있는 오프라인”골든 티켓”을 생성할 수 있습니다.
- 미미카츠와 같은 도구는 손상된 컴퓨터의 메모리에서 캐시된 일반 텍스트 암호나 인증 인증서를 도용하는 데 사용됩니다. 그런 다음 다른 컴퓨터에 인증하는 데 사용할 수 있습니다.
- 키 로깅 도구를 사용하면 의심하지 않는 사용자가 키보드를 통해 암호를 입력 할 때 공격자가 직접 암호를 캡처 할 수 있습니다.
액세스 획득
내부 정찰을 수행한 다음 보안 제어를 우회하여 연속적인 호스트를 손상시키는 과정은 대상 데이터가 발견되고 유출될 때까지 반복될 수 있다. 그리고 사이버 공격이 더욱 정교 해짐에 따라 종종 강한 인간 요소를 포함합니다. 이것은 조직이 적으로부터의 이동과 반격에 직면 할 수있는 측면 운동에 특히 해당됩니다. 그러나 인간의 행동은 강력한 보안 솔루션을 통해 탐지 및 차단 될 수 있습니다.
측면 이동 탐지 및 방지
공격자가 관리자 권한을 확보하고 네트워크에 대한 더 깊은 액세스를 얻으면 악의적 인 측면 이동은”정상적인”네트워크 트래픽으로 보일 수 있으므로 탐지하기가 매우 어려울 수 있습니다. 또한 인간 공격자는 수집 된 정보를 기반으로 계획을 변경하고 다양한 기술과 도구를 배포 할 수 있습니다. 그리고 적들이 내장 시스템 도구를 사용할 때 탐지가 더욱 어려워집니다. 그것은 찾아 비용이 많이 드는 손실을 방지하기 위해 가능한 한 빨리 이러한 침입자를 제거하는 것이 필수적입니다.
브레이크 아웃 시간 및 1-10-60 규칙
브레이크 아웃 시간은 처음에 시스템을 손상시킨 후 침입자가 네트워크의 다른 시스템으로 옆으로 이동하기 시작하는 데 걸리는 시간입니다. 작년에 크라우드 스트라이크는 평균 1 시간 58 분의 브레이크 아웃 시간을 추적했습니다. 즉,조직은 위협을 탐지,조사 및 수정하거나 포함하는 데 약 2 시간이 걸립니다. 시간이 오래 걸리면 상대방이 중요한 데이터와 자산을 훔치거나 파괴할 위험이 있습니다.
사이버 공간에서의 전투에서 승리하려면 속도가 가장 중요합니다. 적을 이길 수있는 유일한 방법은 빨리되는 것입니다-감지 조사 및”브레이크 아웃 시간 내에 침입을 포함하여합니다.”
최고 민간 기업은 크라우드 스트라이크가 1-10-60 규칙으로 언급하는 것을 준수하기 위해 노력하고 있습니다—1 분 이내에 침입을 탐지하고 10 분 이내에 조사하며 60 분 이내에 문제를 격리하거나 해결합니다. 적들이 오래 머문 체류 시간 동안 측면 이동을 할 수 있을수록 공격은 결국 성공할 가능성이 높아집니다.
측면 이동 방지 단계
방어력을 강화하고 체류 시간과 그 결과를 줄이거 나 없애기 위해 취할 수있는 세 가지 중요한 단계가 있습니다.
1 단계:엔드포인트 보안 솔루션 업데이트
수개월의 체류 시간에 걸쳐 많은 유명 공격이 발생했으며 표준 보안을 쉽게 회피하기 위해 옆으로 이동했습니다. 현대의 공격자는 많은 조직이 기존 또는 표준 보안 솔루션(현대 해킹 도구로 쉽게 우회 할 수있는 기술)에 계속 의존한다는 사실에 의존합니다. 이제 오늘날의 정교한 공격에 대처하기 위해 목표로하는 경우 차세대 유명 및 행동 분석 기능을 포함하는 포괄적 인 기술로 업그레이드해야합니다.
크라우드스트라이크의 대시보드는 탐지에 대한 즉각적인 가시성을 제공합니다.
또한 보안 전략을 재평가하여 가능한 가장 효과적인 보안 접근 방식을 확보할 수 있습니다. 단일 에이전트에 두 가지 기능을 모두 갖는 것이 필수적인 첫 번째 단계입니다.
2 단계: 고급 위협에 대한 사전 예방적 검색
많은 조직이 경보가 부족해서가 아니라 조사할 수가 너무 많기 때문에 침해의 피해자가 됩니다. 과다 경고 및 오 탐지는 경고 피로를 유발할 수 있습니다.
보안 솔루션이 너무 많은 오 탐지를 제공하거나 컨텍스트가 없고 우선 순위를 지정할 방법이 없는 경고를 받는 경우 중요한 경고가 누락되기까지는 시간 문제일 뿐입니다. 실제 전문가가 사용자 환경에서 발생하는 상황을 사전에 파악하고 비정상적인 활동이 감지되면 팀에 자세한 경고를 보내는 것이 매우 중요합니다.
숨겨진 위협을 사전에 모니터링하고 오 탐지를 최소화하는 동시에 가장 중요한 경고가 즉시 해결되도록 우선 순위를 제공하는 실습 전문가 위협 검색을 제공하는 보안 솔루션으로 내부 팀을 보강하십시오.
3 단계: 네트워크 환경에 숨어 있을 수 있는 오래된 또는 패치되지 않은 시스템 및 소프트웨어와 같은 취약점을 제거합니다. 악용은 활성화되기 전에 오랜 시간 동안 숨겨져 있을 수 있으며,조직이 모든 엔드포인트에 패치 및 업데이트를 적용하지 않을 경우 노출됩니다.
궁극적으로 최선의 방어는 조직이 현재 사용 가능한 가장 효과적인 기술을 배포하고 사이버 보안 전략에 1-10-60 규칙을 통합하고 있는지 확인하는 것입니다.
이 벤치마크를 달성하려면 엔드포인트 탐지 및 대응,관리형 위협 사냥,행동 분석 및 기계 학습,자동화된 위협 인텔리전스를 제공하는 크라우드스트라이크 팔콘 플랫폼과 같은 진정한 차세대 솔루션이 필요합니다. 이러한 도구는 중요한 결과 중심 메트릭을 충족하고 오늘날 및 내일의 가장 정교한 적과의 경쟁에서 승리하는 데 필요한 가시성과 컨텍스트를 확보하는 데 중요합니다.
크라우드 스트라이크 팔콘 플랫폼이 1-10-60 규칙을 어떻게 충족하는지 보려면 아래 비디오를보십시오.