차세대 방화벽: 위협을 빠르게 탐지하고 저지하는 가시성 확보
Part 2: 위협을 발 빠르게 탐지하고 저지하는 가시성 확보
지난 블로그 포스팅에서는 방화벽이 최고의 위협 분석정보, 탄탄한 보안 정책, 그리고 침입 방지 등의 기능으로 위협이 네트워크에 침투하기 전에 어떻게 미리 차단할 수 있는지 소개드렸습니다. 이러한 예방 중심의 보안 조치는 실제로 99%의 위협을 차단할 수 있습니다.
그러나 1% 단 한 번의 보안 사고를 막지 못해도 그 손실은 막대합니다. 그리고 만약 사이버 범죄자나 매우 교묘한 멀웨어가 기업 네트워크에 침투해서 은밀히 활동한다면 어떻게 될까요?
큰 뉴스가 된 보안 사고들은 주로 사이버 범죄자가 기업의 네트워크에 침투한 후 들키지 않고 수년 동안 자유롭게 활동한 사례들입니다. 피해를 입은 기업들은 이러한 멀웨어의 존재 자체를 알지 못했습니다. 이 같은 일이 벌어지는 이유는 다수의 네트워크 및 보안 팀들이 위협 활동에 대한 가시성을 충분히 확보하는 데 어려움을 겪고 있기 때문입니다. 네트워크 보안에 대한 가시성이 확실히 확보되지 않으면 피해를 입히기 전에 위협을 신속히 감지하고 해소할 수 없습니다.
이번 블로그에서는 Cisco Next-Generation Firewall(NGFW)이 어떻게 탁월한 가시성을 제공하여 위협을 신속하게 탐지하고 차단하는 방법을 살펴보겠습니다.
Cisco NGFW의 독보적인 가시성 확보
우수한 가시성을 확보하려면 널리 뻗어 있는 자사 네트워크의 더 많은 곳을 감시할 수 있는 더 많은 눈이 필요합니다. 그 이유는 사이버 범죄자는 네트워크, 엔드포인트, 웹, 이메일 등을 비롯한 여러 “공격 경로”를 통해 공격할 수 있기 때문입니다. 따라서 감시하는 경로가 많을수록 그만큼 더 신속하게 공격을 저지할 수 있습니다.
Cisco NGFW이 사용자, 호스트, 네트워크, 인프라 전체의 원격 측정 정보와 악성 파일의 활동에 대한 가시성을 지원하는 것도 바로 이 때문입니다. Cisco NGFW를 통해 명령 및 제어 서버, 운영 체제, 라우터 및 스위치, 네트워크 서버, 클라이언트 애플리케이션, 모바일 장비 등의 사용자, 애플리케이션 프로토콜, 파일 전송, 웹 애플리케이션, 현존하는 위협을 한눈에 파악할 수 있습니다.
또한 Cisco NGFW 지원 관리 옵션인 FMC(FirePower Management Center)를 통해 잠재적인 위협을 빠르고 철저하게 조사할 수 있습니다.
방화벽은 “침해 지표”(그림 1)를 기준으로 특정 호스트가 감염된 것으로 의심해볼 만한 행동 증거를 감지하고 감염 가능성이 높은 호스트를 선별하여 관리자에게 목록으로 제시합니다. 보안 팀이 이 목록을 “클릭”하여 조사를 시작할 수 있습니다.
Cisco NGFW는 네트워크에서 실행 중인 운영 체제를 감지합니다. 그림을 보면 일부 장비가 네트워크에서 Windows XP를 실행 중임을 알 수 있습니다. 오래된 운영 체제는 취약점이 더 많이 위험성이 높은데 보안 팀은 한눈에 사용중인 디바이스를 파악하고 보안 수준에 맞게 업그레이드 또는 폐기 결정을 내릴 수 있습니다.
그림 1 – 위험 지표 및 네트워크 정보
애플리케이션 프로토콜 메뉴(그림 2)에는 네트워크에서 실행 중인 애플리케이션이 표시되므로 보안 팀은 시행할 통제 정책을 결정할 수 있습니다. Cisco NGFW은 위험도와 비즈니스 관련도를 기준으로 애플리케이션을 우선 순위대로 보고 위험을 쉽고 빠르게 해결 할 수 있습니다. 대시보드에서 파악되는 애플리케이션을 더블클릭하면 해당 애플리케이션에 대한 자세한 정보를 확인할 수 있습니다.
그림 2 – 애플리케이션 프로토콜 정보
또한 Cisco NGFW에는 통합 샌드박스 기술도 구현되어 있습니다. 이 기술은 수백만 개의 샘플과 수십억 개의 멀웨어 아티팩트를 토대로 파일과 미심쩍은 행동 패턴을 분석하는 Threat Grid(그림 3)을 기반으로 합니다. 보안 팀에게는 멀웨어의 유형, 멀웨어의 활동 상태, 멀웨어가 자사에 미치는 영향에 대한 정보가 제공됩니다. 보안 팀은 안전하게 멀웨어 샘플의 반응을 유도하여 멀웨어의 행동 패턴을 직접 관찰할 수도 있습니다. 이 모든 기능 덕분에 보안 팀이 위협을 보다 빨리 이해하고 대응할 수 있습니다.
그림 3 – 동적 멀웨어 분석
감시의 고삐를 멈추지 않고 계속해서 위협을 탐지하다
은밀한 공격을 제때 발견하고 공격 상황을 이해하려면 지속적이고 유동적으로 가시성을 확보해야 하고 네트워크 및 파일 활동을 상시 감시해야 합니다. Cisco NGFW는 Cisco AMP(Advanced Malware Protection) 기술과의 통합을 통해 파일 및 네트워크 트래픽을 진입 시점에서 검사할 뿐만 아니라 파일의 수명 기간 동안 파일의 행동 패턴을 지속적으로 분석합니다. 이를 통해 파일의 수행 작업과 행동 방식에 대한 심층적인 가시성을 제공하므로 에지부터 엔드포인트에 이르기까지 위협 요소의 모든 단계를 파악할 수 있습니다. 위협의 출처, 현재 위치, 진행 상황을 확인하고 자동으로 저지할 수 있습니다.
첫 번째 검사에서 파일이 “양호” 또는 “알 수 없음”으로 분류되더라도 AMP 기술은 파일의 성향과 관계없이 파일의 활동에 대한 감시를 멈추지 않습니다. AMP 기술은 잠재적인 위협을 자동으로 억제하고, 나중에라도 악의적인 의도나 동작이 감지되면 이를 관리자에게 경고합니다. 이와 같이 자동화된 회귀 분석(그림 4)이 뒷받침되기에 파일이 악의적 의도로 의심되는 일련의 동작을 수행하거나 Talos 인텔리전스 클라우드가 해당 파일에 대한 새로운 정보를 수신한 경우 NGFW는 초기 분석에서 내렸던 분석결과를 즉시 수정합니다. 이와 같은 보안 정보는 Talos 또는Cisco AMP 커뮤니티에서 확인된 위협 정보를 바로 수신하고 적용됩니다.
그림 4 – 지속적 분석 및 회귀 분석
이러한 지속적인 분석 방식은 교묘한 위협을 감지하는 데 걸리는 시간을 대폭 줄이는 데 효과적인 것으로 입증됐습니다. 위협이 침입한 시점부터 위협을 감지하기까지 걸리는 시간을 TTD(Time-To-Detection)라고 합니다.
주목할 만한 점은, Cisco NGFW의 경우 몇 초 또는 몇 분 안에 대부분의 공격을 탐지할 수 있으며, 정말 교묘한 공격의 경우에도,업계 평균 탐지 시간이 100일 이상이나 걸리는 데 반해 Cisco NGFW가 최종적으로 위협을 파악하는데 필요한 시간은 단 4.6시간에 불과하다는 사실입니다.
가장 위험한 공격자를 더욱 빠르고 확실하게 표시하다
“가시성이 향상되면 위협을 더욱 신속하게 대응 할 수 있겠지만 살펴봐야 할 정보도 그만큼 늘어날 텐데 어떻게 감당하지?”란 의구심이 들지도 모르겠습니다. 바로 그러한 이유 때문에 Cisco NGFW는 사용자에게 보여주는 정보의 우선 순위를 지정하고 간소화하여 적절한 정보를 적시에 적절한 대상에게 제공합니다. 더욱 쉽고 더욱 효율적이며 더욱 효과적으로 관리와 조사를 실시할 수 있게 되므로 보안팀이 민첩하게 움직이고 더욱 빠르게 결론을 도출하며 공격에 대응할 수 있습니다.
아래 그림처럼 Cisco NGFW의 우선 순위 판단 필터는 가장 중요한 문제를 먼저 해결할 수 있도록 위협 점수제(그림 5)에 따라 위협의 우선 순위를 결정합니다. 상관관계나 상황과 관계없이 무차별적으로 제시되는 위협 경고 때문에 관리자가 버거워질 염려가 없습니다.
한 곳에서 발견된 개별적인 위협을 시스템의 다른 곳에서 발견된 유사하거나 동일한 멀웨어와 종합한 “침해 지표”로 분류하기 때문입니다. 동일한 공격의 일환으로 사용된 멀웨어가 여러 개로 분산되어 있는 경우도 있습니다. 따라서 NGFW는 한 곳에서 하나의 위협을 감지한 경우 동일한 공격과 관련된 멀웨어를 모조리 찾아서 자동으로 차단, 격리, 치료할 수 있습니다.
NGFW은 위협 해결에 필요한 인력과 시간 낭비를 줄일 수 있도록 관리 콘솔 설정 기능도 지원합니다. 그림 5를 예로 들어보겠습니다. 관리자는 비즈니스에 가장 중요한 애플리케이션이나 장비를 고려해 대시보드에 표시될 탭과 정보를 결정할 수 있습니다. 이 예시는 네트워크 활동, 위협, 침입 이벤트를 중심으로 설정 되었으며, 네트워크 트래픽 탭에서 애플리케이션 위험도 및 비즈니스 관련도, 웹/서버/클라이언트 상위 애플리케이션, 그리고 운영 체제 순으로 트래픽의 우선 순위를 지정했습니다. 또한 일별, 주별 또는 월별 보고서가 필요한 경우 그에 맞춰 대시보드를 설정할 수 있습니다.
그림 5 – 관리 콘솔 설정
현재 구현된 방화벽이 위협을 빠르게 감지하고 저지할 수 있는 독보적인 가시성을 지원하고 있습니까? 시스코와 함께하면 가능합니다.
여기에서 Cisco NGFW에 대한 자세한 내용을 확인하십시오. 다음 블로그 시리즈 Part 3에서는 자동화와 통합이 시간을 절약하고 복잡성을 줄이며 보다 지능적으로 대응하는 데 어떻게 도움이 되는지 살펴볼 예정입니다.
1회: 위협을 탐지하고 저지하는 데 필요한 가시성 확보
3회: 더욱 효과적인 관리, 자동화된 운영, 제품 통합으로 시간 절약 및 복잡성 완화
Tags:
