[데이터넷] 파이어아이 맨디언트 서비스에 보안 평가 서비스 ‘퍼플팀(Purple Team)’과 ‘지속형 퍼플팀 평가 서비스(Continuous Purple Team Assessments)’를 추가했다고 10일 밝혔다. 이를 통해 기업·기관이 맨디언트 침해사고 대응 전문가들과 작업하며 자사의 보안 프로그램이 베로딘(Verodin) 가상 공격 시나리오에 어떻게 대응하는지 수량적으로 평가할 수 있게 됐다고 설명했다.
찰스 카르마칼(Charles Carmakal) 맨디언트 컨설팅 최고기술책임자(CTO)는 “대다수 조직은 자사의 보안 통제 기능과 프로그램의 효력에 대해 철처히 살펴보거나 충분히 테스트하지 않고 있다. 검증되지 않을 경우, 조직의 보안 부서는 증거보다는 추정을 바탕으로 의사결정할 가능성이 있어 보안 침해를 탐지하고 대응하는 능력에 대해 잘못된 자신감을 키울 확률이 높다”며 “파이어아이 맨디언트 퍼플팀 평가 서비스는 공격과 방어 측면에서의 베스트 프랙티스를 조합해 조직이 보안 효과를 수량적으로 테스트하고 측정하며 전반적인 위험 상태를 개선시킬 수 있도록 한다”고 말했다.
레드팀·블루팀 협력하는 퍼플팀 평가 서비스
파이어아이 레드팀은 공격을 시뮬레이션하며 블루팀은 공격에 대한 방어를 담당한다. 퍼플팀 평가 서비스는 레드팀과 블루팀의 협력 작업으로 볼 수 있다. 맨디언트의 전문가들은 레드팀의 기능을 담당하면서 각 조직 내의 블루팀을 보강하는 역할을 담당한다.
맨디언트의 전문가들은 퍼플팀 평가 서비스를 이용해 각 조직의 보안 부서가 현실적으로 설계된 공격 시나리오를 체험하도록 한다.
공격 시뮬레이션을 이행하기 위해 맨디언트는 파이어아이 베로딘 보안 측정 플랫폼(SIP)을 통해 시나리오를 제작한다. 해당 시나리오는 최신 데이터 침해 사례들과 관련 업계의 위협 그룹에 대한 최신 인텔리전스 분석을 기반으로 설계된다.
맨디언트는 이러한 방법론을 통해 수백 명에 이르는 공격 그룹의 전술·기법·절차(TTP)를 모방하고, 마이터 어택(MITRE ATT&CK) 프레임워크의 모든 구성 요소를 시뮬레이션 할 수 있다. 조직은 이러한 평가 과정을 통해 보안 운영이 탁월한 부분과 개선이 필요한 분야를 수량적으로 밝혀주는 세부 점수표를 제공받고 보안 태세를 강화하기 위한 전략적 조언을 얻게 된다.
장기 개선 방안 제공하는 지속형 서비스
퍼플팀 지속형 평가 서비스는 3~6개월의 장기간에 걸쳐 탐지 및 대응 역량을 훈련하고 강화시킨다. 맨디언트 전문가들은 베로딘 플랫폼을 통해 공격자 TTP를 실행한다. 실전 연습 기간 동안 보안 부서는 자체 역량 평가와 지속적인 역량 개선을 위해 주기적으로 재 테스트와 평가에 참여하게 된다.
맨디언트의 전문가들은 서비스 기간 중 보안 부서의 탐지 및 대응 역량이 어떻게 변화하는지 추적하고, 그 과정에서 팀의 효율성을 측정하기 위해 수량화 할 수 있는 점수표를 제공한다. 이러한 방식은 보안 기능의 지속적인 변화가 보안 서비스 내에서 직원, 절차 및 기술에 미치는 영향을 평가해 줄 뿐만 아니라, 각 조직의 보안 비용 투자 대비 수익 또한 알려준다.
찰스 카르마칼 CTO 는 “베로딘 플랫폼을 최전방의 위협 인텔리전스와 결합시킴으로써 새롭고 포괄적인 방식으로 조직의 보안 효율성을 측정할 수 있게 되었다. 퍼플팀 평가 서비스는 베로딘을 파이어아이의 광범위한 서비스 포트폴리오에 통합시키는 계획의 시작이라고 볼 수 있다”고 전했다.
