크라우드스트라이크, AI·행위분석으로 신원기반 위협 탐지
[데이터넷] ID 위협 탐지와 대응(ITDR)이 EDR과 통합되는 한편, XDR 역량을 강화하는데 기여하고 있다. 또 여기에 ‘기만(Deception)’ 기술도 적용돼 ID를 악용하는 공격 대응 능력을 강화하고 있다.
그 대표적인 예가 센티넬원이 지난 3월 아티보네트웍스(Attivo Networks)를 인수한 것으로, 아티보네트웍스는 기만기술을 이용해 ID와 관련된 위협을 탐지하고 대응할 수 있게 한다. 크라우드스트라이크는 이보다 앞선 2020년 조건부 액세스 기술 기반 ID 보호 기술 기업 프리엠프트 시큐리티(Preempt Security)를 인수하고 통합 신원보호 솔루션을 제공하고 있다.
AI 기반 최신 공격 차단
센티넬원이 인수한 아티보네트웍스는 고객사 환경에 최적화된 기만기술을 제공해 실시간 공격자의 행위를 분석하고 대응할 수 있게 한다. 아티보네트웍스의 기만기술은 공격자가 속을만한 가짜 계정정보, 도메인 관리자 정보 등을 노출시킨 후 공격자가 이 미끼를 통해 접속하면 실제와 동일하게 구현된 가상환경으로 연결해 공격행위를 분석한다. 분석된 정보는 SIEM·SOAR 등으로 전송해 실제로 이와 같은 위협이 진행되고 있는지 탐지하고 대응할 수 있게 한다.
아티보네트웍스 기술이 적용된 센티넬원의 ‘싱귤래러티 아이덴티티(Singularity Identity)’는 잘못된 자격증명 사용을 차단하고, AD를 보호한다. IT, IoT, OT에서 사용되는 모든 OS를 지원하며, 로컬·클라우드 데이터 액세스를 통제하고, TTP 인텔리전스 수집으로 공격 대응 능력을 향상시킨다.
크라우드스트라이크는 ‘팔콘 아이덴티티 위협 탐지(Falcon ITD)’ 솔루션으로 ITDR을 제공, 모든 도메인에서 자격증명 프로필 위조, 인증 우회, 잘못 설정되거나 오남용된 권한 계정 파악과 조치 기능을 수행한다.
이 솔루션은 AI·행위분석으로 랜섬웨어 등 최신 공격을 차단할 수 있는 심층적인 실행 가능한 통찰력을 제공한다. 침해가 발생하기 전에 계정이 수행하는 작업을 파악하고, 모든 자격증명에 대한 통찰력과 분석으로 수평이동을 사전에 차단한다.
IAM 공격 증가하며 ITDR 부상
엔드포인트 보안 기술 기업이 ITDR에 투자하는 이유는 최근 공격의 대부분의 정상 계정을 이용하고 있기 때문이다. 조직의 94%가 ID 침해를 경험했으며, 데이터 침해의 61%가 도난된 자격증명을 이용한 것이며, 대부분 엔드포인트를 통해 계정을 탈취하거나 정상 사용자로 위장해 접근한다.
엔드포인트 보안 솔루션의 ITDR은 제로 트러스트 여정을 촉진하는 기술로, ID 신뢰를 먼저 평가한 후 액세스를 통제하고, 엔드포인트·AD·클라우드에서 ID 노출을 식별해 전반적인 공격 표면을 감소시킬 수 있기 때문이다.
ITDR은 가트너가 올해 초 발표한 ‘2022년 사이버시큐리티 톱 트렌드’에 소개됐다. 가트너는 공격자들이 IAM 인프라를 공격하고 있기 때문에 ‘평소와 같은 정상 행위’를 기준으로 이상정황을 탐지하는 기술은 한계에 부딪혔다고 설명했다.
그 예로 가트너는 솔라윈즈 공급망 공격을 들었다. 공격자는 관리 권한을 사용해 글로벌 관리자 계정에 액세스하거나 신뢰할 수 있는 SAML 토큰 서명 인증서를 위조해 수평이동에 사용했다.
ITDR은 IAM 타깃 공격을 모니터링하고 ID와 액세스를 제어하며, 권한있는 계정 관리, 계정탈취공격(ATO) 탐지, ID 거버넌스와 관리(IGA), 클라우드 인프라 권한 관리(CIEM), 사용자 및 엔티티 행위 분석(UEBA)를 통합한다.
ITDR은 이제 막 주목받는 기술이기 때문에 모범사례가 많지 않으며, 시장의 이해도 높지 않다. 그러나 ID를 악용하는 공격이 절대다수를 이루면서 ID 공격 기술 모니터링과 액세스 제어는 필수인상황이다. 그래서 가트너는 마이터 어택 프레임워크를 사용해 ITDR 기술을 일반적인 공격 시나리오와 상호 연관시켜 모든 공격벡터를 연결시켜 이해하고 대응할 수 있게 해야 한다고 설명했다.
한편 엔드포인트 보안 기업들은 ITDR 통합으로 XDR을 한층 강화할 수 있다고 설명한다. XDR은 위협 탐지와 대응 기술을 단일 플랫폼에 통합한 솔루션으로, 여러 포인트에서 수집된 위협을 분석해 자동 대응한다. XDR은 주로 네트워크 보안 기업들이 엔드포인트·클라우드 위협 탐지·대응 기능을 결합시키는 방향으로 전개되어왔으나 엔드포인트 보안 기업들은 네트워크 보안보다 엔드포인트에서 ID 공격을 식별하면서 위협 탐지·대응 역량을 강화시키고 있다.
가트너는 “ITDR은 XDR을 완전하게 만든다. ID 보안과 기만기술로 XDR을 강화하면 최신 사이버 보안 툴의 효율성을 더 향상시킬 수 있다”고 설명한 바 있다.
