2020.06.10

파이어아이, ‘맨디언트 보안 효과성 보고서 2020’ 발표

편집부 | CIO KR
파이어아이가 ‘맨디언트 보안 효과성 보고서 2020(Mandiant Security Effectiveness Report 2020)’를 발표하고, 사이버 위협에 대한 기업의 대응력과 기업 보안 인프라 전반의 효과성에 대한 데이터를 공개했다.

맨디언트 시큐리티 밸리데이션(Mandiant Security Validation) 팀은 12개월에 걸쳐 수 천 개의 테스트를 수행했다. 테스트는 네트워크, 이메일, 엔드포인트, 클라우드 솔루션을 포함해 총 123개의 보안 기술을 대상으로 했으며, 11개 분야의 엔터프라이즈 환경에서 나타나는 실제 공격 사례, 악성 행위, 공격자가 사용하는 기법과 전술을 살펴봤다.



파이어아이는 보고서를 통해, 최근 기업은 보안에 많은 투자를 하고 있고 그에 맞는 적절한 보안을 갖췄다고 생각하지만, 실제로는 기업의 인프라 환경에 침해 공격이 발생해도 알아채지 못하는 경우가 많은 것으로 나타났다. 보고서에는 보안 검증을 지속적으로 수행하는 전략 등을 통해 기업 보안 솔루션이 제 역할을 충분히 하도록 하는 지침도 수록됐다.

맨디언트 시큐리티 밸리데이션 시니어 부사장(SVP) 크리스 키는 “이번 조사를 통해 여러 기업이 생각과 달리, 그들이 인지하지 못한 채 공격에 노출돼 있었음을 알 수 있었다”라며, “파이어아이는 자동 보안 검증 프로세스를 활용해, 공격의 표적이 될 수 있는 부분을 테스트하고 기업의 보안 인프라 상태를 검증할 수 있다”라고 설명했다.

이번 연구에 테스트된 공격의 절반 이상(53%)은 탐지되지 않고 기업 내 환경에 성공적으로 침투했다. 침투 후 보안 툴에 의해 탐지된 공격은 26%, 완전히 차단된 공격은 33% 정도였다. 또한, 경보를 발생시킨 공격은 단 9%에 지나지 않았다. 많은 기업과 기업의 보안 팀이 중앙 보안정보이벤트관리(SIEM) 시스템, 보안 오케스트레이션 자동화 및 대응(SOAR) 솔루션, 기타 보안 분석 플랫폼을 사용하고 있음에도 불구하고, 심각한 위협에 대한 가시성을 확보하지 못하고 있음을 보여준다.

맨디언트 시큐리티 밸리데이션 팀은 기업 보안 툴이 최적의 성능을 발휘하지 못하고 있는 대표적인 이유를 ▲‘아웃-오브-더-박스(out-of-the-box)’로 구성돼 나온 디폴드(default) 설정을 기업 환경에 맞게 변경하지 않은 채 그대로 사용 ▲보안 툴 도입 이후 수정하거나 맞춤 조정할 수 있는 리소스 부족 ▲SIEM에 보안 이벤트가 제대로 전달되지 않음 ▲보안 통제 검증을 위한 테스트를 강제화할 수 없음 ▲기업의 인프라 내 예기치 않은 변화 등으로 분석했다.

보고서에서는 공격자가 사용하는 기법과 전술을 심층적으로 살펴본다. 또한, 보안 검증 및 테스트를 통해 발견한 엔터프라이즈 환경에서 가장 일반적으로 발생하는 주요 문제를 ▲정찰(Reconnaissance): 네트워크 트래픽 테스팅 중 기업이 정찰한 공격 중 단 4%에만 경보 생성 ▲침입 & 랜섬웨어(Infiltrations & Ransomware): 68%의 경우 기업의 보안 관제 시스템이 침해 사례를 예방하거나 탐지하지 못함 ▲보안 정책 우회(Policy Evasion): 65%의 경우 보안 환경이 공격자의 접근을 막거나 감지하지 못함 ▲악성 파일 전송(Malicious File Transfer): 48%의 경우 보안 관제 시스템이 악성 파일의 전송 및 이동을 막거나 감지하지 못함 ▲명령 & 제어(Command & Control): 테스트에 실행된 공격 중 97%는 SIEM에 경보 발생 되지 않음 ▲데이터 유출(Data Exfiltration): 초기 테스트에서 유출 기법과 전술의 67%가 공격 성공 ▲내부 망 내 이동(Lateral Movement): 내부 망 내 이동을 시도한 기법과 전술의 54%를 탐지하지 못한 것으로 설명한다. 

‘맨디언트 보안 효과성 보고서 2020’은 이와 같은 시사점과 각 문제가 지닌 근본적인 원인을 제시하며, 이러한 성과 격차가 다양한 산업 분야에서 부정적인 영향을 끼친 실제 사례를 소개하기도 했다.

크리스 키 시니어 부사장은 “전 산업 분야의 기업에서는 이번 보고서가 담고 있는 충격적인 사실을 인지하고 적극적으로 대응해야 한다”라며, “이에 대처하는 방법은 보안 효과성 측정을 자동화해 기존 및 신규 위협에 대한 방어 태세를 지속적으로 검증하는 것”이라고 말했다. ciokr@idg.co.kr



2020.06.10

파이어아이, ‘맨디언트 보안 효과성 보고서 2020’ 발표

편집부 | CIO KR
파이어아이가 ‘맨디언트 보안 효과성 보고서 2020(Mandiant Security Effectiveness Report 2020)’를 발표하고, 사이버 위협에 대한 기업의 대응력과 기업 보안 인프라 전반의 효과성에 대한 데이터를 공개했다.

맨디언트 시큐리티 밸리데이션(Mandiant Security Validation) 팀은 12개월에 걸쳐 수 천 개의 테스트를 수행했다. 테스트는 네트워크, 이메일, 엔드포인트, 클라우드 솔루션을 포함해 총 123개의 보안 기술을 대상으로 했으며, 11개 분야의 엔터프라이즈 환경에서 나타나는 실제 공격 사례, 악성 행위, 공격자가 사용하는 기법과 전술을 살펴봤다.



파이어아이는 보고서를 통해, 최근 기업은 보안에 많은 투자를 하고 있고 그에 맞는 적절한 보안을 갖췄다고 생각하지만, 실제로는 기업의 인프라 환경에 침해 공격이 발생해도 알아채지 못하는 경우가 많은 것으로 나타났다. 보고서에는 보안 검증을 지속적으로 수행하는 전략 등을 통해 기업 보안 솔루션이 제 역할을 충분히 하도록 하는 지침도 수록됐다.

맨디언트 시큐리티 밸리데이션 시니어 부사장(SVP) 크리스 키는 “이번 조사를 통해 여러 기업이 생각과 달리, 그들이 인지하지 못한 채 공격에 노출돼 있었음을 알 수 있었다”라며, “파이어아이는 자동 보안 검증 프로세스를 활용해, 공격의 표적이 될 수 있는 부분을 테스트하고 기업의 보안 인프라 상태를 검증할 수 있다”라고 설명했다.

이번 연구에 테스트된 공격의 절반 이상(53%)은 탐지되지 않고 기업 내 환경에 성공적으로 침투했다. 침투 후 보안 툴에 의해 탐지된 공격은 26%, 완전히 차단된 공격은 33% 정도였다. 또한, 경보를 발생시킨 공격은 단 9%에 지나지 않았다. 많은 기업과 기업의 보안 팀이 중앙 보안정보이벤트관리(SIEM) 시스템, 보안 오케스트레이션 자동화 및 대응(SOAR) 솔루션, 기타 보안 분석 플랫폼을 사용하고 있음에도 불구하고, 심각한 위협에 대한 가시성을 확보하지 못하고 있음을 보여준다.

맨디언트 시큐리티 밸리데이션 팀은 기업 보안 툴이 최적의 성능을 발휘하지 못하고 있는 대표적인 이유를 ▲‘아웃-오브-더-박스(out-of-the-box)’로 구성돼 나온 디폴드(default) 설정을 기업 환경에 맞게 변경하지 않은 채 그대로 사용 ▲보안 툴 도입 이후 수정하거나 맞춤 조정할 수 있는 리소스 부족 ▲SIEM에 보안 이벤트가 제대로 전달되지 않음 ▲보안 통제 검증을 위한 테스트를 강제화할 수 없음 ▲기업의 인프라 내 예기치 않은 변화 등으로 분석했다.

보고서에서는 공격자가 사용하는 기법과 전술을 심층적으로 살펴본다. 또한, 보안 검증 및 테스트를 통해 발견한 엔터프라이즈 환경에서 가장 일반적으로 발생하는 주요 문제를 ▲정찰(Reconnaissance): 네트워크 트래픽 테스팅 중 기업이 정찰한 공격 중 단 4%에만 경보 생성 ▲침입 & 랜섬웨어(Infiltrations & Ransomware): 68%의 경우 기업의 보안 관제 시스템이 침해 사례를 예방하거나 탐지하지 못함 ▲보안 정책 우회(Policy Evasion): 65%의 경우 보안 환경이 공격자의 접근을 막거나 감지하지 못함 ▲악성 파일 전송(Malicious File Transfer): 48%의 경우 보안 관제 시스템이 악성 파일의 전송 및 이동을 막거나 감지하지 못함 ▲명령 & 제어(Command & Control): 테스트에 실행된 공격 중 97%는 SIEM에 경보 발생 되지 않음 ▲데이터 유출(Data Exfiltration): 초기 테스트에서 유출 기법과 전술의 67%가 공격 성공 ▲내부 망 내 이동(Lateral Movement): 내부 망 내 이동을 시도한 기법과 전술의 54%를 탐지하지 못한 것으로 설명한다. 

‘맨디언트 보안 효과성 보고서 2020’은 이와 같은 시사점과 각 문제가 지닌 근본적인 원인을 제시하며, 이러한 성과 격차가 다양한 산업 분야에서 부정적인 영향을 끼친 실제 사례를 소개하기도 했다.

크리스 키 시니어 부사장은 “전 산업 분야의 기업에서는 이번 보고서가 담고 있는 충격적인 사실을 인지하고 적극적으로 대응해야 한다”라며, “이에 대처하는 방법은 보안 효과성 측정을 자동화해 기존 및 신규 위협에 대한 방어 태세를 지속적으로 검증하는 것”이라고 말했다. ciokr@idg.co.kr

X