IT 환경에 대한 위협 매핑

이 문서에서는 조직의 핵심 IT 환경을 다이어그램하고 위협 맵을 만드는 방법을 간략하게 설명합니다. 이러한 다이어그램은 강력한 방어 보안 계층을 계획하고 빌드하기 위한 유용한 도구입니다. IT 환경 및 아키텍처를 이해하는 것은 적절한 보호를 제공하는 데 필요한 보안 서비스를 식별하는 데 매우 중요합니다.

컴퓨터 시스템에는 이를 생성하는 조직뿐만 아니라 악의적인 행위자에게도 중요한 정보가 있습니다. 이러한 행위자(개인 또는 그룹)는 회사의 컴퓨터, 디바이스, 시스템 및 네트워크에 해를 끼치거나 손상시키기 위한 유해한 활동에 개입합니다. 맬웨어 또는 무차별 암호 대입 공격과 같은 위협을 사용하여 중요한 데이터를 훔치거나 손상시키는 것이 목표인 경우가 많습니다.

이 문서에서는 보안 전략의 일환으로 Microsoft 보안 서비스 구현을 계획할 수 있도록 IT 환경에 위협을 매핑하는 방법을 살펴봅니다.

좋은 소식은 처음부터 위협 맵을 만들 필요가 없다는 것입니다. MITRE ATT&CK 매트릭스는 개발하는 데 도움이 되는 훌륭한 리소스를 제공합니다. MITRE ATT&CK는 관찰된 전술 및 기술을 기반으로 실제 위협을 매핑하는 글로벌 기술 자료입니다. MITRE Corporation은 알려진 모든 위협을 자세히 문서화하여 이러한 위협이 작동하는 방식과 위협을 방어하는 방법에 대한 귀중한 통찰력을 제공합니다. 공개적으로 액세스할 수 있는 이 리소스는 MITRE ATT&CK®에서 온라인으로 사용할 수 있습니다.

이 문서에서는 이러한 위협의 하위 집합을 사용하여 IT 환경에 위협을 매핑하는 방법을 설명합니다.

잠재적인 사용 사례

일부 위협은 랜섬웨어, DDoS 공격, 사이트 간 스크립팅 및 SQL 삽입과 같은 모든 산업에서 일반적입니다. 그러나 많은 조직에서는 해당 업계 고유의 특정 위협이나 발생한 과거 사이버 공격에 직면해 있습니다. 이 문서의 다이어그램은 악의적인 행위자가 대상으로 지정할 가능성이 가장 큰 영역을 식별하여 조직에 대한 위협을 매핑하는 데 도움이 될 수 있습니다. 위협 맵을 만들면 더 안전한 환경에 필요한 방어 계층을 계획할 수 있습니다.

이 다이어그램을 조정하여 다양한 공격 조합을 모델링하고 이를 방지하고 완화하는 방법을 더 잘 이해할 수 있습니다. MITRE ATT&CK 프레임워크는 유용한 참조이지만 필수는 아닙니다. Microsoft Sentinel 및 기타 Microsoft 보안 서비스도 MITRE와 협력하여 다양한 위협에 대한 중요한 인사이트를 제공합니다.

일부 조직에서는 Lockheed Martin의 방법론인 Cyber Kill Chain®을 사용하여 공격 또는 일련의 공격이 IT 환경에 대해 수행되는 방식을 매핑하고 이해합니다. Cyber Kill Chain은 MITRE ATT&CK 프레임워크보다 적은 전술과 기술을 고려하여 위협과 공격을 구성합니다. 여전히 위협과 그 실행 방법을 이해하는 데 효과적입니다. 이 방법론에 대한 자세한 내용은 Cyber Kill Chain을 참조하세요.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

©2021 MITRE Corporation. 이 저작물은 The MITRE Corporation의 허가를 받아 복제 및 배포되었습니다.

조직의 IT 환경을 위해 Azure 및 Microsoft 365 전용 구성 요소를 지정합니다. 특정 IT 환경에는 다양한 기술 공급자의 디바이스, 어플라이언스 및 기술이 포함될 수 있습니다.

Azure 환경의 경우 다이어그램은 다음 표에 나열된 구성 요소를 보여 줍니다.

다이어그램은 다음 표에 나열된 구성 요소를 통해 Microsoft 365를 나타냅니다.

워크플로

이러한 위협이 공격할 가능성이 있는 IT 환경 부분을 이해하는 데 도움이 되도록 이 문서의 아키텍처 다이어그램은 온-프레미스 시스템, Microsoft 365 구독 및 Azure 구독이 있는 조직의 일반적인 IT 환경을 기반으로 합니다. 이러한 각 계층의 리소스는 많은 기업에서 공통적으로 사용되는 서비스입니다. 네트워크, 인프라, 엔드포인트, 애플리케이션, 데이터 및 ID와 같은 Microsoft 제로 트러스트의 핵심 요소에 따라 다이어그램에서 분류됩니다. 제로 트러스트에 대한 자세한 내용은 제로 트러스트를 사용하여 선제적 보안 도입을 참조하세요.

아키텍처 다이어그램에는 다음 계층이 포함됩니다.

1. 온-프레미스

   다이어그램에는 서버(VM), 네트워크 어플라이언스 및 DNS(도메인 이름 시스템)와 같은 몇 가지 필수 서비스가 포함되어 있습니다. 여기에는 대부분의 IT 환경에서 발견되고 VM(가상 머신) 또는 물리적 서버에서 실행되는 일반적인 애플리케이션이 포함됩니다. 또한 다양한 유형의 데이터베이스(SQL 및 비SQL 모두)를 포함합니다. 조직에는 일반적으로 회사 전체에서 파일을 공유하는 파일 서버가 있습니다. 마지막으로 광범위한 인프라 구성 요소인 Active Directory 도메인 서비스는 사용자 자격 증명을 처리합니다. 이 다이어그램에는 온-프레미스 환경의 모든 구성 요소가 포함됩니다.

2. Office 365 환경

   이 예제 환경에는 Word, Excel, PowerPoint, Outlook 및 OneNote와 같은 기존 Office 애플리케이션이 포함되어 있습니다. 라이선스 유형에 따라 OneDrive, Exchange, Sharepoint 및 Teams와 같은 다른 애플리케이션도 포함될 수 있습니다. 다이어그램에서 이들은 Microsoft 365(이전의 Office 365) 앱 아이콘과 Microsoft Entra ID 아이콘으로 표시됩니다. Microsoft 365 애플리케이션에 대한 액세스 권한을 얻으려면 사용자를 인증해야 하며 Microsoft Entra ID는 ID 공급자 역할을 합니다. Microsoft 365는 Azure에서 사용하는 것과 동일한 유형의 Microsoft Entra ID에 대해 사용자를 인증합니다. 대부분의 조직에서 Microsoft Entra ID 테넌트는 Azure와 Microsoft 365 모두에 대해 동일합니다.

3. Azure 환경

   이 계층은 VM, 가상 네트워크, 서비스로서의 플랫폼, 웹 애플리케이션, 데이터베이스, 스토리지, ID 서비스 등을 포함한 Azure 퍼블릭 클라우드 서비스를 나타냅니다. Azure에 대한 자세한 내용은 Azure 설명서를 참조하세요.

4. MITRE ATT&CK 전술 및 기술

   이 다이어그램은 The MITRE Corporation에서 발표한 전술 및 기술에 따라 상위 16개의 위협을 보여 줍니다. 빨간색 선에서는 혼합 공격의 예를 볼 수 있습니다. 즉, 악의적인 행위자가 여러 공격을 동시에 조정할 수 있습니다.

MITRE ATT&CK 프레임워크를 사용하는 방법

기본 웹 페이지인 MITRE ATT&CK®에서 위협 또는 공격 코드의 이름에 대한 간단한 검색으로 시작할 수 있습니다.

전술 또는 기술 페이지에서 위협을 찾아볼 수도 있습니다.

• 엔터프라이즈 전술
• 엔터프라이즈 기술

MITRE에서 제공하는 직관적인 도구인 MITRE ATT&CK® Navigator를 계속 사용할 수 있으며 위협에 대한 전술, 기술 및 세부 정보를 검색할 수 있습니다.

구성 요소

이 문서의 예제 아키텍처는 다음 Azure 구성 요소를 사용합니다.

• Microsoft Entra ID 는 내부 및 외부 리소스에 대한 보안 액세스를 가능하게 하는 클라우드 기반 ID 및 액세스 관리 서비스입니다. 이 아키텍처에서는 Azure 및 Microsoft 365 서비스 모두에 대해 사용자를 인증합니다. 환경 전체에서 중앙 ID 공급자 역할을 합니다.

• Azure Virtual Network 는 Azure 리소스, 인터넷 및 온-프레미스 네트워크 간의 보안 통신을 가능하게 하는 Azure의 네트워킹 서비스입니다. 이 아키텍처에서는 워크로드를 호스팅하고 트래픽 제어를 적용하기 위해 격리되고 확장 가능한 네트워크 인프라를 제공합니다.

• Azure Load Balancer 는 TCP(Transmission Control Protocol) 및 UDP(사용자 데이터그램 프로토콜) 트래픽에 대한 고성능 계층 4 부하 분산 서비스입니다. 이 아키텍처에서는 VM 및 서비스에 인바운드 및 아웃바운드 트래픽을 분산하여 고가용성 및 확장성을 보장합니다.

• Azure Virtual Machines 는 유연한 주문형 컴퓨팅 리소스를 제공하는 IaaS(Infrastructure as a Service) 제품입니다. 이 아키텍처에서 VM은 조직의 IT 환경에 속하고 위협 매핑의 대상이 되는 애플리케이션 및 서비스를 호스트합니다.

• AKS(Azure Kubernetes Service) 는 컨테이너화된 애플리케이션을 배포하고 관리하기 위한 관리되는 Kubernetes 서비스입니다. 이 아키텍처에서는 컨테이너화된 애플리케이션을 실행하고 위협 표면의 일부로 엔터프라이즈급 보안 및 거버넌스를 지원합니다.

• Virtual Desktop 은 원격 사용자를 위한 데스크톱을 제공하기 위해 클라우드에서 실행되는 데스크톱 및 앱 가상화 서비스입니다. 이 아키텍처에서는 원격 사용자에 대한 보안 액세스를 제공하고 잠재적인 공격 벡터로 위협 맵에 포함됩니다.

• Azure App Service의 Web Apps 기능은 웹 애플리케이션, REST API 및 모바일 백 엔드를 호스트합니다. 선택한 언어로 개발할 수 있습니다. Windows 및 Linux 기반 환경에서 애플리케이션을 쉽게 실행하고 확장할 수 있습니다. 이 아키텍처에서 Web Apps는 TLS(전송 계층 보안) 및 프라이빗 엔드포인트와 같은 통합 보안 기능을 통해 보호되는 HTTP 기반 애플리케이션을 호스트합니다.

• Azure Storage 는 개체, Blob, 파일, 디스크, 큐 및 테이블 스토리지를 비롯한 클라우드의 다양한 데이터 개체에 대한 확장 가능하고 안전한 스토리지 서비스입니다. Azure Storage는 Storage 계정에 기록된 모든 데이터를 암호화합니다. 데이터에 대한 액세스를 세밀하게 제어할 수 있습니다. 이 아키텍처에서는 애플리케이션 및 시스템 데이터를 저장하며 데이터 보호 및 액세스 제어에서의 역할 때문에 위협 맵에 포함됩니다.

• SQL Database 는 패치, 백업 및 모니터링을 자동화하는 관리형 관계형 데이터베이스 엔진입니다. 이 아키텍처에서는 구조화된 데이터를 저장하고 위협을 완화하기 위한 기본 제공 보안 및 규정 준수 기능을 지원합니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

주요 작성자:

• Rudnei Oliveira | 선임 Azure 보안 엔지니어

기타 기여자:

• Gary Moore | 프로그래머/작가
• Andrew Nathan | 선임 고객 엔지니어링 관리자

다음 단계

이 문서에서는 일부 서비스, 기술 및 용어를 참조합니다. 이에 대한 자세한 정보는 다음 리소스에서 확인할 수 있습니다.

• MITRE ATT&CK®
• ATT&CK® 탐색기)
• Cyber Kill Chain®
• 제로 트러스트를 사용하여 선제적 보안 도입
• Wikipedia의 혼합된 위협
• Microsoft 보안 블로그의 새로운 Microsoft 디지털 방어 보고서에 따른 사이버 공격의 변화 방식

관련 참고 자료

이 참조 아키텍처에 대한 자세한 내용은 이 시리즈의 다른 문서를 참조하세요.

• 2부: Azure Security Services 사용하여 첫 번째 방어 계층 빌드
• 3부: Microsoft Defender XDR 보안 서비스 사용하여 두 번째 방어 계층 빌드
• 4부: Azure 및 Microsoft Defender XDR 보안 서비스 통합