# 리스트로 사고하는 방어자들, 그래프로 사고하는 공격자들 (2015) > Clean Markdown view of GeekNews topic #16460. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=16460](https://news.hada.io/topic?id=16460) - GeekNews Markdown: [https://news.hada.io/topic/16460.md](https://news.hada.io/topic/16460.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2024-08-26T08:33:16+09:00 - Updated: 2024-08-26T08:33:16+09:00 - Original source: [github.com/JohnLaTwC](https://github.com/JohnLaTwC/Shared/blob/master/Defenders%20think%20in%20lists.%20Attackers%20think%20in%20graphs.%20As%20long%20as%20this%20is%20true%2C%20attackers%20win.md) - Points: 3 - Comments: 1 ## Topic Body #### 수비자의 사고방식 - 많은 네트워크 방어는 적과 접촉하기 전에 잘못된 방향으로 시작됨 - 수비자들은 자산을 보호하고 우선순위를 정하며 업무 기능에 따라 분류하는 데 집중함 - 수비자들은 시스템 관리 서비스, 자산 인벤토리 데이터베이스, BCDR 스프레드시트 등에서 자산 목록에 둘러싸여 있음 - 문제는 수비자들이 자산 목록이 아닌 그래프를 가지고 있다는 것임 - 자산은 보안 관계에 의해 서로 연결되어 있음 - 공격자는 스피어피싱과 같은 기술을 사용하여 그래프 어딘가에 침투하고, 그래프를 탐색하여 취약한 시스템을 찾음 #### 그래프란 무엇인가? - 네트워크의 그래프는 자산 간의 보안 종속성을 나타냄 - 네트워크 설계, 관리, 사용되는 소프트웨어 및 서비스, 사용자 행동 등이 그래프에 영향을 미침 - 예를 들어, 도메인 컨트롤러(DC)를 관리하는 Bob의 워크스테이션이 보호되지 않으면 DC가 손상될 수 있음 - Bob의 워크스테이션에 관리자 권한이 있는 다른 계정도 DC를 손상시킬 수 있음 - 공격자는 이러한 경로를 통해 DC를 손상시킬 수 있음 #### Mallory의 여섯 단계 - 공격자는 손상된 기기에서 대기하며 높은 가치의 계정이 로그인할 때까지 기다림 - 예시 그래프를 통해 공격자가 어떻게 고가치 자산에 도달할 수 있는지 설명함 - 터미널 서버를 손상시키면 많은 사용자 자격 증명을 덤프할 수 있음 - 공격자는 그래프를 탐색하여 고가치 자산으로 이동할 수 있는 여러 경로를 발견함 - 고가치 자산을 보호하려면 모든 종속 요소가 동일하게 보호되어야 함 #### 보안 종속성 - Windows 네트워크에서 사용자가 특정 종류의 로그온을 수행할 때 자격 증명이 도난당할 수 있음 - 다양한 관계가 보안 종속성을 생성함 - 공통 비밀번호를 가진 로컬 관리자 계정 - 많은 사용자를 위한 로그인 스크립트를 호스팅하는 파일 서버 및 소프트웨어 업데이트 서버 - 클라이언트 기기에 프린터 드라이버를 제공하는 프린터 서버 - 스마트 카드 로그온을 위한 인증서를 발급하는 인증 기관 - 데이터베이스 서버에서 코드 실행이 가능한 데이터베이스 관리자 등 #### 그래프 관리 - 수비자가 할 수 있는 일: - 네트워크를 시각화하여 목록을 그래프로 변환 - 그래프를 가지치기하는 제어 구현 - 큰 연결성을 생성하는 원치 않는 엣지 검사 - 관리자 수 줄이기 - 이중 인증 사용 - 사용자 계정이 손상된 경우 자격 증명 회전 접근법 적용 - 포리스트 신뢰 관계 재고 #### 목록 사고방식 감지 - 수비자는 공격자가 전장을 시각화할 때 우위를 점하지 않도록 해야 함 - 수비자는 네트워크에 대한 완전한 정보를 가질 수 있음 - 공격자는 네트워크를 조각별로 연구해야 함 - 수비자는 공격자가 그래프를 이해하는 방법에서 교훈을 얻어야 함 - 현실에서 관리하는 것이 준비된 수비자의 사고방식임 #### 추가 읽을거리 - 여러 공격 그래프에 관한 논문들: - Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph - Two Formal Analyses of Attack Graphs - Using Model Checking to Analyze Network Vulnerabilities - A Graph-Based System for Network-Vulnerability Analysis - Automated Generation and Analysis of Attack Graphs - Modern Intrusion Practices - Attack Planning in the Real World ### GN⁺의 정리 - 이 글은 네트워크 방어의 사고방식과 공격자의 접근 방식을 비교하여 설명함 - 수비자는 자산 목록이 아닌 그래프를 통해 네트워크를 이해해야 함을 강조함 - 공격자는 그래프를 통해 취약점을 탐색하고 공격 경로를 찾음 - 수비자는 네트워크를 시각화하고 그래프를 관리하여 보안을 강화할 수 있음 - 이 글은 네트워크 보안에 관심 있는 사람들에게 유용하며, 공격자와 수비자의 사고방식 차이를 이해하는 데 도움이 됨 ## Comments ### Comment 28275 - Author: neo - Created: 2024-08-26T08:33:17+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=41342637) - 공격자는 특정 목표를 달성하기 위해 깊이 탐구할 수 있는 특권이 있음 - 방어자는 여러 신호와 위협 벡터를 추적하며 우선순위를 정해야 함 - 방어자는 자산을 관리하기 위해 목록을 사용함 - 목록을 통해 자산을 최신 상태로 유지하고 제한된 신뢰를 가정하며 자원을 격리함 - 의존성 그래프를 만들기 전에 목록을 먼저 작성해야 함 - 복잡한 적응 시스템은 구성 요소와 상호 작용을 위한 메시징 버스를 가짐 - 개별적으로 개미를 잡는 것보다 페로몬 경로를 파괴하는 것이 효과적임 - 방어자의 역할은 단순한 방어가 아님 - 사이버 보안은 주 업무가 아닌 부수적인 역할임 - 공격자는 시스템을 공격하는 것이 유일한 목적임 - 공격자는 약점을 찾고 한 번만 성공하면 됨 - 방어자는 모든 것을 동시에 지켜야 함 - 공격자는 그래프를 사용하지 않음 - 웹 보안에서는 그래프 사고가 적용되지 않음 - 침투 테스트 보고서에는 그래프가 아닌 할 일 목록이 포함됨 - 방어자는 종종 중요하지 않은 일에 시간을 소비함 - 사이버 보안 회사에서 일한 경험이 있음 - 많은 사이버 보안 관행이 무의미하다고 느낌 - 방어는 여러 요소로 구성됨 - 효과적인 통제 개발, 공격 식별, 사건 대응 등 - 방어에는 네트워크 그래프를 고려한 건축적 결정이 포함됨 - 방어의 약한 고리가 전체 강도를 결정함 - 체크리스트 기반 보안은 인프라 문제를 무시함 - SBOM을 사용하여 구성 요소 관계를 매핑할 수 있음 - 네트워크에 침입자를 잡기 위한 허니팟이 필요함 - 가짜 암호화 자격 증명, 가짜 비밀번호 저장소 등