수비자의 사고방식
- 많은 네트워크 방어는 적과 접촉하기 전에 잘못된 방향으로 시작됨
- 수비자들은 자산을 보호하고 우선순위를 정하며 업무 기능에 따라 분류하는 데 집중함
- 수비자들은 시스템 관리 서비스, 자산 인벤토리 데이터베이스, BCDR 스프레드시트 등에서 자산 목록에 둘러싸여 있음
- 문제는 수비자들이 자산 목록이 아닌 그래프를 가지고 있다는 것임
- 자산은 보안 관계에 의해 서로 연결되어 있음
- 공격자는 스피어피싱과 같은 기술을 사용하여 그래프 어딘가에 침투하고, 그래프를 탐색하여 취약한 시스템을 찾음
그래프란 무엇인가?
- 네트워크의 그래프는 자산 간의 보안 종속성을 나타냄
- 네트워크 설계, 관리, 사용되는 소프트웨어 및 서비스, 사용자 행동 등이 그래프에 영향을 미침
- 예를 들어, 도메인 컨트롤러(DC)를 관리하는 Bob의 워크스테이션이 보호되지 않으면 DC가 손상될 수 있음
- Bob의 워크스테이션에 관리자 권한이 있는 다른 계정도 DC를 손상시킬 수 있음
- 공격자는 이러한 경로를 통해 DC를 손상시킬 수 있음
Mallory의 여섯 단계
- 공격자는 손상된 기기에서 대기하며 높은 가치의 계정이 로그인할 때까지 기다림
- 예시 그래프를 통해 공격자가 어떻게 고가치 자산에 도달할 수 있는지 설명함
- 터미널 서버를 손상시키면 많은 사용자 자격 증명을 덤프할 수 있음
- 공격자는 그래프를 탐색하여 고가치 자산으로 이동할 수 있는 여러 경로를 발견함
- 고가치 자산을 보호하려면 모든 종속 요소가 동일하게 보호되어야 함
보안 종속성
- Windows 네트워크에서 사용자가 특정 종류의 로그온을 수행할 때 자격 증명이 도난당할 수 있음
- 다양한 관계가 보안 종속성을 생성함
- 공통 비밀번호를 가진 로컬 관리자 계정
- 많은 사용자를 위한 로그인 스크립트를 호스팅하는 파일 서버 및 소프트웨어 업데이트 서버
- 클라이언트 기기에 프린터 드라이버를 제공하는 프린터 서버
- 스마트 카드 로그온을 위한 인증서를 발급하는 인증 기관
- 데이터베이스 서버에서 코드 실행이 가능한 데이터베이스 관리자 등
그래프 관리
- 수비자가 할 수 있는 일:
- 네트워크를 시각화하여 목록을 그래프로 변환
- 그래프를 가지치기하는 제어 구현
- 큰 연결성을 생성하는 원치 않는 엣지 검사
- 관리자 수 줄이기
- 이중 인증 사용
- 사용자 계정이 손상된 경우 자격 증명 회전 접근법 적용
- 포리스트 신뢰 관계 재고
목록 사고방식 감지
- 수비자는 공격자가 전장을 시각화할 때 우위를 점하지 않도록 해야 함
- 수비자는 네트워크에 대한 완전한 정보를 가질 수 있음
- 공격자는 네트워크를 조각별로 연구해야 함
- 수비자는 공격자가 그래프를 이해하는 방법에서 교훈을 얻어야 함
- 현실에서 관리하는 것이 준비된 수비자의 사고방식임
추가 읽을거리
- 여러 공격 그래프에 관한 논문들:
- Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
- Two Formal Analyses of Attack Graphs
- Using Model Checking to Analyze Network Vulnerabilities
- A Graph-Based System for Network-Vulnerability Analysis
- Automated Generation and Analysis of Attack Graphs
- Modern Intrusion Practices
- Attack Planning in the Real World
GN⁺의 정리
- 이 글은 네트워크 방어의 사고방식과 공격자의 접근 방식을 비교하여 설명함
- 수비자는 자산 목록이 아닌 그래프를 통해 네트워크를 이해해야 함을 강조함
- 공격자는 그래프를 통해 취약점을 탐색하고 공격 경로를 찾음
- 수비자는 네트워크를 시각화하고 그래프를 관리하여 보안을 강화할 수 있음
- 이 글은 네트워크 보안에 관심 있는 사람들에게 유용하며, 공격자와 수비자의 사고방식 차이를 이해하는 데 도움이 됨