IT 환경에 대한 위협 매핑

이 문서에서는 조직의 핵심 IT 환경을 다이어그램하고 위협 맵을 만드는 방법을 간략하게 설명합니다. 이러한 다이어그램은 강력한 방어 보안 계층을 계획하고 빌드하기 위한 유용한 도구입니다. IT 환경 및 아키텍처를 이해하는 것은 적절한 보호를 제공하는 데 필요한 보안 서비스를 식별하는 데 매우 중요합니다.

컴퓨터 시스템에는 정보를 생성하는 조직뿐만 아니라 악의적인 행위자에게 중요한 정보가 포함되어 있습니다. 이러한 행위자(개인 또는 그룹)는 회사의 컴퓨터, 디바이스, 시스템 및 네트워크에 해를 끼치거나 손상시키기 위한 유해한 활동에 개입합니다. 맬웨어 또는 무차별 암호 대입 공격과 같은 위협을 사용하여 중요한 데이터를 훔치거나 손상시키는 것이 목표인 경우가 많습니다.

이 문서에서는 보안 전략의 일환으로 Microsoft 보안 서비스 구현을 계획할 수 있도록 IT 환경에 위협을 매핑하는 방법을 살펴봅니다.

좋은 소식은 처음부터 위협 맵을 만들 필요가 없다는 것입니다. MITRE ATT&CK 매트릭스는 개발하는 데 도움이 되는 훌륭한 리소스를 제공합니다. MITRE ATT&CK는 관찰된 전술 및 기술을 기반으로 실제 위협을 매핑하는 글로벌 기술 자료입니다. MITRE Corporation은 알려진 모든 위협을 자세히 문서화하여 이러한 위협이 작동하는 방식과 위협을 방어하는 방법에 대한 귀중한 통찰력을 제공합니다. 공개적으로 액세스할 수 있는 이 리소스는 MITRE ATT&CK®에서 온라인으로 사용할 수 있습니다.

이 문서에서는 이러한 위협의 하위 집합을 사용하여 IT 환경에 위협을 매핑하는 방법을 설명합니다.

잠재적인 사용 사례

일부 위협은 랜섬웨어, DDoS 공격, 사이트 간 스크립팅 및 SQL 삽입과 같은 모든 산업에서 일반적입니다. 그러나 많은 조직에서는 해당 업계 고유의 특정 위협이나 발생한 과거 사이버 공격에 직면해 있습니다. 이 문서의 다이어그램은 악의적인 행위자가 대상으로 지정할 가능성이 가장 큰 영역을 식별하여 조직에 대한 위협을 매핑하는 데 도움이 될 수 있습니다. 위협 맵을 만들면 더 안전한 환경에 필요한 방어 계층을 계획할 수 있습니다.

이 다이어그램을 조정하여 다양한 공격 조합을 모델링하고 이를 방지하고 완화하는 방법을 더 잘 이해할 수 있습니다. MITRE ATT&CK 프레임워크는 유용한 참조이지만 필수는 아닙니다. Microsoft Sentinel 및 기타 Microsoft 보안 서비스도 MITRE와 협력하여 다양한 위협에 대한 중요한 인사이트를 제공합니다.

일부 조직에서는 Lockheed Martin의 방법론인 Cyber Kill Chain®을 사용하여 공격 또는 일련의 공격이 IT 환경에 대해 수행되는 방식을 매핑하고 이해합니다. Cyber Kill Chain은 MITRE ATT&CK 프레임워크보다 적은 전술과 기술을 고려하여 위협과 공격을 구성합니다. 그럼에도 불구하고 위협과 위협이 실행되는 방법을 이해하는 데 효과적입니다. 이 방법론에 대한 자세한 내용은 Cyber Kill Chain을 참조하세요.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

©2021 The MITRE Corporation. 이 저작물은 The MITRE Corporation의 허가를 받아 복제 및 배포되었습니다.

조직의 IT 환경을 위해 Azure 및 Microsoft 365 전용 구성 요소를 지정합니다. 특정 IT 환경에는 다양한 기술 공급자의 디바이스, 어플라이언스 및 기술이 포함될 수 있습니다.

Azure 환경의 경우 다이어그램은 다음 표에 나열된 구성 요소를 보여 줍니다.

다이어그램은 다음 표에 나열된 구성 요소를 통해 Microsoft 365를 나타냅니다.

워크플로

이러한 위협이 공격할 가능성이 있는 IT 환경 부분을 이해하는 데 도움이 되도록 이 문서의 아키텍처 다이어그램은 온-프레미스 시스템, Microsoft 365 구독 및 Azure 구독이 있는 조직의 일반적인 IT 환경을 기반으로 합니다. 이러한 각 계층의 리소스는 많은 기업에서 공통적으로 사용되는 서비스입니다. 네트워크, 인프라, 엔드포인트, 애플리케이션, 데이터 및 ID와 같은 Microsoft 제로 트러스트의 핵심 요소에 따라 다이어그램에서 분류됩니다. 제로 트러스트에 대한 자세한 내용은 제로 트러스트를 사용하여 선제적 보안 도입을 참조하세요.

아키텍처 다이어그램에는 다음 계층이 포함됩니다.

1. 온-프레미스

   다이어그램에는 서버(VM), 네트워크 어플라이언스 및 DNS와 같은 몇 가지 필수 서비스가 포함되어 있습니다. 여기에는 대부분의 IT 환경에서 찾을 수 있고 가상 머신 또는 물리적 서버에서 실행되는 일반적인 애플리케이션이 포함됩니다. 또한 다양한 유형의 데이터베이스(SQL 및 비SQL 모두)를 포함합니다. 조직에는 일반적으로 회사 전체에서 파일을 공유하는 파일 서버가 있습니다. 마지막으로 광범위한 인프라 구성 요소인 Active Directory 도메인 서비스는 사용자 자격 증명을 처리합니다. 이 다이어그램에는 온-프레미스 환경의 모든 구성 요소가 포함됩니다.

2. Office 365 환경

   이 예제 환경에는 Word, Excel, PowerPoint, Outlook 및 OneNote와 같은 기존 Office 애플리케이션이 포함되어 있습니다. 라이선스 유형에 따라 OneDrive, Exchange, Sharepoint 및 Teams와 같은 다른 애플리케이션도 포함될 수 있습니다. 다이어그램에서 이들은 Microsoft 365(이전의 Office 365) 앱 아이콘과 Microsoft Entra ID 아이콘으로 표시됩니다. Microsoft 365 애플리케이션에 대한 액세스 권한을 얻으려면 사용자를 인증해야 하며 Microsoft Entra ID는 ID 공급자 역할을 합니다. Microsoft 365는 Azure에서 사용하는 것과 동일한 유형의 Microsoft Entra ID에 대해 사용자를 인증합니다. 대부분의 조직에서 Microsoft Entra ID 테넌트는 Azure와 Microsoft 365 모두에 대해 동일합니다.

3. Azure 환경

   이 계층은 가상 머신, 가상 네트워크, 서비스로서의 플랫폼, 웹 애플리케이션, 데이터베이스, 스토리지, ID 서비스 등을 포함한 Azure 퍼블릭 클라우드 서비스를 나타냅니다. Azure에 대한 자세한 내용은 Azure 설명서를 참조하세요.

4. MITRE ATT&CK 전술 및 기술

   이 다이어그램은 The MITRE Corporation에서 발표한 전술 및 기술에 따라 상위 16개의 위협을 보여 줍니다. 빨간색 선에서는 혼합 공격의 예를 볼 수 있습니다. 즉, 악의적인 행위자가 여러 공격을 동시에 조정할 수 있습니다.

MITRE ATT&CK 프레임워크를 사용하는 방법

기본 웹 페이지인 MITRE ATT&CK®에서 위협 또는 공격 코드의 이름에 대한 간단한 검색으로 시작할 수 있습니다.

전술 또는 기술 페이지에서 위협을 찾아볼 수도 있습니다.

• 엔터프라이즈 전술
• 엔터프라이즈 기술

MITRE에서 제공하는 직관적인 도구인 MITRE ATT&CK® Navigator를 계속 사용할 수 있으며 위협에 대한 전술, 기술 및 세부 정보를 검색할 수 있습니다.

구성 요소

이 문서의 예제 아키텍처는 다음 Azure 구성 요소를 사용합니다.

• Microsoft Entra ID는 클라우드 기반 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID는 사용자가 Microsoft 365, Azure Portal 및 수천 개의 기타 SaaS 애플리케이션과 같은 외부 리소스에 액세스하는 데 도움이 됩니다. 또한 회사 인트라넷 네트워크의 앱과 같은 내부 리소스에 액세스하는 데 도움이 됩니다.

• Azure Virtual Network는 Azure의 프라이빗 네트워크의 기본 구성 요소입니다. Virtual Network를 사용하면 다양한 종류의 Azure 리소스에서 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다. Virtual Network는 확장성, 가용성 및 격리와 같은 Azure 인프라의 이점을 활용하는 가상 네트워크를 제공합니다.

• Azure Load Balancer는 모든 UDP 및 TCP 프로토콜에 대한 대기 시간이 낮은 고성능 계층 4 부하 분산 서비스(인바운드 및 아웃바운드)입니다. 솔루션의 고가용성을 보장하면서 초당 수백만 개의 요청을 처리하도록 빌드되었습니다. Azure Load Balancer는 영역 중복으로, 가용성 영역에서 고가용성을 보장합니다.

• 가상 머신은 Azure에서 제공하는 여러 종류의 확장성 있는 주문형 컴퓨팅 리소스 중 하나입니다. Azure VM(가상 머신)은 가상화를 실행하는 물리적 하드웨어를 구입 및 유지 관리하지 않고도 가상화의 유연성을 제공합니다.

• AKS(Azure Kubernetes Service)는 컨테이너화된 애플리케이션을 배포하고 관리하는 완전 관리형 Kubernetes 서비스입니다. AKS는 서버리스 Kubernetes, CI/CD(연속 통합/지속적인 업데이트), 엔터프라이즈급 보안 및 거버넌스를 제공합니다.

• Azure Virtual Desktop은 원격 사용자에게 데스크톱을 제공하기 위해 클라우드에서 실행되는 데스크톱 및 앱 가상화 서비스입니다.

• Web Apps는 웹 애플리케이션, REST API 및 모바일 백 엔드를 호스트하는 HTTP 기반 서비스입니다. 원하는 언어로 개발할 수 있으며, Windows 및 Linux 기반 환경 모두에서 애플리케이션을 쉽게 실행하고 크기를 조정할 수 있습니다.

• Azure Storage는 개체, Blob, 파일, 디스크, 큐 및 테이블 스토리지를 포함하여 클라우드의 다양한 데이터 개체를 위한 고가용성의 대규모 확장성 및 내구성이 있는 보안 스토리지입니다. Azure Storage 계정에 기록된 모든 데이터는 서비스에 의해 암호화됩니다. Azure Storage는 데이터에 액세스할 수 있는 사용자를 자세히 제어할 수 있습니다.

• Azure SQL 데이터베이스는 업그레이드, 패치, 백업 및 모니터링과 같은 대부분의 데이터베이스 관리 기능을 처리하는 완전 관리형 PaaS 데이터베이스 엔진입니다. 사용자 개입 없이 이러한 기능을 제공합니다. SQL Database는 다양한 기본 제공 보안 및 규정 준수 기능을 제공하여 애플리케이션이 보안 및 규정 준수 요구 사항을 충족할 수 있도록 도와줍니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Rudnei Oliveira | 선임 Azure 보안 엔지니어

기타 기여자:

• Gary Moore | 프로그래머/작가
• Andrew Nathan | 선임 고객 엔지니어링 관리자

다음 단계

이 문서에서는 일부 서비스, 기술 및 용어를 참조합니다. 이에 대한 자세한 정보는 다음 리소스에서 확인할 수 있습니다.

• MITRE ATT&CK®
• ATT&CK® Navigator)
• 공개 미리 보기: Microsoft Sentinel의 MITRE ATT&CK 프레임워크 블레이드, Azure Cloud & AI 도메인 블로그의 게시물
• Cyber Kill Chain®
• 제로 트러스트를 사용하여 선제적 보안 도입
• Wikipedia의 혼합된 위협
• Microsoft 보안 블로그의 새로운 Microsoft 디지털 방어 보고서에 따른 사이버 공격의 변화 방식

관련 참고 자료

이 참조 아키텍처에 대한 자세한 내용은 이 시리즈의 다른 문서를 참조하세요.

• 2부: Azure Security Services 사용하여 첫 번째 방어 계층 빌드
• 3부: Microsoft Defender XDR 보안 서비스 사용하여 두 번째 방어 계층 빌드
• 4부: Azure 및 Microsoft Defender XDR 보안 서비스 통합