Fortinet 자격증 FCF - 사회 공학 모듈 파트 Part 2

A. 내부자 위협(Insider Threat)

 

1. 내부자 위협(Insider Threat) 이란? 

내부자 위협은 조직에서 근무하거나 조직의 네트워크나 시스템에 대한 접근 권한을 갖고 조직에 물리적 위협이나 사이버 위협을 가하는 개인을 의미합니다. 내부자는 일반적으로 현재 직원이지만 이전 직원, 계약자, 비즈니스 파트너, 이사회 구성원 또는 민감한 정보나 네트워크 권한에 액세스 하는 사기꾼일 수도 있습니다. 내부 공격은 외부 공격보다 탐지하기가 더 어려울 수 있습니다. 부분적으로 이는 내부자가 외부 공격자가 갖지 못한 네트워크에 대한 액세스 권한과 지식을 갖고 있기 때문입니다.

 

내부자 위협은 크게 두 가지 주요 그룹이 있습니다. 실수, 잘못된 판단 또는 부주의로 인해 의도치 않게 악의적인 행위자를 돕는 그룹과 내부에서 악의적으로 행동하는 그룹입니다. 첫 번째 그룹은 과실로 명명될 수 있고 두 번째 그룹은 악의적(Turncloaks)으로 명명될 수 있습니다. 이 두 가지 범주는 더 세분화될 수 있습니다.

 

B. 내부자 위협 유형 및 공격 유형

 

1. 악의적인 내부자 위협 유형

악의적인 내부자 위협은 두더지, 협력자, 고독한 늑대의 세 가지 유형으로 나눌 수 있습니다. 

 

1-1. 두더지(Moles)

악의적인 내부자는 조직의 네트워크에 액세스 할 수 있는 외부인입니다. 그들은 공급업체, 파트너, 계약자 또는 직원으로 가장하여 조직에 접근할 수 있습니다. 이러한 유형의 악의적인 내부자를 두더지라고 합니다. 

 

1-2. 협력자(Collaborators)

제3자와 협력하는 승인된 사용자입니다. 제3자는 경쟁업체,국가, 조직화된 범죄 네트워크 또는 개인일 수 있습니다. 

 

1-3. 고독한 늑대(Lone wolves)

외로운 늑대는 양처럼 무해해 보이지만 악의적인 의도를 품고 있습니다. 그리고 이름에서 알 수 있듯이 외로운 늑대는 외부 영향 없이 독립적으로 일합니다.

 

 

2. 악의적인 내부자 공격 유형

악의적인 에이전트는 부주의한 내부자를 상대로 다양한 방법과 공격 벡터를 사용합니다. 공격 벡터는 물리적일 수 있습니다. 물리적 공격 벡터에 대해 사용되는 방법에는 테일게이팅 또는 피기백, 숄더 서핑, 덤스터 다이빙 및 도청이 포함됩니다.

 

2-1. 테일게이팅(Tailgating) 또는 피기백(Piggybacking)

승인되지 않은 사람이 승인된 사람을 따라가서 제한 구역에 물리적으로 접근하는 일종의 엔지니어링 공격입니다.

 

2-2. 숄더 서핑(Ehoulder Surfing)

정보를 얻기 위해 누군가의 어깨너머로 보는 등 직접적인 관찰 기술을 사용하는 것입니다.

 

2-3. 덤스터 다이빙(Dumpster Diving)

다른 사람의 쓰레기통이나 휴지통에서 정보를 찾는 것입니다. 덤스터 다이빙은 기밀 정보가 인쇄되어 즉시 검색되지 않는 인쇄실과 같은 일반 접근 구역에서도 발생할 수 있습니다.

 

2-4. 도청(Eavesdropping)

실제 환경에서 도청하는 것은 기밀 정보가 논의되는 대화를 듣는 것일 수 있습니다. 디지털 방식으로 도청은 네트워크 스누핑 또는 스니핑을 의미하며, 이는 악의적인 행위자가 두 장치 간에 이동하는 정보를 읽거나 훔치기 위해 안전하지 않거나 취약한 네트워크를 악용할 때 발생합니다. 도청은 무선 네트워크에 대한 접근성이 더 높기 때문에 이더넷 네트워크보다 무선 통신에서 더 일반적으로 발생합니다.

 

 

3. 부주의한 내부자 위협 유형

더 온화하지만 똑같이 위험한 범주는 의도치 않게 나쁜 행위자를 돕는 부주의한 내부자입니다. 이들은 피싱 및 기타 사회 공학 공격의 희생양이 됩니다. 부주의한 내부자 범주는 폰과 바보라는 두 그룹으로 나눌 수 있습니다.

 

3-1. 폰(Pawns)

폰은 종종 테일게이팅이나 스피어 피싱과 같은 사회 공학 기술을 통해 악의적인 행위자를 의도치 않게 돕도록 조작된 승인된 사용자입니다.

 

3-2. 바보(Goofs)

바보는 의도적으로, 잠재적으로 유해한 행동을 취하지만 악의적인 의도를 품고 있지 않은 내부자입니다. 

 

 

4. 부주의한 내부자 공격 유형

디지털 공격 벡터 내에서는 부주의한 내부자를 속이기 위해 스피어 피싱 공격, 웨일링 공격 등 다양한 방법이 사용됩니다. 메시징이나 전화 통화와 같은 다른 공격 벡터에서는 내부자가 스미싱, 비싱 또는 프리텍스팅의 피해자가 될 수 있습니다. 소셜 미디어 공격 벡터에는 워터링 홀 공격이 사용될 수 있습니다.

 

C. 내부자 위협 탐지 및 대응

 

1. 행동 지표 내부자 위협 탐지

가능한 내부자 위협을 탐지하는 데 도움이 되는 행동 및 디지털 지표가 있습니다. 내부자가 조직에 불만을 갖고 있는 것처럼 보이거나, 조직에 대해 원한을 품고 있는 것처럼 보이거나, 과도한 열정으로 더 많은 작업을 수행하기 시작하는 경우 이는 잠재적인 내부자 위협의 지표일 수 있습니다. 이는 맥락이 전부입니다. 예를 들어 새로운 도전에 적극적으로 도전하는 잘 나가는 성격의 A 사원이 있습니다. 만약 논리적인 설명 없이 직원의 행동이 눈에 띄게 변한다면 이는 위협 지표일 수 있습니다. 일상적인 위반, 조직 정책에 대한 노골적인 경멸 또는 보안 우회 시도도 내부자 위협의 행동 지표일 수 있습니다.

 

 

2. 디지털 지표 내부자 위협 탐지

네트워크 수준의 비정상적인 활동은 디지털 지표입니다. 

 

다음과 같은 여러 활동을 추적할 수 있습니다.

- 오전 4시에 네트워크에 로그인하거나 항상 늦게까지 일하는 등 비정상적인 시간에 활동.

- 네트워크 내에서 비정상적인 양의 데이터 전송과 같은 트래픽 양.

- 비정형적이거나 내부자의 업무에 필요하지 않은 리소스에 액세스 하는 등의 활동.

 

이를 예방하기 위해 다음과 같은 디지털 활동에 대한 알림을 받아야 합니다.
- 직무와 관련 없는 시스템에 대한 액세스를 반복적으로 요청.

- USB 드라이브와 같은 승인되지 않은 장치를 사용.

- 민감한 정보에 대한 네트워크 크롤링 및 의도적인 검색.

- 민감한 정보를 조직 외부로 유출.

 

 

3. 조직의 보안 강화 방법

조직의 보안을 강화하려면 다음 권장 사항 목록을 따르십시오.

 

- 조직의 보안 정책을 숙지할 것.

- 보안 프로토콜을 진행시 간소화하여 진행하지 말 것

- 로그인 자격 증명을 노출된 상태로 두지 말 것. 

- 테일게이팅을 허용하지 말 것. 

- 기밀 디지털 문서를 암호화되지 않은 상태로 저장하거나 물리적 문서를 보안되지 않은 상태로 두지 말 것.
- 엔드포인트 보안 및 제어를 비활성화하지 말 것.

- 독점 또는 기밀 정보를 승인되지 않은 사람과 공유하지 말 것.

- OS 및 소프트웨어 업데이트가 제공되는 즉시 장치를 패치할 것. 

 

 

4. 조직의 자산 보호를 위한 방법

내부 위협으로부터 조직의 자산을 보호하기 위해 취할 수 있는 조치가 있습니다. 먼저, 조직의 논리적 자산과 물리적 자산 모두를 식별하십시오. 여기에는 네트워크, 시스템, 기밀 데이터, 시설 및 사람이 포함됩니다. 각 자산의 순위와 우선순위를 지정하고 각 자산 보호의 현재 상태를 식별합니다. 자산의 우선순위를 정함으로써 가장 중요한 자산을 먼저 확보하는 데 집중할 수 있습니다.

 

4-1. 기계 학습(ML) 애플리케이션

데이터 스트림을 분석하고 가장 관련성이 높은 경고의 우선순위를 지정하는 데 도움이 될 수 있습니다.

 

4-2. UEBA(사용자 및 이벤트 행동분석)

디지털 포렌식 및 분석 도구를 사용하면 잠재적인 내부자 위협을 감지, 분석하고 보안 팀에 경고할 수 있습니다.

 

4-3. 사용자 및 장치 동작 분석

일반적인 데이터 액세스 활동에 대한 기준을 설정할 수 있습니다.

 

4-4. 데이터베이스 활동 모니터링

정책 위반을 식별하는 데 도움이 될 수 있습니다.

 

사용자 활동을 모니터링하고 여러 소스의 활동 정보를 집계하고 상호 연관시키는 도구를 배포합니다. Fortinet의  FortiDeceptor와 같은 디셉션 소프트웨어는 함정을 구축하여 악의적인 내부자를 유인하고 그들의 행동을 추적하여 그들의 의도를 더 잘 이해합니다. 허니팟 솔루션으로 수집된 정보는 다른 인텔리전스와 공유되어 탐지 기능을 향상하고 공격 및 위반을 완화할 수 있습니다.

 

조직의 보안 정책을 정의하고, 문서화하고, 공유합니다. 그런 다음 조직에서 일하는 사람들에게 교육을 제공하고 이해도를 확인하기 위해 후속 테스트를 수행합니다. 이는 모호성을 방지하고 집행을 위한 기반을 마련합니다. 그들은 조직의 보안 정책을 준수하고 존중할 책임을 인식해야 합니다.

 

이는 보안 인식 문화를 장려하는 최종 권장 사항에 대한 좋은 후속 조치입니다. 내부자 위협을 완화하려면 보안 인식 문화를 장려하는 것이 중요합니다. 올바른 신념과 태도를 심어주면 과실을 퇴치하고 악의적인 행동의 가능성을 줄입니다.