[MS강의] 1. 기업 보안의 기초 - 레드팀 VS 블루팀

1. 개념

기업 보안을 위해서 레드팀 대 블루팀 연습으로 조직의 정보 시스템에 대한 공격 시뮬레이션이 수행됩니다.

레드 팀 : 조직의 IT 시스템에 대한 공격에서 취해진 개념 증명 단계(PoC)를 시뮬레이션

블루 팀 : 해당 공격에 대한 대응을 시뮬레이션

 

@ 이러한 공격 시뮬레이션을 왜 하는거야?

A : 이러한 적대적인 접근방식으로

1) IT 시스템이 구성되는 방식에서 보안 취약성을 식별

2) 조직의 정보 시스템 직원이 공격을 감지하고 대응하는 방법을 배울 수 있음

 

@ 이게 뭔데?

A : 역할극이다. 개념증명을 사용하는. 그러나, 인프라를 망가뜨릴 수 있을 위협이 있으니, 인프라에 피해가 가지 않는 선에서 공격을 수행한다. (ex. 멀웨어 배포 시, 랜섬웨어 대신 그냥  무해한 응용프로그램으로 대체할 것)

 

@ 어떻게 진행하는데?

A : 처음에 조직의 보안 구성 / 사고 대응 전략을 작업할 때, 빨간색(내부) vs 파란색 팀 중 하나를 선택하여 시작할 수 있음. 조직의 보안 구성이 전문적인 침투 테스트를 시도하는 것이 유리한 수준에 도달할 때 까지 연습을 계속할 수 있음.

이 과정에서 기존 보안 구성에 명백하고 잠재적으로 당황스러운 취약점이 있을 가능성이 높아.

 

@ 주의할 거?

A :

1) 경영 승인. 활동 수행 시, 인프라에 직접적인 영향(심지어는 중단)을 미칠 수 있기 때문에 경영진에게 "레드팀 대 블루팀" 활동에 대한 정보를 제공하는 것이 중요. 경영진은 활동 목적을 인식하고 활동 목표를 승인해야 함.

 

* 평판이 좋은 전문 침투 테스터(멋진사람들)은 광범위한 경험과 지식을 보유하고 있기 때문에 많은 취약점을 발견할 수 있음

* 보통 대부분의 연습에 내부팀을 사용하고, 가끔씩 침투 테스터가 레드팀 / 조직내부가 블루팀으로 연습을 함. 이를 통해 조직의 보안 문화에 익숙하지 않은 침투테스터에게 조직의 취약한 보안 구성이 잘 드러날 수 있음.

 

@ 레드팀 vs 블루팀

레드팀	VS	블루팀
공격자 (조직 내부 / 외부)	역할	기존 정보보안 및 IT 관리 직원
표적 조직이 특정 유형의 공격에 취약하다는 개념 증명 제공	목표	해당 공격을 효과적으로 탐지하고 대응
취약성의 존재 여부에 대한 모호성 허용보다는 레드팀 승리로 간주되는 것을 명확하게 정의	중요	기존 보안 구성에 취약점이 있는지 확인하고 조직 직원이 조직 IT 인프라에 대한 공격을 감지하고 대응하는 방법을 교육

-x- 레드팀, 블루팀 간에 역할 교체를 하기도 함.

-> 직원은 공격자와 방어자의 사고를 배우고, 개발하고 감사할 수 있음

 

 

2. 레드팀 

1) 설명

[목표]

- 조직이 외부 공격자의 디지털 침입에 어떻게 취약한지 탐색. 이러한 취약성을 수정하는것

- 조직이 직원에게 탐지, 조사하는 방법을 교육하는 것 

- 조직의 보안 사고 대응 정책 및 절차를 테스트

 

@ 레드팀 주의사항

1) 내부팀으로 구성된 레드팀이 조직의 가정 중 일부를 가져오는 것 주의.

레드팀인 조직 구성원이 "저 시스템은 너무 안전해서 공격하는 건 시간낭비일거야" 라고 생각하는 시스템에는 조직에 속하지 않은 공격자가 보았을 때, 명백하고 악용될 수 있는 결함이 있을 수 있음. 구성원의 잘 알고있음 + 가정이 공격에 방해.

2) 연습이 지나치게 복잡해지지 않도록 목표를 제한

3) 조직 외부의 침투 테스터를 레드팀으로 참여시킬 때, 연습 전 목표가 명확하게 명시되었는지 확인

4) 보안 감사가 아니에요.

5) 레드티 연습 수행 시, 연습 범위와 레드팀 목푤르 수행하기 전에 경영진에게 알림

 

@ 레드팀이 공격자랑 달라?

A : 

1) 레드팀은 발견한 취약점을 문서화

2) 조직의 정보 시스템에 대한 수정 사항을 롤백하거나 더 나은 보안 구성을 구현하여 구성할 수 있는지 확인

 

@ 외부 레드팀이 좋은점?

A:

- 조직의 보안 가정을 모름

- 다양한 환경에서 취약점을 발견한 광범위한 경험

 

@ [번외] 공격자는 어떻게 공격을 한대? 공격 목표 

1. Persist presence 지속성 유지

거점에 도달하면, 시스템을 정찰/관찰하기 위해 베이스 캠프를 만드는 작업을 한 뒤, 몇 달간 네트워크를 조사한다. (ex.백도어) 이후, 네트워크 인프라가 파악되면 공격 툴킷을 네트워크에 업로드 및 배포 수행 및 측면 이동 수행

 

2. Steal data 데이터 도난

데이터를 빼내어 악용한다.

 

3. Hackstortion #대체 단어가 없음. # 요즘 유행인 듯, # 정확한 이해 어려움

공격자가 대상 네트워크를 손상시킨 다음, 수행할 특정 작업에 대한 지불을 요청할 때 발생하는 프로세스 용어.

공격자는 해당 데이터를 대중에게 판매, 공개를 빌미로 조직에게 재정적 요구를 수행.

(ex. 유명 tv 제작사 시스템 공격 후, "비용을 지불하지 않으면 미방영분 인기프로그램을 파일 공유 사이트에 올릴 것이다"고 위협. -> 지불이 이루어지지않는 경우 공개)

또한, 몸값을 지불하지 않는 한 계정에 호스팅 된 모든 인프라를 삭제하겠다고 위협

 

4. ransomware 랜섬웨어

파일 암호화 후, 암호 해독 키를 유료로 제공

 

5. coin miner 코인 마이너

코인 채굴 악성코드. 모니터링 솔루션이 없으면 발견하기 어려움

 

6. 시스템 파괴 (사보타주)

표적 조직의 인프라 파괴. (ex. 메모리 / cpu 과열 -> 가용성 저하, ex. shamoon)

 

2) 레드팀 킬체인

@ 킬체인?

정보시스템에 대한 공격의 진행을 설명하기 위한 업계 표준 프레임워크

 

사이버 킬 체인을 이용. (공격구조)

단계	설명	하는 것
정찰	대상이 공격할 가치가 있는지 여부, 공격 목적 및 대상의 특성 결정	LinkedIn, SNS으로 공격대상 정보 수집
무기화	정찰 단계 정보 바탕으로 공격 대상에 적합한 악성코드 선택	원격 접근 멀웨어 생성
전달	공격 대상이 조직의 시스템에서 멀웨어를 실행하도록 유도 (피해 시스템 내부에 멀웨어가 존재하지만, 아직 실행 안됨)	피싱, 워터링홀, 문서 파일 공격 등
조작	악성코드가 성공적으로 트리거 되어 표적 취약점을 활용
설치	멀웨어로 백도어 액세스 포인트 배포 및 손상된 시스템에 접근 공격자에게 원격 액세스 지점 제공	악성코드 다운, 익스플로잇 도구 원격 실행
C&C	C&C 과정에서 표적 조직의 정보 시스템에 지속적인 액세스	측면 이동, 권한 상승, 도메인 지배/관리 권한
활동 목적	레드팀의 목표 수행.	대이터 훔치기, 시스템 인프라 파괴 등

 

 

3. 블루팀

1) 설명

[목표] 

- 레드팀 공격 방어.

- 레드팀 활동에 대한 조기 발견 및 효과적인 대응

- 보고서 작성 시에 블루팀의 성공과 실패를 자세히 설명.

ㄴ 실제 공격 발생 시, 내부 팀이 따르는 프로세스 개선에 도움

(ex. 연습 중에 로그 액세스 시에 병목 현상으로 조사자가 이벤트 로그에서 중요한 증거를 놓침)

- 사고 대응 전략 수정

ㄴ 시뮬레이션 수행 후, 직원이 공격 시뮬레이션에 대응하는 방식의 절차적 취약성을 보강해야 함.

ㄴ 조작 소준에서 어떤 대응이 필요한가 논의

ㄴ 최악의 결과는 현재 정보 시스템 구성 및 사고 대응 정책에 수정이 필요함.

 

2) 블루팀 킬체인

블루팀 킬체인은 조직 공격을 감지하고 대응하는 단계 설명.

단계	설명	하는 것
기준 데이터 수집	적절한 기준 데이터가 있으면, 정상적인 환경일 때, 환경이 어떤 모습인지 이해 가능	로깅, 모니터링, 감사
탐지	조직의 정보 시스템에서 비정상 활동 감지	IDS,IPS,SIEM 이용
경보	여러 로그에서 상관관계가 있는 일련의 비정상적인 이벤트 탐지 -> 침입자 존재 확인 #???	IDS, IPS 조사
조사	침입자가 어느 정보까지 침투했는지, 어떤 것을 손상시켰는지 확인 시스템이 어디서, 어떻게, 언제 손상되었는지 확인
대응계획	침입 토폴로지 제대로 이해 후, 침입자를 처리
실행	정보시스템에서 침입자 제거, 보안 구성의 취약성 수정위한 대응 계획 제정 -> 조직 탐지 매커니즘이 부족한 곳을 집중 보완

 

# 세부 설명은 이어서 추가하기