5단계로 클라우드 환경에서 탐지 및 대응 강화하기

5 Steps to Boost Detection and Response in a Multi-Layered Cloud

 

• 1단계: 런타임 가시성 및 보호 추가
  • 실시간 가시성 확보
    • eBPF 센서를 사용해 네트워크, 인프라, 워크로드, 애플리케이션 전반에서 깊이 있는 실시간 관찰 가능
  • 핵심 기능
    • 토폴로지 그래프: 하이브리드 및 멀티클라우드 자산 간의 연결 및 통신 확인
    • 전체 자산 가시성: 모든 자산(클러스터, 네트워크, 데이터베이스 등)을 한눈에 확인
    • 외부 연결 통찰력: 외부 연결의 세부 정보(국가, DNS 등) 파악
    • 위험 평가: 각 자산의 위험 수준과 비즈니스에 미치는 영향 평가
• 2단계: 다층적 탐지 전략 사용
  • 다층 보안 적용
    • 클라우드, 워크로드, 애플리케이션 계층을 단일 플랫폼에서 모니터링하여 공격 시 발생할 수 있는 취약 지점 탐지
  • 핵심 기능
    • 풀스택 탐지: 여러 소스(클라우드, 애플리케이션, 네트워크 등)에서 발생하는 사고 탐지
    • 이상 탐지: 머신러닝 및 행동 분석을 통한 비정상적인 활동 패턴 탐지
    • 알려진 및 알려지지 않은 위협 탐지: 시그니처, IoC, MITRE 전술을 활용하여 위협 식별
    • 사고 상관 분석: 보안 이벤트와 경고를 상관 분석하여 잠재적 위협 식별
• 3단계: 취약점과 사고 데이터 통합
  • 취약점 관리와 사고의 통합 뷰
    • 취약점이 사고와 별도로 관리될 경우 대응 지연이 발생할 수 있으므로, 런타임 모니터링과 연계하여 더욱 신속한 대응 가능
  • 핵심 기능
    • 위험 우선순위 지정: 취약점의 실행 가능성, 공개 여부 등을 기준으로 위험 평가
    • 근본 원인 분석: 각 취약점의 원인을 분석하여 다중 취약점 해결 가능
    • 수정 검증: 배포 전 이미지 스캔으로 취약점이 모두 해결되었는지 검증
    • 규제 준수: SBOM 생성하여 규제 및 법적 요구사항 준수
• 4단계: ID 기반 "누가, 언제, 어떻게" 이해
  • ID의 정상 행동 기준 설정
    • 각 ID의 평상시 접근 패턴을 기반으로 비정상 활동 탐지
  • 핵심 기능
    • 기준 모니터링: 사용자 및 애플리케이션의 일반적인 사용 패턴을 모니터링
    • 인간 ID 보안: 로그인 시간, 위치 등 ID 사용 패턴을 통해 비정상 접근 탐지
    • 비인간 ID 보안: 비인간 ID의 클라우드 자원과의 상호작용 모니터링
    • 비밀 관리 보안: 클라우드 환경 내 모든 비밀을 추적하고 안전하게 관리
• 5단계: 상황에 맞는 다양한 대응 액션 제공
  • 유연한 대응 전략 구축
    • 각 사고의 유형에 맞춰 위협 차단, 워크로드 격리, 악성 프로세스 종료 등의 맞춤형 대응 제공
  • 핵심 기능
    • 대응 플레이북: 각 사고에 대한 단계별 대응 가이드 제공
    • 맞춤형 공격 개입: 손상된 워크로드 격리, 비인가 네트워크 차단 등 다양한 액션 수행
    • 근본 원인 분석: 사고의 원인 분석을 통해 재발 방지
    • SIEM 통합: SIEM 시스템과의 통합을 통해 위협 탐지를 위한 맥락적 데이터 제공