What is Lateral Movement?

사이버 공격 시 사이버 위협 행위자가 조직의 네트워크 내에서 가장 먼저 접근하는 시스템이 최종 목표가 되는 경우는 거의 없습니다. 예를 들어, 많은 사이버 공격은 데이터베이스에 저장된 중요한 데이터를 훔치거나 암호화하거나 파괴하는 데 초점을 맞추지만, 공격자는 피싱이나 기타 기술을 통해 조직의 시스템에 침입하여 사용자의 워크스테이션을 손상시킬 수 있습니다.

조직의 시스템에 발판을 마련한 공격자는 일반적으로 조직 환경 내의 다른 시스템과 데이터에 액세스하기 위해 측면으로 이동합니다. 여기에는 권한을 확장하거나 다른 계정을 손상시켜 추가 리소스에 대한 액세스 권한을 얻는 것이 포함될 수 있습니다.

Horizon XDR/XPR 조기 가용성 프로그램

What is Lateral Movement?

측면 이동 기법의 유형

사이버 범죄자는 조직의 환경에 침투한 후 다양한 수단을 사용하여 접근 범위를 확장할 수 있습니다.

몇 가지 일반적인 기술은 다음과 같습니다:

  • 자격 증명 도용: 공격자가 기업 시스템에 액세스하면 일반적으로 비밀번호 해시를 훔치고 네트워크 트래픽을 도청하려고 시도합니다. 이렇게 하면 비밀번호 크래킹, 패스 더 해시, 패스 더 티켓 공격을 통해 추가 계정에 액세스할 수 있습니다.
  • 내부 스피어 피싱(Spear Phishing): 흔히 안티피싱(피싱 방지) 교육은 조직 외부에서 들어오는 악성 메시지를 식별하는 데 초점을 맞추는 경우가 많습니다. 공격자가 합법적인 사용자의 계정에 액세스할 수 있다면 훨씬 더 그럴듯한 스피어 피싱 이메일, Slack 메시지 또는 기타 메시지를 보낼 수 있습니다.
  • 취약성 익스플로잇: 조직의 외부용 애플리케이션과 마찬가지로 내부 애플리케이션과 시스템에도 악용 가능한 취약성이 있을 수 있습니다. 공격자는 이러한 취약점을 악용하여 추가적인 시스템과 데이터에 액세스할 수 있습니다.

측면 이동 단계

공격자는 측면 이동을 위해 여러 가지 기술을 사용할 수 있지만 전체적인 프로세스는 거의 동일하게 유지됩니다.

측면 이동의 세 가지 주요 단계는 다음과 같습니다:

  • Reconnaissance: 방화벽 및 기타 네트워크 보안 솔루션은 외부 공격자가 기업 네트워크의 내부 구조를 파악하는 능력을 제한합니다. 일단 내부로 진입한 사이버 위협 공격자는 일반적으로 정찰을 수행하여 침해한 시스템과 나머지 네트워크의 구조를 조사하는 것부터 시작합니다. 이 정보를 바탕으로 목표 달성을 위한 계획을 수립할 수 있습니다.
  • 자격 증명 도용: 측면 이동에는 종종 합법적인 자격 증명의 도용 및 사용이 포함됩니다. 공격자는 손상된 시스템에서 자격 증명을 덤프하거나 키로거를 사용하거나 네트워크 트래픽을 스니핑하거나 피싱 공격을 수행하여 자격 증명에 액세스할 수 있습니다. 인증정보는 종종 비밀번호 해시의 형태로 도용되는데, 일부 시스템에 로그인하기 위해서는 비밀번호를 해독해야 합니다.
  • 액세스 권한 획득: 공격자가 새로운 시스템을 식별하거나 사용자 계정을 손상시키거나 악용 가능한 취약점을 발견한 후에는 측면으로 이동하거나 액세스 권한을 확장할 수 있습니다. 새로운 발판에서 목표를 달성할 수도 있고, 처음부터 다시 시작할 수도 있습니다.

측면 이동 감지 및 방지

기업은 네트워크를 통해 측면으로 이동하는 공격자를 방지하거나 탐지하기 위해 다양한 조치를 취할 수 있습니다.

몇 가지 모범 사례는 다음과 같습니다:

  • 보안 인증 - 보안 인증 MFA: 사이버 범죄자들은 종종 유출된 인증 정보를 사용하여 조직의 시스템을 측면으로 이동합니다. 강력한 비밀번호 정책을 구현하고 다중 인증(MFA) 사용을 강제하면 이러한 위협으로부터 보호하는 데 도움이 될 수 있습니다.
  • 제로 트러스트 보안: 제로 트러스트 보안 정책은 사용자, 애플리케이션 등에게 업무 수행에 필요한 액세스 권한과 권한만 부여합니다. 액세스를 제한하면 공격자가 손상된 계정을 사용하여 네트워크를 측면으로 이동하는 것이 더 어려워집니다.
  • 확장된 탐지 및 대응 (XDR): 사이버 위협 공격자는 일반적으로 조직의 시스템을 통과할 때 레이더망을 피하려고 합니다. XDR이 제공하는 컨텍스트와 중앙 집중식 가시성은 측면 이동의 잠재적 지표를 식별하는 데 매우 유용할 수 있습니다.
  • 이메일 보안: 피싱 공격은 공격자가 초기 액세스 권한을 획득하고 조직의 시스템을 통해 측면으로 이동하는 일반적인 방법입니다. 이메일 보안 솔루션은 의심스러운 메시지를 식별하고 경고하는 데 도움을 줄 수 있습니다.
  • 엔드포인트 탐지 및 대응 (EDR): 측면 이동은 일반적으로 엔드포인트를 손상시키고 엔드포인트에서 중요한 정보(자격 증명 등)를 훔치는 것으로 시작됩니다. EDR은 초기 침입으로부터 보호하고 자격 증명 덤핑, 키로거 설치 및 이와 유사한 위협을 탐지하는 데 도움이 될 수 있습니다.
  • 네트워크 트래픽 분석: 네트워크를 통해 측면 이동이 발생합니다. 네트워크 트래픽 분석은 정찰 또는 측면 이동을 가리킬 수 있는 비정상적인 트래픽을 식별하는 데 도움이 될 수 있습니다.

체크 포인트를 통한 측면 이동 보안

이상적으로는 공격자가 조직의 시스템에 액세스하기 전에 공격자를 식별하고 차단하는 것이 좋습니다. 하지만 이런 일이 발생하지 않는다면, 해당 사용자의 액세스를 잠그고 목표를 달성하지 못하도록 하는 것이 차선책입니다.

체크 포인트 솔루션은 기업이 네트워크의 측면 이동을 식별하고 단속하는 데 필요한 가시성과 데이터 분석을 제공합니다. 체크 포인트 Horizon XDR은 중앙 집중식 가시성과 고급 위협 분석을 제공하여 보안 팀이 네트워크를 통해 이동하는 위협의 미묘한 징후를 감지할 수 있도록 지원합니다. 지금 Horizon XDR 조기 가용성 프로그램에 가입하여 체크 포인트로 네트워크를 보호하는 방법에 대해 자세히 알아보세요.

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.
확인