네트워크 취약성 스캐너의 작동 방식
네트워크 취약성 스캐너의 작동 방식은 다음과 같습니다.
#1: 자산 인벤토리 생성
자산을 식별하는 것은 스캔을 시작할 때 가장 기본적인 목표입니다. 대부분의 도구는 자동으로 이 기능을 제공하지만, 일부 도구는 직접 액세스할 수 있는 로컬 디바이스에 에이전트를 설치해야 합니다.
패시브 스캐닝 기술은 특정 네트워크에서 브로드캐스트되는 트래픽을 조용히 기록할 수 있는 반면, 액티브 스캐닝은 다음 단계에서 더 큰 역할을 합니다.
#2: 공격 표면 설정
여기에서 네트워크 취약성 스캐너는 네트워크 호스트에서 실행 중인 다양한 앱과 소프트웨어를 검사하기 시작합니다. 스캐너는 특수 패킷의 흐름을 전송하고 각 호스트가 응답하는 방식을 신중하게 평가합니다. 그런 다음 응답 패킷의 패턴을 통해 어떤 네트워크 연결 소프트웨어가 설치되어 있는지에 대한 단서를 얻을 수 있습니다.
TCP 옵션, 창 크기, 기대 수명과 같은 랜드마크는 내부 메트릭 데이터베이스와 비교되어 최종적으로 가장 신뢰할 수 있는 추측을 이끌어냅니다.
이 원격 감지 기능은 클라우드 기반 서버와 웹 앱을 식별하는 데 유용합니다.
다른 활성 스캔은 경량 에이전트를 설치하여 네트워크를 통해 즉시 액세스할 수 없는 디바이스의 프로그램에 대한 보다 심층적인 데이터를 수집하는 방식으로 작동합니다. 이를 통해 다음 단계에서 스캐너의 보안 도구에 대한 보다 심층적인 정보를 얻을 수 있습니다.
#3: 잠재적 위협 식별
그런 다음 네트워크 취약성 스캐너는 모든 자산을 해당 취약성 데이터베이스와 비교합니다. 이는 공급업체의 사내 데이터베이스인 경우가 많지만 국가 취약성 데이터베이스와 같은 공개 리포지토리에서 가져올 수도 있습니다.
스캐너는 민감한 데이터베이스에 사용되는 올바른 인증 기준과 같은 모범 사례 목록과 비교하여 소프트웨어 구성을 확인하는 등 약간 다른 접근 방식을 취할 수도 있습니다.
최신 취약성 스캐너는 알려진 익스플로잇과 겹치는 부분과 함께 잠재적인 공격 경로도 스캔해야 합니다. 이는 매우 민감한 리소스와 데이터베이스를 향한 공격자의 잠재적인 움직임을 매핑합니다. 로컬 스캔은 권한 상승 및 측면 이동에 사용될 수 있는 로컬 결함을 탐지하므로 로컬 스캔의 주요 이점이 있습니다.
이 모든 것을 갖춘 스캐너는 전체 또는 부분적인 공격 경로를 매핑할 수 있습니다.
#4: 보고서 생성
공격 표면의 폭을 평가한 후 각 취약성과 공격 경로가 가독성 있는 보고서로 압축되어 있습니다. 여기서부터 필요한 변경 사항을 구현하는 것은 보안 팀의 몫입니다.
네트워크 취약성 스캔 도구의 2가지 유형
취약성 스캔은 테스트 중인 네트워크의 외부와 내부에서 모두 수행할 수 있습니다.
간단히 요약하자면, 외부 스캔은 공용 인터넷에서 액세스할 수 있는 공격 지점을 파악하는 데 효과적이며, 반면 내부 스캔은 공격자가 액세스 권한을 얻은 후 측면 이동에 사용할 수 있는 네트워크 내의 결함을 찾을 수 있습니다.
인증된 스캔
인증된 스캔 또는 자격 증명 스캔은 유효한 계정 자격 증명 또는 대상 시스템에 대한 액세스 권한이 필요하기 때문에 이름이 붙여졌습니다. 분석 프로세스에는 다음이 포함될 수 있습니다:
즉, 로컬 멀웨어 파일을 찾아내고 취약한 비밀번호 구성을 찾아낼 수 있습니다. 아직도 너무 많은 실무자가 인증된 스캔을 로컬에서 실행해야 한다고 생각합니다.
하지만 이제 시중에 나와 있는 많은 도구에서 원격 평가가 가능합니다. IP 주소로 원격으로 디바이스를 타겟팅하든, 관련 Windows 서비스를 스캔하든, 일단 구성이 완료되면 타겟팅된 디바이스의 소프트웨어 취약성을 정기적으로 검사합니다.
이러한 심층적인 가시성은 인증된 스캔이 종종 더 긴 취약성 목록을 생성하고 오탐의 위험이 더 높다는 것을 의미합니다. 이를 잠재적인 공격 패턴으로 연결하는 방법과 그에 따른 해결 프로세스를 아는 것이 좋은 취약성 스캐너와 그렇지 않은 스캐너를 구분하는 기준입니다.
인증되지 않은 스캔
인증되지 않은 스캔은 외부에서 수행되며 특정 자격 증명이나 액세스 권한이 필요하지 않습니다. 이미 살펴본 포트 스캐닝 프로세스는 네트워크 매핑과 마찬가지로 인증되지 않은 스캐닝의 예입니다.
취약한 네트워크를 보호하기 위한 많은 작업을 수행하는 것은 바로 이 기능으로, 다음과 같은 공개적으로 액세스 가능한 코딩 결함을 탐지할 수 있습니다:
기본적으로 인증되지 않은 스캔을 통해 인터넷에서 사용자 입력과 관련된 모든 취약점을 발견할 수 있습니다.
취약성 스캔을 극대화하는 방법
여러 가지 모범 사례를 따르면 취약성 스캔의 생산성을 크게 높일 수 있습니다.
#1: 하이브리드 접근 방식 취하기
겉으로 보기에는 인증되지 않은 스캔이 훨씬 더 유용해 보입니다. 리소스를 최소한으로 요구하기 때문에 특히 급할 때 자주 실행하기가 더 쉽습니다.
하지만 ID 및 액세스 관리 공급업체를 사용하는 조직의 경우 인증된 스캔을 위한 자격 증명을 훨씬 더 빠르게 로드할 수 있습니다. 이제 일부 시장을 선도하는 도구는 신속한 자격증명 온보딩을 지원하므로 인증된 스캔을 비인증된 스캔과 비슷한 속도로 수행할 수 있습니다.
이를 통해 훨씬 더 심층적인 내부 네트워크 보안 테스트가 가능합니다. 이와 함께 일부 스캐닝 도구는 이제 기본 인증정보와 고위험 인증정보로 로그인을 시도하여 인증정보 스터핑에 대한 디바이스의 복원력을 테스트할 수 있습니다.
스캔은 취약성 탐지와 침투 테스트 사이의 경계가 모호하므로 효율성을 극대화할 수 있는 방법을 선택하세요.
#2번: 올바른 빈도 선택
검사를 더 많이 수행할수록 잘못된 구성이나 보안 취약점이 야생에서 악용되기 전에 발견될 가능성이 높아집니다. 그러나 너무 많으면 시스템이 불안정해지고 비용이 높아질 위험이 있습니다. 그렇기 때문에 적절한 시간을 선택하여 더 작고 세분화된 스캔을 실행하는 것이 가장 좋습니다.
또한 타겟 스캔에서 노이즈가 적기 때문에 오탐을 찾아내는 데 도움이 됩니다. 가장 시기적절한 스캔은 새로운 컨트롤을 구현한 직후에 이루어집니다. 이 2차 검사는 새로운 제어 및 수정 사항으로 문제가 해결되었는지 확인하고 새로운 문제가 발생하지 않았는지 확인합니다.
이러한 소규모 스캔은 악성 파일 공동 작업 이벤트를 평가하는 데에도 이상적입니다.
업계 컴플라이언스의 경우 구체적인 요구 사항은 다양할 수 있습니다:
- 주어진 기간이 없습니다: SOC 2 및 ISO 27001
- 분기별~연 1회: HIPAA, PCI DSS 및 GDPR
그러나 이러한 시기가 모든 비즈니스에 반드시 적합한 것은 아니며, 비즈니스의 위험 허용 범위와 시작 시점에 따라 달라질 수 있습니다.
체크 포인트 인피니티로 스캔 후 변경 사항 구현하기
체크 포인트 인피니티는 업계 전반의 네트워크 취약성 평가 플랫폼에 대한 관리형 서비스 지원을 제공합니다: Microsoft Defender부터 Tenable One, 체크 포인트의 자체 취약성 스캐너까지 전문가의 지속적인 스캔, 네트워크 보안 개선 및 월간 보고서를 통해 안심하고 사용할 수 있습니다. 오늘날 취약성 관리를 간소화하는 방법에 대해 자세히 알아보세요.
피드백