속임수 기술

속임수 기술은 사이버 보안 방어의 한 범주다.속임수 기술 제품은 제로 데이 및 고급 공격으로부터 종종 실시간으로 탐지, 분석 및 방어할 수 있다.그것들은 자동화되고 정확하며,^[1] 다른 종류의 사이버 방어에 의해 보이지 않을 수 있는 내부 네트워크 내에서 악의적인 활동에 대한 통찰력을 제공한다.속임수 기술은 공격자를 속이고, 탐지한 다음 격퇴함으로써 보다 능동적인 보안태세를 가능하게 하여 기업이 정상적인 운영으로 복귀할 수 있도록 한다.

기존의 심층방어 기술은 정교하고 끈질긴 인간 공격자들의 물결에 맞서 고군분투해왔다.이러한 기술은 주로 경계 방어를 추구하지만, 방화벽과 엔드포인트 보안 모두 경계 방어를 100% 확실하게 할 수는 없다.사이버 공격자는 이러한 네트워크에 침투하여 수개월 동안 방해받지 않고 움직일 수 있으며, 데이터와 지적 재산을 탈취할 수 있다.휴리스틱스는 네트워크 내에서 공격자를 찾을 수 있지만, 중요한 경고가 누락될 정도로 많은 경고를 생성하는 경우가 많다.2014년 이후 공격은 가속화되고 있으며 사이버 공격자가 급증하는 속도로 전통적인 방어를 침투하고 있다는 증거가 있다.

속임수 기술은 인간 공격자의 관점과 네트워크를 이용하여 데이터를 식별하고 유출시키는 방법을 고려한다.기존 기술과 통합해 내부 네트워크에 대한 새로운 가시성을 제공하고, 기존 인프라와 높은 확률의 경보 및 위협 인텔리전스를 공유한다.

기술:하이 레벨 뷰

속임수 기술은 네트워크를 침투한 공격자를 막기 위한 보호 계층을 제공하기 위해 기존 IT 리소스 간에 혼합된 트랩(디코이) 및/또는 유인물의 생성을 자동화한다.트랩(decoys)은 실제 라이센스가 부여된 운영 체제 소프트웨어를 사용하거나 이러한 장치를 에뮬레이션하는 IT 자산이다.

에뮬레이션을 사용하는 트랩은 의료기기, 현금자동입출금기(^[2]ATM), 소매판매점 시스템, 스위치, 라우터 등을 모방할 수 있다.리어는 일반적으로 실제 IT 자산에 배치되는 실제 정보 기술 자원(다양한 종류의 파일)이다.

네트워크를 관통하는 즉시 공격자는 백도어를 구축한 다음 이를 사용하여 데이터와 지적 재산을 식별하고 유출한다.내부 VLAN을 통해 횡방향으로 이동하기 시작하고 거의 즉시 트랩 중 하나를 "보십시오".이 "데코이"들 중 하나와 상호 작용하면 경보가 울릴 것이다.이러한 경고는 매우 높은 확률로 거의 항상 진행 중인 공격과 일치한다.이 속임수는 공격자를 유인하기 위해 고안된 것이다. 공격자는 이를 가치 있는 자산으로 간주하고 악성코드를 주입하여 계속할 수 있다.속임수 기술은 일반적으로 이 주입된 악성코드의 자동화된 정적 및 동적 분석을 허용하며, 보안 운영 담당자에게 자동화를 통해 이러한 보고서를 제공한다.속임수 기술은 또한 타협 지표(IOC)를 통해 타협 주기의 일부인 엔드포인트를 의심할 수 있다.자동화는 또한 용의자의 엔드포인트에 대한 자동 메모리 분석을 가능하게 한 다음, 용의자의 엔드포인트를 자동으로 격리시킨다.많은 파트너 통합으로 기존 기업 및 정부 고객에게 다양한 구현 경로를 제공할 수 있다.

특수 애플리케이션

사물인터넷(IoT) 장치는 대개 레거시 방어에 의해 심층적으로 스캔되지 않으며 네트워크 내의 공격자의 주요 타겟으로 남아 있다.속임수 기술은 이러한 장치 내에서 측면으로 네트워크로 이동하는 공격자를 식별할 수 있다.

임베디드 운영 체제를 활용하지만 임베디드 엔드포인트나 침입 탐지 소프트웨어에 의해 이러한 운영 체제를 스캔하거나 밀접하게 보호하지 못하는 통합 턴키 장치도 동일한 네트워크에서 속임수 기술 배치에 의해 잘 보호되고 있다.예로는 전 세계적으로 많은 제조 용도에 사용되는 공정관리시스템(SCADA)이 있다.속임수 기술은 공격 벡터인 ^[3]좀비 제로의 발견과 연관되어 왔다.속임수 기술은 해외에서 제조된 바코드 리더에 내장된 악성코드를 이용하는 공격자를 확인했다.

의료기기는 특히 의료 네트워크 내의 사이버 공격에 취약하다.FDA 인증 장비로서 폐쇄형 시스템에 있으며 표준 사이버 방어 소프트웨어에는 접근할 수 없다.속임수 기술은 이러한 기기를 포위하고 보호할 수 있으며 백도어 배치와 데이터 유출로 공격자를 식별할 수 있다.최근 의료기기에 대한 문서화된 사이버 공격에는 X선 기계, CT 스캐너, MRI 스캐너, 혈류 분석기, PACS 시스템 등이 포함된다.이러한 장치를 이용하는 네트워크는 속임수 기술에 의해 보호될 수 있다.의료기기 하이잭(hijack) 또는 메드잭(medjack)이라고 불리는 이 공격 벡터는 전 세계 많은 병원을 관통했을 것으로 추정된다.^[4]

전문화된 속임수 기술 제품들은 이제 랜섬웨어의 증가를 해결할 수 있다.엄선된 제품은^[5] 랜섬웨어를 속여 디코이 자원에 대한 공격을 하도록 하는 동시에 감염 지점을 격리하고 사이버 방어 소프트웨어 팀에 경고를 보낼 수 있다.

역사

허니팟은 아마도 가장 간단한 속임수의 첫 번째 형태였을 것이다.허니팟은 단순히 보호받지 못하는 정보기술 자원으로서 나타났고, 이미 네트워크 내에 있는 잠재적 공격자에게 매력적인 방법으로 자신을 보여주었다.허니팟이 공격자들을 속이고, 아마도 그들을 지연시키고 식별하고, 그리고 궁극적으로 공격을 중단시키기 위한 노력을 지지한다는 개념은 좋은 것이었다.잠재적인 이익은 차치하고, 대부분의 초기 꿀벌은 이러한 목표를 달성하는 데 있어 기능성, 무결성 및 전반적인 효능과 관련된 도전을 나타낸다.핵심은 광범위한 구축을 가능하게 하는 자동화 부족이었다.구축 전략은 수동 프로세스와 수동 구성을 사용하여 최대 수만 대의 VLAN을 보호해야 하는 경우 경제적으로 효율적이지 않은 기업을 대상으로 한다.

레거시 허니팟과 현대의 속임수 기술 사이의 차이는 시간이 지나면서 줄어들었고 앞으로도 그럴 것이다.현대의 허니팟은 오늘날 속임수 기술 공간의 저단을 이루고 있다.

경쟁/협력 기술과의 차별화

방화벽과 엔드포인트 보안과 같은 전통적인 사이버 방어 기술은 많은 경보를 발생시킨다.대기업에서는 경보 볼륨이 하루에 수백만 개의 경보에 도달할 수 있다.보안 운영 담당자는 대부분의 활동을 쉽게 처리할 수 없지만 전체 네트워크를 손상시키는 데는 하나의 성공적인 침투만 필요하다.

속임수 기술은 2진법의 최종 산물인 경고를 생성한다.확률은 본질적으로 0%와 100%의 두 가지 값으로 감소한다.트랩을 식별, 핑, 입력, 보기 또는 미끼를 이용하려는 모든 당사자는 이 행동에 의해 즉시 식별된다.이 덫이나 유인물을 만지는 사람은 그렇게 해서는 안 된다.이는 휴리스틱스 및 확률 기반 접근법과 이러한 기술이 생성하는 수천 개의 관련 없는 경고에 비해 유리하다.

베스트 프랙티스는 속임수 기술이 독립된 전략이 아니라는 것을 보여준다.속임수 기술은 기존의 심층 사이버 방어에 추가로 호환되는 계층이다.파트너 통합은 이를 가장 유용하게 만들고 목표는 경계를 성공적으로 관통할 가장 고급스럽고 정교한 인간 공격자에 대한 보호를 추가하는 것이다.

시장 규모 및 채택

속임수 기술의 기술 혁신은 시장에 의해 받아들여졌다.한 업계 분석가는 2016년 정보보안을 위한 10가지 최고 기술을 찾아냈는데, 그 중 하나가 속임수 기술이었다.

한 업계 분석가는 2016년 8월 속임수 기술 시장이 현재 전 세계적으로 약 5000만~1억 달러(2016년)에 달할 것으로 예측했으며, 2018년까지 1억~2억 달러의 매출을 더 전망했다.앞서 이 분석가는 "2018년까지 기업의 10%가 기만 도구와 전술을 사용하고 공격자에 대한 기만 작전에 적극적으로 참여할 것"이라고 언급했다.가트너는 또 속임수 기술은 "공격자(사이버 공격자)보다 심각한 이점을 제공할 수 있는 활용도가 훨씬 낮은 기술"^[6]이라고 지적했다.

다른 두 명의 중요한 분석가들은 최근 2020년까지 시장 규모가 10억 달러를 넘을 것으로 예측했다.^[7]채택은 부분적으로 전세계적으로 대기업과 정부 기관에 대한 가시성이 높은 표적형 공격의 지속에 의해 촉진되고 있다.

마켓 리서치 미디어는 누적된 속임수 기술 시장가치를 120억 달러(2019~2024년)로 추정하며 CAGR 약 19% 성장했다.^[8]

참고 항목

참조

^ 로렌스 핑리는 기사에서 다음과 같이 인용한다.Maria Korolov (August 29, 2016). "Deception technology grows and evolves". CSO Online.
^ "Payments Week Issue - go to page 42".
^ Marko, Kurt. "How a Scanner Infected Corporate Systems and Stole Data: Beware Trojan Peripherals". Forbes.
^ "The Dangerous State of Medical Cybersecurity". 13 July 2016.
^ "TrapX launches ransomware deception tool, CryptoTrap". 25 August 2016.
^ "Deception related technology - its not just a "nice to have", it's a new strategy of defense - Lawrence Pingree". 28 September 2016.
^ Korolov, Maria. "Deception technology grows and evolves".
^ "Deception Cybersecurity Market Forecast". 7 August 2019.

추가 읽기

Lance Spitzner (2002). Honeypots tracking hackers. Addison-Wesley. ISBN 0-321-10895-7.
Sean Bodmer, CISSP, CEH, Dr Max Kilger, PhD, Gregory Carpenter, DrPH, CISM, Jade Jones, Esq., JD (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. McGraw-Hill Education. ISBN 978-0071772495.{{cite book}}: CS1 maint : 복수이름 : 작성자 목록(링크)

[1] 로렌스 핑리는 기사에서 다음과 같이 인용한다.Maria Korolov (August 29, 2016). "Deception technology grows and evolves". CSO Online.

[2] "Payments Week Issue - go to page 42".

[3] Marko, Kurt. "How a Scanner Infected Corporate Systems and Stole Data: Beware Trojan Peripherals". Forbes.

[4] "The Dangerous State of Medical Cybersecurity". 13 July 2016.

[5] "TrapX launches ransomware deception tool, CryptoTrap". 25 August 2016.

[6] "Deception related technology - its not just a "nice to have", it's a new strategy of defense - Lawrence Pingree". 28 September 2016.

[7] Korolov, Maria. "Deception technology grows and evolves".

[8] "Deception Cybersecurity Market Forecast". 7 August 2019.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Search