Texture Side Right Grey 01

보안 검증 기술

정부 네트워크 및 인프라에 대해 진화하는 위협에 대응

명확한 근거를 기반으로 한 데이터로 사이버 보안 효과성을 검증하고 보안 전략을 세워 ROI를 높이고, 사이버 보안 KPI를 측정합니다.

Mandiant Security Validation

Security Validation 소개

새로운 통합적인 사이버 보안 전략 및 검증 프로세스를 만나 보세요

Mandiant Security Validation은 대규모 IT 환경을 측정하여 네트워크, 엔드포인트, 이메일 및 클라우드 제어의 효과를 테스트합니다. 테스트를 지속적으로 실행하고 결과를 분석하여 알려진 정상 범위를 벗어난 경우 선제적으로 경고하고 현재의 보안 구성이 적절한지를 검증합니다. 따라서, 지금의 보안 구성 환경이 효과적으로 동작하여 기업이 의도하는 비즈니스 결과를 도출할 수 있는 지에 대한 근거를 제시합니다.

보안 검증 기술의 진행 방식

1-white

상담

기술 또는 영업 담당자와의 미팅을 통해 다양한 기업의 고유한 요구사항에 맞춘 보안 검증에 대해 논의해 보십시오.

2-white

평가

메인 기본 플랫폼, 추가 모듈과 액터(Actor)의 최적의 구성으로 제공합니다. 

3-white

라이선스 & 허가

Mandiant Security Validation 라이선스를 받는 것은 복잡하지 않으며 관련 디렉터(Director)는 몇 주 이내에 사용 가능합니다.

디렉터(Director)

플랫폼 전반을 검증하는 주요 인터페이스

디렉터는 Mandiant Security Validation의 "뇌 중심부"라고 볼 수 있습니다. 디렉터는 SaaS 플랫폼(당사 또는 고객의 클라우드)으로 제공되거나, 가상 어플라이언스 및 설치 가능한 소프트웨어의 온프레미스 형태로 제공됩니다.

Mandiant Security Validation
Mandiant Security Validation

기술 연동

250개 이상의 업계 최고의 기술과 연동

디렉터는 네트워크, 엔드포인트, 이메일 및 클라우드 제어 전반에 걸쳐 조직의 방어 스택에 완벽하게 통합됩니다. 이를 통해 디렉터는 보안 컨트롤의 효율성과 구성이 잘못된 부분에 대해 검증할 수 있습니다.

액터(Actor)

다양한 유형 및 난이도의 실질적인 공격을 재현

Mandiant Security Validation 액터는 실제 IT 환경에서 테스트를 수행하여 보안 효율성을 검증하고 평가합니다. 액터는 네 가지 주요 제어 유형을 통해 안전하게 테스트를 진행하고 방어 태세에 대한 세부적이며 심층적인 분석을 제공합니다.

Mandiant Security Validation
네트워크 제어

네트워크 제어

네트워크 제어 기능은 네트워크 트래픽을 검사함과 동시에 테스트 대상이 되어 발생되는 트래픽에 대한 네트워크 제어 기능을 확인합니다.

이메일 제어

이메일 제어

이메일 제어 기능은 피싱, 멀웨어를 포함하는 이메일과 실제 IT 환경을 벗어나는 데이터를 관리합니다. 테스트는 Microsoft Exchange, Office 365 등을 대상으로 진행됩니다.

엔드포인트 제어

엔드포인트 제어

엔드포인트 액터는 사용자 컨테스트 정보 내에서 테스트를 실행하여 킬 체인에 걸쳐 리소스에 대한 액세스, 권한 상승 시도, 데이터 유출 및 킬 체인 전반에서의 동작을 확인합니다.

클라우드 제어

클라우드 제어

클라우드 액터는 통상적으로 설치되는 AWS 및 Azure 제어에 대해 테스트합니다. 테스트 중인 클라우드 플랫폼과 서비스에 따라 가상 호스트 및 API 옵션을 사용할 수 있습니다.

Mandiant Security Validation

효과성 검증 프로세스(Effectiveness Validation Process, EVP)

실시간으로 탐지, 경고 및 누락되는 경우와 공격 차단율에 대한 정보를 기반으로 보안 위협들이 제대로 차단되고 있는지를 검증합니다.

디렉터가 액터에 테스트 실행 요청 시, 환경 내 제어 장치에 대해 쿼리를 생성하여 무엇이 표시되고 차단되며, 어떤 탐지 이벤트를 생성하는지, 해당 이벤트가 적절한 형태로 구성되어 복잡한 네트워크를 통과해 대상 플랫폼 또는 모듈로 제대로 전달되는지를 지속적으로 검증합니다. 이벤트가 SIEM, 로그 관리 플랫폼 또는 분석 엔진 등으로 전달되면 디렉터 타임 스탬프가 제대로 기록되었는지, 올바르게 분석되었는지, 정의된 상관 관계 규칙과 위협 모델이 실제로 경보를 생성하는지 등을 검증합니다.

대시보드 & 보고서

사이버 보안 태세 전반에 대해 정확히 파악할 수 있어 안심할 수 있습니다

디렉터는 환경에서 실제 정확한 근거 데이터를 이용하여 실행된 테스트 결과를 분석하여, 고객이 현재의 보안 효과성을 측정 및 검증하고 동적 환경과 진화하는 위협 환경을 일상적으로 관리하며 개선 사항들을 확인할 수 있는 보고서를 제공합니다.

Mandiant Security Validation
고급 모듈

보안 태세를 강화하고 특별 사용 사례 지원을 위한 Mandiant Security Validation이 적용된 추가 구성 요소.

Threat Actor Assurance 모듈(TAAM)

당사 파트너가 제공한 최신 Threat Intelligence와 Mandiant Security Validation을 결합하여 끊임없이 진화하는 공격자에 대한 방어 시스템을 자동으로 테스트하고, 결과를 시각화하고, 비즈니스에 대한 보안이 최적화될 수 있게 합니다.

고급 환경 변화 분석(AEDA)

고급 환경 변화 분석(AEDA)

AEDA는 고객의 비즈니스 네트워크 전반에 걸쳐 정상 상태 기준점을 비교하여 해당 효과 검증 프로세스Effectiveness Validation Process, EVA)를 자동화하고 지속적으로 분석합니다. AEDA는 적시에 지속적으로 환경을 분석하여 선제적으로 알려줍니다.

Protected Theater

Protected Theater

Protected Theater는 엔드포인트 제어 기능을 테스트하는 데 필요하지 않지만 차단이 되거나 차단되지 않는 위협을 판단하기 위해 실제 멀웨어를 가지고 고객들의 엔드포인트 방어 체계에 미치는 잠재적인 위험성과 파괴성을 확인할 수 있는 테스트를 안전하게 수행할 수 있도록 지원합니다.

Cloud Theater

Cloud Theater

Cloud Theater는 Mandiant가 호스팅하는 외부 액터로서 멀웨어 다운로드, C2 트래픽 및 데이터 유출과 같은 진입점 및 진출점 테스트에 사용할 수 있습니다. 일부 기업은 자체 외부 액터를 호스팅하는 반면, Cloud Theater와 직접 호스팅하는 액터를 혼합하여 사용하는 기업도 있습니다.

자주 묻는 질문

더 궁금하신 점이 있으신가요? 지금 파이어아이 코리아에 문의 하십시오.
Mandiant Security Instrumentation Platform을 작동하려면 정합 작업이 필요할까요?

아니요. Mandiant SIP는 별도 정합이 필요없이 작동합니다. 바로 테스트를 실행하고 기본 결과를 확인할 수 있습니다. 하지만 사이버 보안 제어의 효과성을 정확히 확인하기 위해서는 반드시 연동을 해야합니다. 대부분의 조직은 잘못된 구성 설정이나, 부실한 기본 기능만 사용하거나 환경적인 변화 요소 등으로 인해 보안 제어 기능의 25%밖에 활용하지 못하고 있습니다. Mandiant SIP를 통합하면 이러한 보안 제어를 신속하게 최적화시킬 수 있는 일련의 규범적인 단계를 가이드받을 수 있습니다. 이러한 수준의 가시성 없이는 테스트의 결과를 명확하게 이해하는 것이 불가능합니다.

"차단되었거나 그렇지 않은" 공격의 목록만 단순히 제공하는 플랫폼은 조직의 의사 결정에 필요한 전체적인 그림을 제공하지 않으며, 부정확한 추측에 기반한 결정을 유도합니다.

정합 작업을 하고 구성 설정을 하는 것은 복잡한가요?

아니요. Mandiant SIP는 네이티브 API로 보안 시스템과 빠르고 쉽게 연동할 수 있습니다. 연동 후 디렉터와 ‘즉시 사용 가능한’ 상태로 제공되므로, 별도 설치 작업은 필요하지 않습니다. 일반적으로 설정에는 읽기 전용의 유효한 사용자 계정과 암호만 필요합니다.

Mandiant SIP는 어느 유형의 보안 기능을 테스트하나요?

Mandiant SIP는 네트워크, 엔드포인트, 이메일 및 클라우드 제어에 대한 효과성을 검증할 수 있습니다. 일반적으로 테스트하는 네트워크 제어에는 차세대 방화벽(NGFW) 및 기존 방화벽(FW), 침입 탐지 시스템(IDS), 침입 방어 시스템(IPS), 멀웨어 샌드박스, 웹 애플리케이션 방화벽(WAF), 프록시, 데이터 유출 방지(DLP) 시스템 등이 포함됩니다. 일반적으로 테스트하는 엔드포인트 제어에는 안티바이러스(AV), 호스트 기반 침입 방어 시스템(HIPS), 소프트웨어 방화벽, 탐지 및 대응 툴(EDR)이 포함됩니다. 전통적인 엔드포인트 제어 이상으로 Mandiant SIP 또한 사용자 및 그룹 정책과 더불어 액티브 디렉토리 그룹 정책(GPO), ID 및 액세스 관리(IAM) 솔루션을 검증하는 데도 활용할 수 있습니다.

Mandiant SIP는 엔드포인트 제어를 테스트하나요?

예. 베로딘은 Windows, Mac과 Linux 기반의 엔드포인트에서 보안성을 테스트할 수 있습니다. 호스트의 커맨드 라인 인터페이스나 Windows 시스템의 Powershell과 같은 툴을 활용하는 사용자 환경에서도 테스트를 실행할 수 있습니다.

Mandiant SIP는 REST API를 제공하나요?

예. 디렉터는 실질적으로 웹 UI가 구축된 API 서버입니다. Mandiant는 전체 REST API에 대한 문서를 가지고 있고 REST API를 통해 전체 SIP 기능을 액세스하여 사용할 수 있게 합니다.

Mandiant SIP를 잘 활용하기 위해서는 보안 담당자의 "숙련도"가 높아야 하나요?

아니요. Mandiant의 고객은 전 세계적으로 2~3명의 직원과 CISO로 구성된 작은 규모의 보안 팀이 있는 미드마켓 기업부터 금융 서비스 및 에너지 산업의 대기업까지 다양합니다. SIP는 강력한 기능을 제공하면서 매우 사용하기 쉽게 되어 있습니다. 다소 미흡한 보안 성숙도를 가진 조직의 경우, Mandiant SIP는 성숙도를 높일 수 있는 플랫폼을 제공합니다. SIP는 보안 담당자들이 보다 더 적극적으로 공격에 대응할 수 있게 하고 그 과정에서 사이버 보안 통제가 효과적으로 이루어지고 있음을 확인할 수 있는 근거를 제시할 수 있습니다.

Mandiant SIP는 침해 및 공격 시뮬레이션(Breach and Attack Simulation, BAS) 툴인가요?

침해 및 공격 시뮬레이션(BAS) 분야에는 다소 전통적인 범주에 속하지 않는 벤더들이 많으며 그 중 일부 벤더는 경쟁력 있는 솔루션을 제공하지 않는 경우도 있습니다. 초기 시장에서는 비정상적인 것으로 볼 수 없고, 시간이 경과함에 따라 최소 세 가지 명확한 카테고리로 나뉠 수 있습니다. 즉, 제어 효과의 비즈니스 근거를 제시하는 데 초점을 두는 기업, 궁극적으로 "개선된 취약점 탐지 기능을 위한 "목적으로 공격 시뮬레이션 툴을 제공하는 기업, 그리고 지능형 위협 및 그러한 지능형 위협을 고숙련 교육에 실제 활용하는 기업으로 나뉠 수 있습니다.

Mandiant는 사이버 보안 통제가 효과적이고 의도한 대로 비즈니스에 대한 위험이 적절히 줄어드는지에 대한 결과를 정량화하여 볼 수 있는 기능을 제공합니다. 이를 위해 당사는 제어 기능이 올바르게 구성되었는지 검증하고, 최적화되어야 하는 부분을 식별하며, 결함이 있거나 중복된 곳을 정량화한 후에 환경 변화를 탐지하고 신속하게 복구하기 위해 설정한 정상 상태 기준과 비교하여 환경을 지속적으로 검증할 수 있게 했습니다.

보안 담당자들의 역량 강화

백서

MITRE ATT&CK에 대한 테스트 자동화

MITRE ATT&CK 에뮬레이션을 자동화함으로써 보안 담당자는 노동 집약적인 수동 테스트에서 해방됩니다. 당사의 보안 콘텐츠 라이브러리와 매핑 툴을 활용하여 초기 구현 이후 몇 시간 이내에 결과를 확인할 수 있습니다.

신속한 구현

신속한 구현

당사의 보안 콘텐츠 라이브러리와 매핑 툴을 활용하여 몇 시간 이내에 결과를 확인할 수 있습니다.

시간과 비용 절감

시간과 비용 절감

MITRE ATT&CK을 자동화하여 보안 담당자들을 노동 집약적인 수동 테스트에서 해방시켜 주십시오.

신속한 결함 파악

신속한 결함 파악

직관적인 대시보드를 통해 설정된 기준에 대해 시간 경과에 따른 시각화된 데이터를 제공합니다.

보다 정확한 결과

보다 정확한 결과

12개 위협 경로 전반에 걸친 견고한 공격 관련 라이브러리는 전체 공격 라이프사이클을 포함합니다.

신뢰도 향상

신뢰도 향상

공격 케이스를 안전하게 실행하여 방어 범위를 지속적으로 검증합니다.

업계 최고

업계 최고

대부분의 벤더가 기본적인 특정 작은 범위를 지원하는 반면, 당사는 공격자 환경 전반을 제공합니다.

Texture Side Right Grey 03

고급 모듈

Threat Actor Assurance 모듈(TAAM)

지금 TAAM을 추가해서 최신 Threat Intelligence를 활용하십시오. 선진적 Threat Intelligence 플랫폼과 통합하여 MITRE ATT&CK 프레임워크 내에서 매우 정교한 공격자 테스트가 가능합니다.

연동 자동화

연동 자동화

취합된 공격자 정보와 함께 외부 위협 인텔리전스 플랫폼을 연동하여 정보를 자동으로 검색하고 수집합니다.

MITRE ATT&CK 준비

MITRE ATT&CK 준비

공격 전술, 기술 및 절차는 MITRE ATT&CK 프레임워크에 매핑됩니다.

테스트 수행

테스트 수행

보안 방어 시스템은 공격자들의 동일 행동 패턴을 대상으로 테스트됩니다.

결과 확인

결과 확인

어느 공격 그룹이 기업을 침해할 수 있는지 정확히 파악할 수 있습니다.

보안 담당자들의 역량 강화

임원진 및 이사회 보고를 위한 리소스

보안 검증을 아무런 사전 지식 없이 시작하십니까?

측정을 통해 수집되는 귀중한 보안 데이터를 놓치고 있을 가능성이 있습니다.
지금 바로 앞으로의 위협을 방어할 수 있는 보안 태세를 갖추십시오.