공급망 보안

조직들은 다양한 출처로부터 발생하는 환경 위협에 대한 경고와 잠재적 위협을 끊임없이 모니터링하고 탐지하며 대응하려고 노력합니다. 하지만 공급망 보안은 다소 파악하기 어렵고 논의도 상대적으로 적은 부분입니다. 조직들은 승인되지 않은 장치가 네트워크에 추가되는 시점과 이러한 장치를 어떻게 보호하고 모니터링하는지 파악하는 데 많은 시간을 투자합니다. 일반적으로 우리는 신뢰하는 공급업체로부터 받는 장치를 엄격하게 검사하고 분석하지 않습니다. 이는 일반적인 보안 담당자가 이러한 장치를 검사하는 데 필요한 기술과 도구를 갖추고 있지 않기 때문에 당연한 일입니다.

연방 정부가 공급망을 확보하는 방법

공급업체들은 스스로 공급망을 이해하고 확보하는 데 많은 시간과 노력을 투자하고 있으며, 정부 또한 다음과 같은 엄격한 프로그램을 운영하고 있습니다. 국토안보부의 전략 그리고 DARPA SHIELD도 있습니다. 하지만 공급업체와 연방 정부를 벗어나면 역량과 집중도 면에서 상당한 격차가 나타나는 것을 볼 수 있습니다. 하드웨어 소비자로서 우리는 구매처가 신뢰할 만하고, 기기의 보안이 하드웨어 가격에 포함되어 있다고 생각합니다. 하지만 이러한 가정을 하는 순간, 우리는 잠재적인 위험에 노출되거나 최소한 이를 간과하게 됩니다.

공급망에서 발생할 수 있는 잠재적 위협은 흔한 일입니다.

저는 "세상이 무너지고 모든 하드웨어가 해킹당했다"는 식의 과장된 비난을 하려는 것은 아니지만, 조직에 발생할 수 있는 모든 잠재적 위험을 고려할 때 공급망 내의 잠재적 위협도 염두에 두는 것이 좋습니다. 이러한 위험이 전례 없는 것도 아닙니다. 실제로 공급업체가 스파이웨어가 설치된 신제품 및 리퍼비시 하드웨어를 출하하는 사례가 있습니다. 레노버, 노트북에 스파이웨어 사전 설치 그리고 델(Dell)은 서버 마더보드에 악성코드가 있다고 경고했습니다.. 또한 있습니다. 개념 증명 소프트웨어가 개발되었습니다. 출시 당시 100가지가 넘는 마더보드에서 활용할 수 있었던 기능입니다. 그리고 매년 데프콘, 수염 기르기, 맥주 냉각, 자동차 해킹 대회와 더불어, 변조 방지(변조 감지) 장비 및 포장에 접근하기 위한 대회도 있습니다. 이는 단순히 공포, 불확실성, 의심을 조장하기 위한 것이 아닙니다.

공급망을 확보하는 방법

그렇다면 어떻게 해야 할까요? 공급업체가 공급망을 어떻게 보호하는지 조사하고 책임을 묻는 것이 좋은 시작이지만, 이미 문제가 발생한 후에는 소용이 없습니다. 일반적으로, 특히 OEM 공급업체에서 직접 공급받지 않은 리퍼비시 장비는 주의해야 합니다. 하드웨어, 멀웨어 또는 기타 어떤 방식으로든 장치가 손상되면 데이터 유출이나 원격 작업 실행을 위해 외부 소스와 통신하게 됩니다. 네트워크 보호는 엔드포인트에서 경계까지 기업 내 네트워크 통신을 모니터링하고 표준 보안 운영을 수행하는 데 달려 있습니다.

공급망 보안에 대한 과제

하지만 이 접근 방식에는 두 가지 문제점이 있습니다. 첫째, 영향을 받는 자산이 노트북이나 모바일 기기인 경우, 개방형 Wi-Fi를 활용할 수 있는 기회가 있습니다(앞서 설명한 바와 같이). 앞서 언급된 백서에서 조나단 브로사드는 다음과 같이 말했습니다.모니터링할 수 없는 보안 문제가 발생할 수 있습니다. 또한 고정 인프라로 인해 더 넓은 네트워크가 위험에 노출될 수도 있습니다. 예를 들어, 인터넷 접속이 제한된 서버가 해킹당한 경우 게스트 Wi-Fi에 접속하여 외부 사이트에 연결하고 악성 명령 및 제어 지침을 다운로드할 수 있습니다.

두 번째 문제는 모니터링해야 할 트래픽이 너무 많다는 일반적인 문제입니다. 내부 소스에서 발생하는 모든 트래픽을 어떻게 걸러낼 수 있을까요? 화이트리스트와 사용자 에이전트 문자열은 네트워크 트래픽이 승인된 위치로만 전송되도록 하는 좋은 방법이지만, 항상 문제의 원인을 파악할 수 있는 것은 아닙니다. 비정상적으로 많은 수의 사용자 에이전트 오류나 실패한 웹 요청을 감지하는 것이 이러한 유형의 통신을 식별하는 가장 좋은 방법 중 하나일 수 있지만, 이벤트 양이 워낙 많기 때문에 현실적으로 불가능한 경우가 많습니다.

보안 자동화가 공급망 보안을 어떻게 강화하는가

여기가 바로 그곳입니다 보안 자동화 도구는 오탐, 양성 및 악성 통신 시도를 기계 속도로 식별하는 모델링을 지원하여 여러분의 든든한 조력자가 될 수 있습니다. 네트워크 세션이 새롭거나 알 수 없는 목적지로 향하는 경우, 이를 사전에 조사하고 보안 팀에 자동으로 알림(Slack, 이메일, 티켓 등)을 보내는 것이 좋습니다. 목적지 주소(IP/URL/도메인) 조사에 어려움이 있는 경우, WhoIS, 도메인, ASN, GeoIP 등의 조사 리소스를 활용하여 자동화를 적용할 수 있습니다. 위협 인텔리전스 정보. 이러한 기능을 활용하면 잠재적으로 악의적인 목적지 주소를 자동으로 식별하고 대규모 네트워크 세션을 분류하는 프로세스를 더욱 효율적으로 관리할 수 있습니다.