안녕하세요 
IBM 이준희입니다.

오늘은 ASM에 대해서 이야기해보려고 합니다.

ASM은 Attack Surface Management라고 이야기를 하고 '공격표면 관리'라고 이야기를 합니다. Surface의 사전적 의미가 접점을 의미 하기 때문에 한국어 표현상으로 표면이라는 단어가 선택된 것으로 보여집니다. 그런데 좀 더 정확하게 표현한다고 하면 External Attack Surface management라고 이야기를 하는 것이 좀 더 정확한 표현입니다. External이라는 단어가 들어가는 이유는 특정 기업을 공격대상으로 삼을 경우, 기업의 정보가 외부에서 보이는 '외부 접점'을 찾기 위해 사용하는 방식이기 때문입니다.

이미 잘 알고 계시겠지만 'Attack Surface'는 어떤 것을 의미할까요? SANS의 정의에 따르면 인터넷을 통해 접속 가능한 하드웨어, 소프트웨어, SaaS와 클라우드 자산으로 정보를 활용하고 데이터를 저장하는 곳을 의미하며, 공격자에 의해서도 확인될 수 있는 지점을 의미합니다. 그렇기 때문에 ASM 목표는  공격자의 목표가 될 수 있는 외부 접점을 확인하고 위협을 식별해내는 것입니다. 

그러면 왜 최근에 공격표면 관리가 필요성을 강조할까요? 그것은 69%의 침해 사고가 담당자가 알지 못하는 외부 자산으로 인해서 발생한다는 ESG의 보고서(Security Hygiene & Posture Management Survey - 2H2021)에서 알 수 있듯이, 우리는 기업의 자산을 다 알고 있다고 생각하지만 보안팀에서 인지하지 못하는 많은 시스템이 인터넷상에 존재합니다. 개발팀에서 임시로 테스트해보고 종료하지 않은 시스템, 이벤트를 위해서 잠시 활용했다가 중지하지 않은 시스템과 같이 보안팀의 통제 밖에 있는 많은 자산이 존재합니다. 이렇게 관리되지 않는 자산이 외부의 접점이 존재한다는 것은 보안 위험은 증가시키는 요소가 됩니다. 왜냐하면 이렇게 임시로 사용하고 방치된 시스템은 패치를 통한 보안 위협 관리가 되지 않았을 가능성이 크기 때문입니다. 해커들은 이러한 지점에 관심을 가지고 있고,이런 취약점을 통해 쉽게 내부로 들어올 수 있는 발판을 만들고 싶어합니다.

그럼 이제 IBM의 ASM 솔루션인 Randori의  화면을 통해 어떻게 공격 표면을 인지하고 분석할 수 있는지 보도록 하겠습니다.

1. 대시보드
다른 ASM과 마찬가지로 Randori는 통계 대시보드를 통해 기업의 현재 공격 표면 현황을 한눈에 볼 수 있도록 제공합니다.
 

2. 우선 확인이 필요한 공격 표면
우선 우리가 집중 해야할 부분은 High Priority Target 부분 입니다. 여기에서 어떤 자산이 위험을 가지고 있는지를 볼 수 있기 때문입니다.
그중에서 BigIP 네트워크의 장비가 보입니다. Priority가 High로 보여지고 TEMPTATION이 Critical 입니다. 여기서 이야기하는 Temptation이 무슨 의미 일까요? Randori에서 이야기하는 매력도는 공격자가 이 자산에 대해 공격 매력도을 얼마나 느낄 수 있는가 하는 부분입니다. 쉽게 말해 해커가 공격하고 싶은 시스템인가를 분석하는 것입니다. 평가는 6가지 부분에 대해 수행을 합니다.

3. 공격 매력도(Temptation)
1) 적용가능성(Applicability) - 이 서비스에 대해 알고 있는 것이 얼마나 유용할 수 있는지를 서비스의 활용도 측면에서 분석
2) 중요성(Criticality) - 이 서비스가 기업의 내부를 연결시켜줄 수 있는 중요 시스템인지를 분석 
3) 열거가능성(Enumerability) - 취약점이 적용 될 수 있는 특정 버전을 사용하는 경우의 위협 가능성을 분석
4) 악용가능성(Exploitability) - 알려진 취약점을 가지고 있고 관련된 공격 코드가 공개되어 있거나 사용가능한 상황인지를 분석
5) 조사 가능성(Research Potential) - 해당 시스템의 활용도와 조사를 통해서 관련 공격 코드나 기타 중요한 정보가 발견 가능한지 분석
6) 공격 이후 위협 가능성(Post Exploit Potential)- 공격 성공 이후의 추가 공격관련 정보가 잘 알려져 있는지를 분석

이러한 위협 분석을 통해서 공격 대상의 매력도를 평가하고 매력도가 높은 자산의 위험도를 높게 평가하게 됩니다.

4. 자산 발견 경로
그럼 이러한 자산은 어떻게 발견하고 확인하게 되는 것일까요? IBM Randori는 분석을 위해 고객사의 IP 대역을 입력해 주거나, agent를 설치하여 분석하는 설정 작업을 하지 않습니다. 공격자가 하는 방식과 똑같은 방식으로 대상 기업의 정보를 확인 합니다. 그 방식을 알려주는 것이 이 "Discovery Path"입니다.  도메인 정보를 기반으로 조사를 시작했고 과거의 DNS 이력을 조사하여 관련 대상들을 찾아냈으며, 그 대상들에 존재하는 시스템을 찾았다고 알려주는 것이 바로 아래의 내역입니다. 이 외에도 비즈니스 정보를 활용 하거나 Whois 정보를 활용하고, 인증서의 발급처정보를 활용하여 자산의 위치를 파악합니다. 그렇게 획득된 정보는 위험도를 분석해서 보여주게 됩니다.

5. 정책을 활용한 주요 내용 분석
이제 분석 정책을 설명드리도록 하겠습니다. 수천 수만개의 자산정보에서 그리고 수백개의 우선순위가 높은 정보에서도 먼저 조치가 필요한 자산이 있을 것입니다. Randori는 Saved View를 통해 우선 분석이 필요한 사항을 제공 합니다. 예를 들어 공격자의 시점으로 Log4J관련 자산을 확인하거나 test나 dev 같은 임시로 사용하는 것처럼 보이는 문구가 포함된 URL을 사용하는 경우, 특정 포트가 외부에서 열린 경우를 볼 수 있도록 정책 작성이 가능합니다. 이를 통해서 좀 더 쉽게 관심 있는 사항을 볼 수 있고 분석 대상이 많은 경우 우선 조사해야할 내용을 볼 수 있도록 지원합니다.

이외에도 Radori는 공격 표면 정보를 찾고 분석 할 수 있는 다양한 방안을 제공하여 보안팀에서 알지 못했던 자산에 대한 정보를 제공하여 공격 대상이 되기 전에 조치를 할 수 있도록 지원합니다.

간략하게 IBM Randori가 하는 것을 정리하면 다음과 같습니다.
기반정보 없이 블랙박스 탐지 방식을 활용하여 기업의 자산을 파악하고, 파악된 자산의 위험을 공격 매력도와 Randori 노트를 통해서 평가하며, 자동화된 분석 방식을 통해 지속적으로 새로운 자산과 위험을 판단하고 분석하는 기능을 제공합니다. 이를 통해 보안 관리자는 Shadow IT의 존재를 파악하고, 외부에 노출된 취약한 소프트웨어를 수정하고, 새로운 위협에 대해 조치하여 기업의 보안을 강화할 수 있도록 지원 합니다.

IBM Randori 와 ASM에 대해 궁금한 사항이 있으면 바로 IBM Security로 연락을 주시기 바랍니다.

https://www.ibm.com/products/randori-recon