취약점 스캔을 넘어 공격 표면을 강화하기 위한 조치
Moving beyond vulnerability scanning to strengthen your attack surface
잠재적인 침해보다 한 발 앞서 대응하는 것은 모든 규모의 조직 내 보안팀의 최우선 과제입니다. 취약점 스캔은 오랫동안 이러한 노력의 기반이 되어 기업이 보안 취약점을 식별할 수 있게 해주었습니다. 하지만 고도화된 사이버 공격과 점점 규모가 커지고 매년 수많은 CVE(Common Vulnerabilities and Exposures)가 분류되면서 취약점 스캔만으로는 충분하지 않다는 것이 점점 더 명확해지고 있습니다.
Staying one step ahead of potential breaches is a top priority for security teams within organizations of all sizes. Vulnerability scanning has long been a foundation of these efforts, allowing businesses to identify weaknesses in their security posture. However, as cyberattacks grow in sophistication and scale and with a large number of Common Vulnerabilities and Exposures (CVEs) cataloged each year, it’s becoming increasingly clear that vulnerability scanning is not enough.
취약점 스캔이란?
What is vulnerability scanning?
취약점 스캔은 운영 체제, 앱 또는 네트워크에서 보안 취약점이나 잠재적인 취약점을 확인하는 높은 수준의 방법입니다. 취약성 평가를 통해 사이버 범죄자가 악용할 수 있는 취약점(예: 오래된 소프트웨어 또는 펌웨어) 또는 악용 가능한 보안 취약점 및 잘못된 구성을 찾는 것입니다.
실제로 취약점 스캔이란 특수한 웹 애플리케이션이나 취약점 검색 도구를 사용하여 네트워크에 연결된 서버, 랩톱 및 워크스테이션을 검색하는 것을 의미합니다.
보안팀은 공격자가 네트워크 외부에서 시작할 경우 악용할 수 있는 취약점을 확인하는 외부 취약점 스캔과 같은 다양한 유형의 취약점 스캔을 수행할 수 있습니다. 또는 내부 취약점 스캔을 통해 노출된 비밀번호 해시 등 내부자가 악용할 수 있는 취약성을 검사할 수 있습니다. 또한 권한 있는 자격 증명을 사용하여 취약한 비밀번호, 맬웨어 또는 인증되지 않은 스캔으로 인한 위협을 감지하여 운영 체제, 열린 포트에서 수신 대기하는 서비스 등의 약점을 찾아 공격자의 관점에서 네트워크를 확인하는 인증된 스캔을 수행할 수 있습니다.
실제로 결제 카드 업계 데이터 보안 표준(PCI DSS)과 같은 일부 보안 표준에서는 조직이 정기적으로 취약성 검사를 수행하도록 요구하고 있습니다.
Vulnerability scanning is a high-level way to check operating systems, apps or networks for security weaknesses or potential vulnerabilities. The goal is to conduct a vulnerability assessment to find gaps (like outdated software or firmware) or exploitable security vulnerabilities and misconfigurations that cyber criminals could exploit.
In practice, vulnerability scanning means using specialized web applications or vulnerability scanning tools to scan servers, laptops and workstations connected to a network.
Security teams can perform various types of vulnerability scans like external scans that look at identified vulnerabilities attackers could exploit if they were starting outside your network. Or internal vulnerability scanning where they could scan for vulnerabilities that insiders could exploit, such as exposed password hashes. They can also perform authenticated scans that use privileged credentials to detect threats resulting from weak passwords, malware or unauthenticated scans to find weaknesses within operating systems, services listening on open ports and more to see their network from an attacker’s perspective.
In fact, some security standards, like the Payment Card Industry Data Security Standard (PCI DSS), require organizations to conduct vulnerability scans on a regular basis.
View webinar on demand
취약점 스캔의 한계
Limitations of vulnerability scanning
취약점 스캔은 디지털 환경의 보안 테스트 수행의 일부로 체계적인 스캔 프로세스를 제공하여 취약점을 찾습니다. 자동화를 통해 구성 및 소프트웨어 버전을 알려진 취약점 데이터베이스와 비교하고 일치하는 항목이 발견되면 잠재적인 보안 위험에 플래그를 지정하는 경우가 많습니다. 디지털 혁신은 수년 동안 사이버 보안의 중요한 부분이었지만, 디지털 혁신으로 인해 프로세스가 악화되면서 조직은 아래와 같은 몇 가지 한계를 극복하기 위해 노력하고 있습니다:
Vulnerability scanning offers a systematic scanning process as a part of performing security testing of your digital environment to look for weaknesses. It often uses automation to compare the configuration and software versions against a database of known vulnerabilities and flag a potential security risk when a match is found. While it has been an important part of cybersecurity for years, digital transformation has exacerbated the process leading to several limitations that organizations are working to overcome, including those below:
1. 알려진 취약점에 한정됨: 취약점 스캐너는 개발자가 알고 있는 모든 취약점에 대해 디바이스를 검사합니다. 여기서 핵심 문구는 “알고 있는”입니다. 데이터베이스에 추가되지 않은 새로운 취약점과 같이 잘 알려지지 않은 취약점에 직면하면 스캐너가 해당 취약점에 플래그를 지정할 수 없습니다. 이로 인해 조직은 제로데이 위협에 광범위하게 노출됩니다.
2. 오탐 및 미탐: 취약점 스캔은 완벽하지 않습니다. 오탐(시스템에 존재하지 않는 취약점)과 미탐(시스템에 존재하지만 스캐너가 놓친 취약점)을 반환할 수 있습니다. 이러한 일이 발생하지 않도록 하려면 스캔 구성을 사용자 정의하고 스캔 결과를 검증해야 합니다. 그렇지 않으면 스캔 결과에서 계속 부정확한 결과를 반환하고 IT 팀의 경고 피로를 초래할 수 있습니다.
3. 악용 불가능한 취약점: 취약점 스캔을 통해 확인된 모든 취약점이 시스템에서 악용될 수 있는 것은 아닙니다. 취약점이 악용될 수 있는 경우에도 이러한 위험을 줄이기 위한 제어 기능이 있을 수 있습니다. 취약점 스캔은 이를 고려하지 않습니다.
1. Limited to known vulnerabilities: A vulnerability scanner will scan your devices against every vulnerability its developers know about. The key phrase here is “know about.” Faced with unfamiliar vulnerabilities, like new vulnerabilities that have not been added to a database, the scanner will not be able to flag them. This leaves organizations wide open to zero-day threats.
2. False positives and false negatives: Vulnerability scans are not perfect. They can return false positives (i.e., vulnerabilities that don’t exist in your system) and false negatives (i.e., vulnerabilities that exist in your system but are missed by the scanner). To ensure this doesn’t happen, you need to customize your scan configurations and validate scan results – otherwise, scans will continue to return inaccuracies and result in alert fatigue within IT teams.
3. Non-exploitable vulnerabilities: Not every vulnerability identified by a vulnerability scan will be exploitable in your system. Even if a vulnerability is exploitable, you may have controls in place to reduce this risk. A vulnerability scan doesn’t take that into account.
4. 패치할 수 없는 위험 및 잘못된 구성: 디지털 전환은 기존의 취약점을 넘어서는 위험을 초래하는 경우가 많습니다. 이러한 위험에는 잘못된 구성, 로그인 페이지 노출, 취약한 암호화 프로토콜 또는 만료되는 인증서가 포함됩니다. 기존의 취약점 관리 도구는 패치할 수 없는 이러한 위험을 효과적으로 포착하고 해결하지 못해 조직이 잠재적인 보안 침해에 노출될 수 있습니다.
5. 가시성 부족: 취약점 스캔은 주로 엔드포인트와 알려진 네트워크 자산을 대상으로 합니다. 섀도 IT, IoT 디바이스, 클라우드 서비스 및 최신 공격 표면의 기타 구성 요소를 놓치는 경우가 많아 공격자가 악용할 수 있는 사각지대가 남게 됩니다. 또한 취약성 스캔을 사용하면 스캔 시점에 시스템에 존재하는 위험에 대한 정보만 얻을 수 있습니다.
6. 컨텍스트 부족: 스캔에서 취약점 목록이 반환되면 보안 팀이 어떤 취약점에 먼저 집중해야 하는지, 왜 집중해야 하는지 명확하지 않을 수 있습니다. 보안팀은 결과를 분석하여 잠재적으로 위험한 취약점을 식별하고 비즈니스의 더 큰 맥락에 어떻게 부합하는지 확인해야 합니다.
4. Non-patchable risks and misconfigurations: Digital transformation often introduces risks that extend beyond traditional vulnerabilities. These risks include misconfigurations, exposed login pages, weak encryption protocols or expiring certificates. Traditional vulnerability management tools may not effectively capture and address these non-patchable risks, leaving organizations exposed to potential security breaches.
5. Lack of visibility: Vulnerability scanning is primarily concerned with endpoints and known network assets. It often misses shadow IT, IoT devices, cloud services and other components of the modern attack surface, leaving behind blind spots that attackers can exploit. Moreover, with a vulnerability scan, you only get information about the risks present in your system at the time of the scan.
6. Lack of context: When a scan returns a list of vulnerabilities, it isn’t necessarily clear which vulnerabilities a security team should focus on first – or why. Security teams need to analyze the results to identify potentially risky vulnerabilities and see how they fit into the greater context of the business.
취약점 스캔과 모의 침투 테스트 비교
Vulnerability scanning vs. penetration testing
취약점 스캔은 시스템에 취약점이 있는지 알아내는 방법이지만, 어떤 취약점이 시스템을 위험에 빠뜨리는지는 보여주지 않습니다.
반면 모의 침투 테스트는 취약점을 찾을 뿐만 아니라 이를 악용하여 사이버 범죄자가 시스템에 침투할 수 있는 수준, 즉 전체 공격을 시뮬레이션하는 것을 목표로 합니다. 모의 침투 테스트 또는 “펜 테스트”는 조직이 특정 취약점이 환경에 미치는 위험을 이해하는 데 도움이 될 수 있습니다.
일반적으로 완전히 자동화된 취약점 스캔과 달리, 침투 테스트는 테스트가 완료된 후 테스트 결과, 발견된 취약점의 심각도 및 기술 권장 사항에 대한 전체 보고서를 제공하는 인간 해커가 참여하는 경향이 있습니다.
침투 테스트는 취약점 스캔보다 비용이 많이 들기 때문에 일반적으로 훨씬 덜 자주 수행됩니다.
Vulnerability scanning is a way to find out if there are weaknesses in a system, but it doesn’t show you what weaknesses put a system at risk.
Penetration testing, on the other hand, not only finds weaknesses but also aims to exploit them to see the level at which a cyber criminal could penetrate a system, i.e., it simulates a full attack. A penetration test, or “pen test”, can help organizations understand the risk that particular vulnerabilities pose to their environment.
Unlike vulnerability scanning, which is usually fully automated, pen testing tends to involve a human hacker who, after a penetration test is complete, provides a full report of the test results, the severity of vulnerabilities found and technical recommendations.
As pen tests are more expensive than vulnerability scans, they generally happen a lot less frequently.
사이버 보안 방어 강화를 위한 ASM의 역할
The role of ASM in strengthening cybersecurity defenses
취약성 스캔의 한계를 넘어서려면 조직은 개별 취약성에서 더 넓은 개념의 공격 표면으로 초점을 전환해야 합니다. 공격 표면에는 시스템, 애플리케이션, 데이터가 잠재적인 위협에 노출되는 모든 지점이 포함됩니다. 즉, 알려진 자산과 알려지지 않은 자산을 포함하여 조직의 전체 디지털 발자국입니다.
취약점 스캔은 위험이 어디에서 발생하는지에 대한 중요한 단서를 제공할 수 있지만, 공격 표면 관리(ASM)는 실제로 집중해야 하는 사이버 위협이 무엇인지에 대한 빠른 최신 정보를 제공합니다.
ASM은 공격 표면을 포괄적으로 매핑함으로써 보안 팀이 교정을 수행하는 동안 각 자산의 중요도와 노출 수준을 기반으로 노력의 우선 순위를 정할 수 있는 위치를 보여줍니다.
공격 표면을 모니터링하면 도메인을 모방한 멀웨어 또는 피싱 사이트, 승인되지 않은 하위 도메인 또는 의심스러운 SSL 인증서와 같은 새로운 위협을 탐지할 수 있습니다.
2023년 데이터 유출 비용 보고서에 따르면 ASM 솔루션을 배포한 조직은 그렇지 않은 조직에 비해 75% 더 빨리 데이터 유출을 식별하고 억제할 수 있었습니다.
To move beyond the limitations of vulnerability scanning, organizations must shift their focus from individual vulnerabilities to the broader concept of the attack surface. The attack surface includes all the points where your systems, applications and data are exposed to potential threats. It’s the entire digital footprint of your organization, including known and unknown assets.
Vulnerability scanning can give you vital clues as to where risk is coming from, but attack surface management (ASM) provides a quick, up-to-date look at which cyber threats you actually need to focus on.
By comprehensively mapping your attack surface, ASM shows security teams where to prioritize their efforts based on the criticality and exposure level of each asset while performing remediation.
Monitoring your attack surface allows you to detect new threats, such as malware or phishing sites mimicking your domain, unauthorized subdomains or suspicious SSL certificates.
According to the Cost of a Data Breach Report 2023, organizations that deployed an ASM solution were able to identify and contain data breaches 75% of the time of those without an ASM solution.
지속적인 위협 모니터링의 중요성
Importance of continuous threat monitoring
공격 표면을 명확하게 파악한 후에는 지속적인 위협 모니터링을 구현하여 새로운 취약점과 새로운 위협이 악용되기 전에 정보를 파악할 수 있습니다. 조직은 기존의 네트워크 보안을 넘어 진화하는 디지털 환경에 대한 사전 예방적인 실시간 인사이트를 얻을 수 있습니다.
IBM Security Randori는 취약점 관리 플랫폼과 양방향으로 통합되어 ASM 인사이트를 취약성 관리 도구와 원활하게 공유할 수 있습니다. 이를 통해 기업은 가능성과 영향을 기준으로 취약점의 우선순위를 지정하고 해결할 수 있으며, 보안 위험에 대한 보다 포괄적이고 표적화된 대응을 위해 ASM과 취약점 관리 간의 격차를 해소할 수 있습니다.
또한 Randori는 외부 공격 표면 관리와 지속적인 자동화된 레드 팀링을 결합하여 효과적인 지속적인 위협 노출 관리(CTEM) 프로그램을 위한 강력한 기반을 구축합니다. 이를 통해 고유한 위협 환경을 더 잘 파악할 수 있으므로 가장 관련성이 높은 위험을 완화하고 최소화하기 위한 개선 조치를 구현할 수 있습니다.
Once you have a clear picture of your attack surface, you can implement continuous threat monitoring to stay informed about new vulnerabilities and emerging threats before they can be exploited. It provides organizations with proactive and real-time insights into their evolving digital landscape, going beyond traditional network security.
IBM Security Randori integrates bi-directionally with vulnerability management platforms, ensuring that ASM insights are seamlessly shared with vulnerability management tools. This allows businesses to prioritize and address vulnerabilities based on likelihood and impact, bridging the gap between ASM and vulnerability management for a more comprehensive and targeted response to security risks.
Randori also combines external attack surface management with continuous automated red teaming, establishing a strong foundation for an effective continuous threat exposure management (CTEM) program. This gives you a better view of your unique threat landscape, allowing you to implement remediation measures to mitigate and minimize the most relevant risks.
취약점 스캔을 넘어서는 것
Moving beyond vulnerability scanning
취약점 스캔만으로는 악용 가능한 취약점으로부터 공격 표면을 효과적으로 방어할 수 없습니다. 취약점을 찾아서 수정하는 방식에서 벗어나 사전 예방적 접근 방식을 채택함으로써 취약점 스캔의 한계를 뛰어넘어 보안에 대한 보다 포괄적인 접근 방식을 취하는 것이 필수적입니다.
You can’t effectively defend your attack surface from exploitable vulnerabilities with vulnerability scanning alone. It’s essential to move beyond its limitations and take a more comprehensive approach to security by getting out of the find-and-fix method and adopting a proactive approach.
https://securityintelligence.com/posts/moving-beyond-vulnerability-scanning-strengthen-attack-surface/
attack surface management | pen testing | threat hunting | Vulnerability | Vulnerability Management