해킹 행위는 눈을 가린 채 가방을 뒤지는 것과 유사합니다. 해킹을 시도하는 사람은 가방 안의 내용물에 대한 사전 지식이 있기 때문에 펜이나 아이라이너와 같은 물건을 효율적으로 검색할 수 있습니다. 반면, 내용물에 익숙하지 않은 사람은 메이크업 제품을 도구로 착각하여 혼란을 야기하고 자원을 잘못 관리할 가능성이 있습니다.
또한 가방을 뒤지는 과정에서 소란을 일으킬 가능성이 높습니다. 가방을 뒤지는 시간이 길어지면 청각 장애가 증가하여 소리에 의해 탐지될 가능성이 높아질 수 있습니다. 침묵이 유지되는 경우, 수하물 내부가 어지럽다는 것은 권한이 없는 사람이 내용물을 훼손했음을 나타냅니다. 이는 기만 기술의 일반적인 특징입니다.
기만 기술이란 무엇인가요?
“디셉션 기술”이라는 용어는 사이버 보안 방어 팀이 해커를 중요 자산에서 멀어지게 하기 위해 사용하는 다양한 전략, 리소스 및 시뮬레이션된 대상을 포함합니다. 이러한 미끼는 진짜처럼 보이도록 설계되었지만 공격자가 자신의 방법이나 약점을 드러내도록 유인하여 향후 공격에 대한 방어에 도움이 되는 중요한 정보를 제공할 수 있습니다. 디코이의 배치와 특성은 해커가 처음에 공격에 참여하도록 유혹할 수 있을 만큼 충분히 설득력이 있어야 합니다.
보안 환경 내에서 공격자와 디코이 간의 상호 작용은 공격의 인적 요소에 대한 귀중한 통찰력을 방어 팀에 제공하는 정보를 생성합니다. 이러한 상호 작용을 통해 피고인은 공격자가 추구하는 목표와 이를 달성하기 위한 의도된 방법을 파악할 수 있습니다.
블루팀이 기만 기술을 사용하는 이유
모든 기술의 오류를 인정하기 때문에 보안팀은 언젠가는 침해가 발생할 것이라고 가정하는 것이 관례입니다. 사이버 보안의 상당 부분은 어떤 자산이나 사용자가 침해되었는지 파악하고 이를 복구하기 위한 조치를 실행하는 것과 관련이 있습니다. 이러한 책임을 효과적으로 수행하기 위해 블루팀 운영자는 자신이 감독하는 보안 환경의 매개변수와 그 안에 포함된 자산에 대해 잘 알고 있어야 합니다. 사이버 위협으로부터 보호하는 데 사용할 수 있는 도구 중에는 디셉션 기술이 있습니다.
디셉션 기술의 목적은 공격자의 주의를 미끼로 돌려 시간을 소비하고 중요한 자산으로부터 멀어지게 하는 데 있습니다. 사이버 보안에서 시간은 공격자와 방어자 모두에게 중요한 자산이기 때문에 이 전략은 매우 중요합니다. 공격자가 미끼를 사용하면 공격자의 시간을 생산적으로 활용할 수 있으므로 방어자는 위협에 효과적으로 대응할 수 있는 시간을 추가로 확보할 수 있습니다.
디코이 자산은 잠재적 공격자의 교란 전술로 사용되어 공격자가 자산의 실제 정체를 파악하는 데 귀중한 시간과 리소스를 낭비하게 만듭니다. 따라서 보안팀은 실제 위협을 탐지하고 대응할 수 있는 시간을 추가로 확보할 수 있습니다. 공격자가 미끼 자산에 속아 넘어가면 공격을 포기하고 시스템에서 철수할 가능성이 높습니다. 반대로 공격자가 미끼 자산을 인식하면 공격자는 자신이 발각되었다는 사실을 깨닫고 탐지를 피하기 위해 신속하게 네트워크를 떠나야 합니다. 어떤 시나리오에서든 디코이를 사용하면 보안팀이 사이버 공격에 대비할 수 있는 중요한 시간을 벌 수 있습니다.
디셉션 기술의 작동 방식
자동화된 디셉션 기술은 데이터베이스, 로그인 자격 증명, 웹 서버, 파일과 같이 사이버 범죄자에게 중요한 정보로 구성된 디코이 자산을 활용합니다. 이러한 모조 자산은 정품 자산과 동일한 방식으로 작동할 수 있으며, 경우에 따라서는 정품 자산과 협력할 수도 있습니다.
허니팟과 디코이의 중요한 차이점 중 하나는 사이버 공격을 탐지하는 데 있어서의 효율성입니다. 허니팟은 실제 네트워크 시스템을 모방하여 공격자를 유인하는 반면, 디코이는 잠재적 침입자를 속이기 위해 설계된 가상의 데이터를 사용합니다. 예를 들어 디코이 데이터베이스에는 시뮬레이션된 서버에 연결된 가짜 로그인 자격 증명이 포함되어 있어 해커가 도난당한 자격 증명을 사용하여 불법적인 접속 시도를 통해 진짜 시스템에 접속하는 것을 방지합니다. 또한, 더미 토큰, 해시 값 또는 Kerberos 티켓으로 해킹 프로브에 응답하도록 디코이 자격 증명을 프로그래밍하여 침입자가 기본 시스템에 해를 끼치지 않고 자신의 행동을 모니터링할 수 있는 안전한 환경으로 유도할 수 있습니다.
또한 루어에는 의심스러운 활동을 보안 담당자에게 알리는 메커니즘이 장착되어 있습니다. 예를 들어, 침입자가 디코이 서버에 접속하면 보안관제센터(SOC)에 알림을 트리거하여 잠재적인 악의적 의도를 알립니다. 이 기간 동안 시스템은 인증정보 도용을 통해 민감한 데이터를 획득하려는 시도, 측면 이동 또는 중간자 공격 사례 등 공격자의 행동에 관한 자세한 정보를 기록합니다.
아침에 보니 다행이다; 나무 밑으로 뻗은 적
효과적으로 설계된 기만 시스템은 공격자가 보안 자산에 미치는 해로운 영향을 크게 줄이거나 공격자의 활동을 완전히 중단시킬 수 있는 기능을 가지고 있습니다. 이러한 시스템의 구현은 대부분 자동화될 수 있으므로 식물을 돌보는 것처럼 지속적인 모니터링과 주의가 필요하지 않습니다.대신, 보다 실무적인 접근 방식이 필요한 보안 문제를 처리하는 데 보안 운영 센터(SOC)의 초점을 맞출 수 있습니다.