보안

한눈에 보는 IT 관리자를 위한 'MS 위협 보호' 개론

Susan Bradley | CSO 2020.04.13
필자는 마이크로소프트 보안 위협 보호(Microsoft Threat Protection, MTP)와 애증의 관계다. 높게 평가하는 점은 MTP의 개념과 플랫폼, 구성 요소다. 사용자 시스템부터 애저(Azure) 클라우드 자산까지 모든 것을 하나의 창에서 볼 수 있다. MTP는 마이크로소프트의 디펜더 ATP(Defender Advanced Threat Protection), 오피스 365 ATP, 클라우드 앱 보안(Cloud App Security), 애저 ATP로 구성된다.

반면 아쉬운 점은 MTP의 라이선스 조건이다. 따라서 도입 전에 마이크로소프트 365 라이선스 가이드를 검토해보는 것이 좋다. 예를 들어 워크스테이션에 마이크로소프트 디펜더 ATP(이전, 윈도우 ATP) 라이선스를 부여하려면, 윈도우 10 엔터프라이즈 E5, 윈도우 10 에듀케이션 A5, 마이크로소프트 365(M365 E5, 윈도우 10 엔터프라이즈 E5가 포함됨), 마이크로소프트 365 A5(M365 A5) 라이선스가 필요하다.
 

마이크로소프트 디펜더 ATP

마이크로소프트 디펜더 ATP를 이용하면 보안 사고 발생 시 추가 정보와 지침을 제공하는 몇 가지 기능을 사용할 수 있다. 컴퓨터를 콘솔에 탑재하면 사고 발생 시점으로 돌아가 시스템에서 진행된 문제를 검토할 수 있다. 예를 들어 랜섬웨어에 공격받았을 때 로그 파일을 캡처하고 수집할 수 있다. 현재 공격자가 점유하고 암호화한 하드 드라이브에 있는 모든 로그 파일 혹은 증거 정보도 마찬가지다. 또한, 마이크로소프트 디펜더 ATP로 매킨토시(Macintosh) 컴퓨터도 보호할 수 있다.
 
보안 추천

필자는 특히 마이크로소프트 디펜더 보안 센터 포털에서 제공하는 교육과 정보에 만족하고 있다. 보안 점수(Secure Score)에서 제공하는 정보를 이용하면 데스크톱의 약점을 더 잘 식별할 수 있다. 마이크로소프트 디펜더 ATP는 아직 발견하지 못했지만, 조직에 영향을 줄 수 있는 위협을 찾아내는 교육 포털도 지원한다.
 
위협 분석

이 포털은 치명적인 위협과 업계 동향을 이해하는 데 도움이 된다. 네트워크의 어떤 컴퓨터가 어떤 위협에 영향을 받는지 확인할 수도 있다. 예를 들어 포털이 제공하는 마이터어택(MITRE ATT&CK) 시퀀스를 보면 공격이 어떻게 네트워크에 침입하는지 더 잘 이해하고, 시스템을 더 잘 보호할 수 있는 방법을 찾는 데 도움이 된다. 마이크로소프트 디펜더 ATP 무료 평가판을 통해 실제 공격이 테스트 컴퓨터에 미치는 영향을 확인할 수 있으므로, 솔루션에 투자하기 전에 ATP가 어떻게 작동하는지 더 잘 이해할 수 있다.
 
마이터어택 가이드
 

마이크로소프트 오피스 365 ATP

오피스 365 ATP는 보안 솔루션 번들 중 가장 유명하다. 첨부파일에 대한 심층 검사와 클릭 링크 보호를 제공한다. 오피스 365 ATP는 마이크로소프트 365 비즈니스의 일부 혹은 별도의 애드온으로도 사용할 수 있다. 오피스 365 ATP 플랜2(P2)는 오피스 365 E5, 오피스 365 A5, 마이크로소프트 365 E5에 포함돼 있다. 오피스 365 ATP 플랜 1은 마이크로소프트 365 비즈니스에 포함돼 있다. ATP P1 플랜은 보안 첨부(Safe Attachment), 쉐어포인트, 원드라이브, 마이크로소프트 팀즈(Teams)용 ATP, 고급 안티 피싱 보호와 실시간 탐지를 포함한다.

P2 플랜은 이에 더해 위협 추적기(Threat Tracker), 위협 탐색기(Threat Explorer), 자동화된 조사와 대응, 공격 시뮬레이터 등을 포함한다. 마이크로소프트에서 제공한 이메일을 호스팅하고 다른 위협 방지 제품군의 일부를 구매하지 않은 경우 최소한의 보호로 오피스 365 ATP를 사용하는 것이 좋다. CISecurity.org 또는 ITpromentor.com의 안내를 참고해 설정을 상세하게 조정할 수 있다.
 

마이크로소프트 클라우드 앱 보안

마이크로소프트 클라우드 앱 보안을 이용하면 은밀한 공격자와 의도치 않은 위험을 초래하는 직원으로부터 시스템을 방어할 수 있다. 또한 비정상적인 로그인과 기타 공격 패턴을 식별하는 데도 도움이 된다. 사용법은 먼저 포털로 이동해 클라우드 앱 보안(Cloud App Security)을 시작한다. 이곳에서 비정상적인 활동을 검토할 수 있다. 예를 들어, 관리자 메일함에서 전달 규칙을 설정하면 클라우드 앱 보안 모듈이 이 작업을 자동으로 차단하고 경고를 보낸다.
 
클라우드 앱 안 경고 

또한 클라우드 앱 보안은 특정 국가로부터의 드문 접속을 포함한 다양한 정책을 검토하거나, 자격 증명이 유출되거나 이를 여러 자격 증명 덤프에서 발견한 시기를 확인할 수 있는 플랫폼이다. 필자가 가장 높이 평가하는 보고 기능은 외국에서 공격자가 로그온을 시도할 때의 경고 기능이다. 어떤 운영 체제와 위치에서 로그인을 시도하는지 확인할 수 있다.
 
낯선 국가로부터의 접속 활동
 

애저 ATP

애저 ATP는 EMS E5(Enterprise Mobility+Security 5)의 일부이며 독립 실행형 라이선스로도 사용할 수 있다. 마이크로소프트 365 포털에서 다운받거나 클라우드 솔루션 파트너(CSP) 라이선스 모델을 통해 직접 라이선스를 구매할 수 있다. 포털에 로그인한 후에는 애저 ATP 인스턴스를 설정하고 도메인 컨트롤러에 ATP 센서를 다운로드해야 한다.
 
표준 알림

기본 보고서는 사용자 자격 증명 수집이나 랜섬웨어의 내부망 이동(lateral movement)을 경고하고, LDAP 쿼리가 암호를 일반 텍스트로 노출될 때 알려준다. 이를 통해 온프레미스 관점뿐만 아니라 클라우드 자산의 문제를 검토해 기업 전사적으로 파악할 수 있다. 시간을 내 평가판에 등록하고 “공격”을 사용해 테스트한 후 이에 대한 대응과 결과를 비교해 보기를 추천한다. 여기에서 이 제품의 가치를 다른 업체의 제품과 비교할 수 있다. 어떤 방식의 위협이든 기업 전체에 걸쳐 감지할 수 있는 기능이 앞으로는 모든 기업에 필요할 것으로 보인다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.