이 페이지에서는 유해한 조합과 취약점 분석가가 Security Command Center Enterprise에서 유해한 조합을 식별, 우선순위 지정 및 해결하는 데 사용할 수 있는 발견 항목과 케이스의 개념을 간략하게 설명합니다.
유해한 발견 항목과 케이스는 클라우드 환경에서 더욱 효과적으로 위험을 식별하고 보안을 개선하는 데 도움이 됩니다.
유해한 조합 정의
유해성 조합은 특정 패턴에서 함께 발생할 경우 완강한 공격자가 가치가 높은 리소스에 접근하여 침해할 수 있는 가치가 높은 리소스 하나 이상에 대한 경로를 만드는 보안 문제 그룹입니다.
보안 문제는 특정 리소스 구성, 잘못된 구성 또는 소프트웨어 취약점과 같은 클라우드 리소스 노출에 기여합니다.
Security Command Center Enterprise의 위험 엔진은 공격 경로 시뮬레이션 실행 중에 유해한 조합을 감지합니다. 위험 엔진에서 감지하는 유해한 조합마다 발견 항목이 생성됩니다. 각 발견 항목에는 클라우드 환경의 가치가 높은 리소스에 대한 유해한 조합 위험을 측정하는 공격 노출 점수가 포함됩니다. 또한 위험 엔진은 유해한 조합에서 가치가 높은 리소스에 대해 만드는 공격 경로를 시각화합니다.
유해한 조합에 대한 공격 노출 점수
위험 엔진은 유해한 조합 발견 항목마다 공격 노출 점수를 계산합니다. 이 점수는 유해한 조합이 가치가 높은 리소스에 피해를 끼치는 위험에 대한 예상치입니다.
유해한 조합 발견 항목에 대한 점수는 다른 유형의 발견 항목에 대한 공격 노출 점수와 비슷하지만 개별 소프트웨어 취약점 또는 잘못된 구성의 발견 항목이 아닌 경로에 적용된다고 간주될 수 있습니다.
일반적으로 유해한 조합에서는 클라우드 배포에 대한 문제가 개별 보안 문제보다 큽니다. 그러나 유해한 조합 발견 항목 점수를 다른 유해한 조합 및 상황 발견 항목 점수와 비교하여 우선적으로 조치를 취해야 하는 발견 항목을 결정합니다.
개별 보안 문제 발견 항목 점수가 유해한 조합 발견 항목 점수보다 훨씬 높으면 점수가 높은 발견 항목에 우선순위를 지정해야 합니다.
다른 발견 항목의 공격 노출 점수와 마찬가지로 유해한 조합에 대한 공격 노출 점수는 다음에서 파생됩니다.
- 노출된 가치가 높은 리소스 수 및 해당 리소스의 우선순위 값과 공격 노출 점수
- 완강한 공격자가 유해한 조합을 활용하여 가치가 높은 리소스에 도달하는 데 성공할 가능성
자세한 내용은 공격 노출 점수를 참조하세요.
유해한 조합에 대한 공격 경로 시각화
위험 엔진은 유해한 조합이 가치가 높은 리소스에 대해 만드는 공격 경로를 시각적으로 표시합니다. 공격 경로는 잠재적 공격자가 가치가 높은 리소스에 도달하는 데 사용할 수 있는 일련의 보안 문제와 리소스를 나타냅니다.
공격 경로를 통해 유해한 조합의 문제 간의 관계와 이러한 문제가 가치가 높은 리소스에 대한 경로를 형성하는 방식을 이해할 수 있습니다. 또한 경로 시각화에서는 여러 가치가 높은 리소스가 노출되는 방식과 노출된 리소스의 상대적 우선순위를 보여줍니다.
보안 운영 콘솔에서 유해한 조합을 일으키는 보안 문제는 공격 경로에서 굵은 노란색 다이아몬드 모양의 테두리로 강조 표시됩니다.
보안 운영 콘솔에서 Security Command Center는 유해한 조합 공격 경로의 버전 2개를 제공합니다. 첫 번째는 간소화된 버전으로, 유해한 조합 케이스의 케이스 개요 탭에 표시됩니다. 두 번째 버전에서는 전체 공격 경로를 보여줍니다. 간소화된 공격 경로에서 전체 공격 경로 살펴보기를 클릭하거나 케이스 뷰 오른쪽 상단에 있는 유해한 조합 공격 경로 살펴보기를 클릭하여 전체 공격 경로를 열 수 있습니다.
다음 스크린샷은 간소화된 공격 경로의 예시입니다.
자세한 내용은 공격 경로를 참조하세요.
유해한 조합 케이스
Security Command Center Enterprise는 Risk Engine에서 발행하는 각 유해한 조합 발견 항목에 대한 케이스를 보안 운영 콘솔에서 엽니다.
포함된 TOXIC_COMBINATION 태그를 사용하여 유해한 조합 케이스를 쿼리하거나 필터링할 수 있습니다. 또한 
아이콘으로 보안 운영 콘솔에서 유해한 조합 케이스를 시각적으로 식별할 수 있습니다.
유해한 조합 사례에는 유해한 조합 발견 항목이나 알림이 2개 이상 포함되지 않습니다.
케이스는 유해한 조합의 해결책을 조사하고 추적하는 기본 방법입니다. 케이스 뷰에서 다음 정보를 확인할 수 있습니다.
- 유해한 조합에 대한 설명
- 유해한 조합의 공격 노출 점수
- 유해한 조합에서 만드는 공격 경로 시각화
- 영향을 받는 리소스에 대한 정보
- 유해한 조합을 해결하는 데 취할 수 있는 단계에 대한 정보
- 관련 케이스에 대한 링크를 포함하여 다른 Security Command Center 감지 서비스에서 발견된 관련 발견 항목에 대한 정보
- 적용 가능한 플레이북
- 연결된 티켓
보안 운영 콘솔의 Security Command Center 상황 개요 페이지에서 환경 내 유해한 조합 케이스를 한 눈에 볼 수 있습니다. 상황 개요 페이지에는 우선순위, 공격 노출 점수, 서비스수준계약(SLA)에서 남은 시간을 기준으로 유해한 조합 케이스를 보여주는 위젯이 포함됩니다.
유해한 조합 케이스를 보는 방법에 대한 자세한 내용은 유해한 조합 케이스 보기를 참조하세요.
케이스 우선순위
기본적으로 유해한 조합 발견 항목 심각도와 유해한 조합 케이스의 관련 알림이 일치하도록 유해한 조합 케이스에는 Critical 우선순위가 적용됩니다.
케이스를 연 후, 케이스나 알림의 우선순위를 변경할 수 있습니다.
케이스 또는 알림의 우선순위를 변경해도 발견 항목 심각도는 변경되지 않습니다.
케이스 종료
유해한 조합 케이스는 기본 발견 항목 상태에 처리됩니다. 발견 항목이 처음 발행되면 상태는 Active입니다.
유해한 조합을 해결하면 위험 엔진은 다음 공격 경로 시뮬레이션 중에 자동으로 해결책을 감지하고 케이스를 종료합니다. 시뮬레이션은 약 6시간마다 실행됩니다.
또는 유해한 조합으로 인해 발생한 위험이 허용 가능하거나 방지 가능하다고 결정하면 유해한 조합 발견 항목을 숨겨 케이스를 종료할 수 있습니다.
유해한 조합 발견 항목을 숨기면 발견 항목은 활성 상태로 유지되지만 Security Command Center에서 케이스를 종료하고 기본 쿼리와 뷰에서 발견 항목을 생략합니다.
자세한 내용은 다음 정보를 참조하세요.
관련 발견 항목
위험 엔진에서 감지한 유해한 조합을 일으키는 여러 개별 보안 위험도 다른 Security Command Center 감지 서비스에서 감지됩니다. 이러한 다른 탐지 서비스는 이러한 문제에 대한 별도의 발견 항목을 발행할 수 있습니다 이러한 발견 항목은 관련 발견 항목으로 유해한 조합 케이스에 나열됩니다.
관련 발견 항목은 유해한 조합 발견 항목에서 별도로 발행되므로 별도의 케이스가 열리고 서로 다른 플레이북이 실행되며 다른 팀원은 유해한 조합 발견 항목 해결책과 다른 별도의 해결책을 사용할 수 있습니다.
이러한 관련 발견 항목 케이스 상태를 확인하고 필요한 경우 케이스 소유자에게 유해한 조합을 해결하는 데 도움이 되도록 해결 우선순위를 지정해 달라고 요청합니다.
유해한 조합 케이스에서 관련 발견 항목은 유해한 조합 케이스의 개요 탭에 있는 발견 항목 위젯에 나열됩니다. 관련 발견 항목마다 위젯은 해당 케이스에 대한 링크를 포함합니다.
관련 발견 항목은 유해한 조합 공격 경로에서도 식별됩니다.
위험 엔진에서 유해한 조합을 감지하는 방법
위험 엔진은 약 6시간마다 모든 클라우드 리소스에서 공격 경로 시뮬레이션을 실행합니다.
시뮬레이션 중에 위험 엔진은 클라우드 환경에서 가치가 높은 리소스에 대한 잠재적 공격 경로를 식별하고 발견 항목과 가치가 높은 리소스에 대한 공격 노출 점수를 계산합니다. 위험 엔진이 시뮬레이션 중에 유해한 조합을 감지하면 발견 항목을 발행합니다.
공격 경로 시뮬레이션에 대한 자세한 내용은 공격 경로 시뮬레이션을 참조하세요.