Support

지능형 위협 및 멀웨어(Malware) 방지

서비스 중단 또는 신뢰도 손상이 발생되기 전에 멀웨어(Malware) 및 지능형 위협을 발견합니다.

어떻게 공격은 정교한 심층 방어 전략을 갖춘 네트워크에 침입할 수 있습니까?

2014년 메릴랜드 대학과 지역사회 병원들은 심각한 데이터 침해를 경험한 바 있습니다. 이 기관들은 다층적 보안 기술 및 알림 기능을 사용하고 있었지만, 공격자들은 들키지 않고 네트워크를 돌아다니면서 비즈니스에 위해를 가하고 데이터를 유출할 수 있었습니다.

오늘날 엔터프라이즈 네트워크는 규모와 복잡성으로 인해 광범위한 “공격 경로(attack surface area)”가 형성되므로, 네트워크를 위협하는 모든 공격을 차단하기란 쉽지 않습니다. 또한, 공격자들은 특정 네트워크를 겨냥하여 교묘하게 설계된 공격, 우회 기술 및 난독화를 조합하여 타겟화된 공격 전술을 세우고 있습니다.

사건 대응이 큰 관심을 받는 이유는 무엇이고, 왜 필요합니까?

사건 대응(Incident Response)이란 비즈니스에 영향을 미치는 사건을 식별, 분석하여 그에 대응하는 것입니다. 보안과 관련하여 이러한 사고에는 DDoS (분산 서비스 거부 공격), 데이터 유출, 네트워크 침해, 장비 또는 데이터 손실까지 포함될 수 있습니다.

사건 대응, 또는 효과적인 IR을 위해 사용되는 도구 및 프로세스는 “사후” 문제 처리뿐만 아니라 그 이상의 목적으로 사용될 수 있습니다. 보안팀은 IR에 대한 네트워크 활동을 정의하는 도구를 적용하여 해당 네트워크에서 특정 자산이 침해당했다는 사실 (봇 등)을 알 수 있는 활동이 있었는지 “추적”할 수 있습니다.

보안팀은 네트워크 내의 위협을 추적하여 위협에 대한 핵심 속성을 분석함으로써, 추가적인 멀웨어 설치 또는 데이터 유출이 이루어지기 전에 봇 커뮤니케이션을 차단하고 공격 이벤트의 영향을 최소화시키는 조치를 취할 수 있습니다. 또한, 동일한 공격 정보를 사용하여 보안 방어를 강화함으로써 향후 위협을 방지할 수 있습니다.

“지능형 공격”이 멀웨어와 다른 점은 무엇입니까?

멀웨어는 악의적인 활동을 실행하도록 설계된 소프트웨어를 말합니다. 지능형 공격은 DDoS, 봇넷, 멀웨어, 피싱 등이 결합된 위협 활동을 말하며, 각각의 활동은 네트워크의 서로 다른 영역을 대상으로 서로 다른 시간에 실행됩니다. 지능형 공격은 네트워크에서 취약점을 찾아내어 공격 경로로 사용합니다. 앞서 언급한 바와 같이, 오늘날 엔터프라이즈 네트워크는 복잡성으로 인해 표면적이 더 커지고 그에 따른 감시와 보호가 더욱 어려워지고 있습니다. 이 공격자들은 각 기관 및/또는 목적에 따라 다른 특정 방식의 시간 제한 이벤트, 공격 유형, 우회 기술 및 클린업 툴을 사용하고 있습니다.

지능형 공격은 실행 중인 보안 기술을 무력화시키거나, 네트워크에서 한 영역에서 다른 영역으로 주의를 돌려놓도록 설계되어 있습니다. 간단히 말해, 이 공격은 특정 목적, 특정 구매자, 그리고 원하는 결과를 위해 설계와 테스트를 거친 잘 만들어진 제품과도 같습니다.

우리도 위태로운 상황이 될 수 있습니까?

아마도, 그럴 것입니다. 위에서 설명한 바와 같이, 공격 및 공격 키트가 제품화되어 있고, 일반 제품과 같이 제작되어 구매, 판매, 또는 거래되기도 합니다. 기존의 검색 툴로 식별되지 않는 새로운 기술이나 전혀 다른 기술을 사용하는 공격은 가치가 높아질 것입니다. 쉽게 무기화되는 익스플로잇, 즉 멀웨어 또는 네트워크의 취약점을 이용하는 공격 키트도 수요가 높습니다. 또한, 경쟁 정보를 훔치려는 기관, 서로의 기능을 무력화시키려는 국가들, 또는 심지어 이러한 부정 행위에 맞서 대중에게 성명서를 발표하려는 공격자 등 구매자는 얼마든지 있습니다. 가능성들은 무한하며 공격 동기와 여러 가지 유형을 고려할 때 여러분의 네트워크도 위험할 가능성이 높습니다. 이는 DDoS 공격의 봇넷 군단에서 네트워크 사용자가 호스트 역할을 하는 심각하지 않은 공격의 경우도 마찬가지입니다.

소셜 엔지니어링(피싱), 가짜 크리덴셜, 우회 기술을 사용하는 공격이 여러분의 네트워크에 이미 존재하고 있을 수도 있습니다. 이러한 공격은 장기간 휴면할 수 있기 때문에 추적이 어려우며 공격자가 훔친 권한을 사용하는 경우 활동을 감지하기 어려울 수 있습니다.

사건 대응 또는 공격 대응 기술의 결과를 측정할 수 있습니까?

기술 투자의 가치를 측정 가능한 결과로 확인하기 위해서는 조직에 적합한 솔루션을 찾는 것이 핵심입니다. “어떻게” 측정할 것인가의 첫 번째 단계는 “무엇”을 측정할 것인지 결정하는 것입니다. 여기에는 자산의 우선 순위를 결정하는 것이 포함되며, 자신의 비즈니스에 가장 중요한 자산 또는 규제준수 감사의 대상이 되는 자산에 초점을 두는 것입니다

또한 어떤 유형의 성과 메트릭을 측정할지 결정하는 것도 중요합니다. 보안팀에게 있어 사건 대응, 보안 분석, 포렌식(forensic) 기술이 어려운 이유는 “무엇이 차단”되었는지 여부를 측정할 수 없기 때문입니다. 가장 효과적으로 성과를 측정하려면 다음과 같은 주요지표를 살펴야 합니다.

  • 시간
    • 사고에서 발견까지
    • 발견에서 CERT 보고까지
    • CERT에서 사고 종결까지
  • 비용
    • 직원의 시간, 생산성 손실, 통지, 기타 소프트웨어 등