제로데이 익스플로잇은 최근 몇 년 동안 뉴스에 널리 퍼져 있었고, 몇몇 외국 정부는 미국과 유럽 연합의 취약한 네트워크 인프라에 대한 공격을 가능하게 했다는 비난을 받았습니다.가장 최근에는 한 가지 중요한 문제가 있었습니다. Log4j에서 인터넷 제로 데이가 발견되었습니다, 응용 프로그램에서 오류 메시지를 기록하기 위한 Java 라이브러리입니다.오픈 소스 아파치 소프트웨어 재단 (Apache Software Foundation) 이 개발한 라이브러리라는 점을 감안하면 이 라이브러리는 어디에나 있는 소프트웨어이기 때문에 이 결함은 수백만 대의 컴퓨터에 영향을 미칠 가능성이 높습니다.
하지만 제로데이 익스플로잇은 정확히 무엇이고, 어떻게 작동하며, 걱정해야 할까요?이제 이러한 질문에 답하고 이러한 유형의 웹 위협으로부터 조직을 보호하기 위해 무엇을 할 수 있는지 공유할 차례입니다.
제로 데이 익스플로잇은 위협 행위자가 소프트웨어, 펌웨어, 운영 체제, 웹 애플리케이션, 웹 사이트 또는 SaaS (Software as a Service) 플랫폼에서 이전에 알려지지 않은 취약점을 악용한 결과입니다.최종 목표는 멀웨어를 장치에 다운로드한 후 랜섬웨어를 전달하거나 하드 드라이브를 손상시키거나 다른 취약한 대상을 찾아 네트워크 전체에 확산시킬 수 있는 것입니다.
사용해 봅시다 더 솔라윈즈 브리치 예를 들자면.러시아 국가 위협 행위자들이 수행한 것으로 추정되는 이 주요 사이버 보안 공격은 제로데이 익스플로잇을 사용하여 미국과 유럽 연합의 기업 및 정부 시스템과 데이터에 액세스했습니다.이 공격은 SolarWinds 라이브러리의 백도어를 이용해 회사의 Orion 솔루션을 위한 합법적인 소프트웨어 업데이트에 악성 코드를 삽입했습니다.이를 통해 공격자들은 신뢰할 수 있고 권한이 높은 네트워크 액세스를 제공하는 새로운 토큰을 위조할 수 있었습니다.세간의 이목을 끄는 피해자로는 Microsoft, 사이버 보안 공급업체 FireEye, 미국 정부가 있습니다.이 공격으로 인해 데이터 도난 외에도 3만 명 이상의 SolarWinds 고객이 보안 침해 여부를 확인해야 했습니다. 이에 대한 예방 조치로 시스템을 오프라인 상태로 전환하고 수개월에 걸친 치료 절차를 거쳐야 했습니다.
공격자는 코드의 취약점을 식별하고 악용할 수 있도록 인기 있는 기술 제품을 리버스 엔지니어링하는 데 엄청난 양의 리소스를 사용합니다.이러한 해커 그룹 중 상당수는 보호를 제공하고 경우에 따라 재정 지원을 제공하는 외국 정부의 후원을 받습니다.특히 효과적인 표적은 중요 인프라에 대한 원격 관리 액세스를 제공하는 네트워킹 소프트웨어입니다.
정의상 제로 데이 익스플로잇은 탐지하기가 어렵습니다.이러한 문제가 발견되면 공급업체는 해당 결함을 간단히 패치할 것입니다.이러한 익스플로잇은 알려지기 전까지는 알 수 없습니다.대부분의 공급업체는 화이트 햇 해커를 활용하여 소프트웨어의 취약점을 식별하고, 취약점을 알려주고, 수정할 기회를 제공합니다.블랙햇 해커는 동일한 윤리 강령에 따라 활동하지 않습니다.악용할 수 있는 코드를 발견하면 취약점을 이용하거나 암시장에 판매하여 이익을 얻을 때까지 해당 코드를 비밀로 유지할 가능성이 높습니다.따라서 알려진 인텔리전스를 기반으로 하는 기존의 탐지 및 대응 사이버 보안 솔루션은 이러한 유형의 공격에 적합하지 않습니다.알지 못하는 것은 탐지할 수 없습니다.
솔직히 많지는 않아요.솔루션의 보안을 유지하고 있는 신뢰할 수 있는 공급업체와만 거래하는 것이 확실히 도움이 됩니다.하지만 아무리 강화된 코드라도 취약점이 있습니다.가장 좋은 방법은 위협 행위자가 사용자 장치에 액세스하지 못하도록 하는 것입니다.인력이 계속 분산됨에 따라 고도로 분산된 인프라를 보호하는 것이 그 어느 때보다 중요해졌습니다. 보안 웹 게이트웨이 (SWG) 웹 격리 기술을 사용합니다.
보안 웹 게이트웨이, 또는 SWG, 에 의해 구동 아이솔레이션 기술 알려진 악성 사이트를 차단하고 적절한 사용 정책을 제공하는 등 웹 트래픽에 대한 표준 제어 기능을 제공합니다.이 SWG를 격리 기술과 함께 사용하면 클라우드에 사용자와 인터넷 사이에 추상화된 계층이 생성됩니다.웹 사이트, 웹 앱, SaaS 플랫폼 및 기타 웹 콘텐츠의 코드를 가져와서 엔드 디바이스가 아닌 클라우드의 원격 브라우저에서 실행합니다.웹 브라우저에 액세스하지 못하면 위협 행위자는 취약점이 존재하더라도 사용자의 장치에 악성 콘텐츠를 업로드할 방법이 없습니다.이렇게 하면 합법적인 웹 콘텐츠를 차단하거나 사용자 생산성에 영향을 주지 않으면서 멀웨어와 랜섬웨어를 차단할 수 있습니다.
