예전에는 보안이 매우 간단했습니다.기업은 견고한 데이터 센터 앞에 강력한 경계 방어를 구축하고 네트워크 진입 지점을 강화하여 악의적인 공격자가 액세스하지 못하도록 했습니다.그 후 수십 년 전에는 데스크톱 컴퓨터가 인터넷에 연결되었고, 갑자기 위협 영역이 최종 장치까지 확장되었습니다.기능이 제한되어 있기 때문에 브라우저 자체는 그다지 표적이 되지 않았습니다.악의적인 공격자가 악용할 수 있는 것은 별로 없었습니다.따라서 기업은 VPN (가상 사설망), 방화벽, 샌드박스, 안티바이러스, 엔드포인트 탐지 및 대응 (EDR) 과 같은 네트워크 및 엔드포인트 보안에 초점을 맞춘 보안 솔루션에 의존하는 경향이 있었습니다.
최근 몇 년간 데이터 센터에서 SaaS (Software as a Service) 플랫폼 및 퍼블릭 클라우드 인프라로 엔터프라이즈 애플리케이션이 분산되면서 Google, Microsoft와 같은 개발자와 새로운 브라우저 업체는 기본 애플리케이션을 모방할 수 있는 고급 기능을 갖춘 보다 강력한 브라우저를 구축해야 한다는 압박을 받고 있습니다.
그러나 네트워크 보안에 대한 투자는 브라우저를 보호하기 위한 것이 아닙니다.대신 엔드포인트 보안이 부족한 부분을 메울 것으로 예상되었지만 브라우저의 정교함이 계속 확장됨에 따라 악의적인 공격자들은 이러한 기능을 악용할 새롭고 혁신적인 방법을 찾고 있습니다.새로운 재택근무 정책은 브라우저에 추가적인 압력을 가해 점점 더 정교해지는 위협 행위자를 처리하지 못하는 결과를 초래합니다.
브라우저가 그 이상이라는 점을 감안할 때 현재 근무일의 75% 가 소요됩니다.위협 행위자들이 점점 더 공격 대상으로 삼으려는 동기가 높아지고 있다는 것은 놀라운 일이 아닙니다.에 따르면 버라이존 2022 데이터 침해 조사 보고서, 이제 보안 침해의 90% 가 브라우저를 통해 발생합니다.
강화된 데이터 센터를 중심으로 강력한 경계 방어를 구축하던 시대는 이미 오래 전에 지났음이 분명합니다.브라우저 보안은 기업 보안팀의 최우선 과제가 되어야 합니다.
디지털 혁신, 하이브리드 작업 정책 및 클라우드 마이그레이션으로 인해 위협이 확대되는 상황에서 IT 보안 팀은 브라우저를 보호하기 위해 가능한 모든 조치를 취해야 합니다.안타깝게도 탐지 및 대응 방식에만 의존하는 기존 보안 솔루션은 오늘날의 고도로 정교한 위협에 대처할 준비가 되어 있지 않습니다.오늘날의 악의적인 행위자들은 이를 활용합니다. 고도로 회피적인 적응형 위협 (HEAT) 브라우저 보안을 우회하려면 엔드포인트에서 초기 보안 침해를 시도하고 더 매력적인 엔터프라이즈 대상을 찾아 적절한 시점에 공격하십시오.
회피 기술 범위 이메일 이외의 채널에 대한 피싱 공격, 멀웨어를 신뢰할 수 있는 파일 형식으로 배포하는 행위, 인간의 본성을 이용하여 사용자를 속여 악성 링크를 클릭하도록 유도하고, 방화벽의 반대편에 있는 파일을 재구성하여 분석 도구를 회피하는 행위 등입니다.
다음은 실제 세계에서 이러한 회피 기법의 세간의 이목을 끄는 세 가지 예입니다.
지금은 악명 높은 피싱 캠페인에서 랜섬웨어 그룹 Oktapus는 놀라움과 빠른 속도에 의존하여 사용자를 속여 자격 증명을 제공하도록 했습니다.공격은 Okta 고객에게 초점을 맞추어 가짜 Okta 인증 페이지로 연결되는 링크가 포함된 문자 메시지나 이메일을 보냈습니다.피해자는 링크를 클릭하자마자 온라인 양식에 사용자 이름, 암호, 2FA 코드를 입력하라는 요청을 받았습니다. 이는 위협 행위자가 MFA를 우회하는 방법의 한 예일 뿐입니다.공격자들은 고유 코드나 푸시 알림이 만료되기 전에 보통 2분 이내에 네트워크에 침입하기 위해 신속하게 움직여야 했습니다. 아마도 실시간으로 도구를 주시하면서 손상된 자격 증명을 즉시 활용할 수 있었을 것입니다.
보안 툴이 종종 비슷한 이미지, 글꼴 및 스크립트를 공유하는 사기성 도메인을 탐지하는 속도만으로는 Oktapus를 막기에 충분하지 않았습니다.이 그룹은 위협이 완화되기 전에 페이로드를 전달하고 데이터를 추출하는 등 거의 실시간으로 운영되었습니다.랜섬웨어 그룹은 사기성 로그인 페이지가 식별되어 블랙리스트에 올랐을 때에도 신속하게 새 도메인을 생성하여 조직 내 더 많은 개인을 표적으로 삼았습니다.블랙리스트 작성, URL 필터링 또는 피싱 교육과 같은 기존의 보안 수단으로는 공격자가 처음 액세스하는 것을 막기에 충분하지 않았습니다.
더 읽어보기 Menlo Labs 연구팀이 제공하는 Oktapus 위협 캠페인에 대한 세부 정보
한 북한 단체는 최종 장치에 멀웨어와 랜섬웨어를 설치하는 방법으로 널리 사용되는 브라우저에서 일련의 제로 데이 익스플로잇을 사용했습니다.사용자가 먼저였습니다. 손상된 웹 사이트를 방문하도록 유혹 그것은 알려지지 않았거나 이전에 안전하다고 간주되었습니다.안타깝게도 대부분의 탐지 및 대응 방식은 사용자의 생산성을 저해할까봐 분류되지 않은 웹 사이트를 차단하지 않습니다.또한 이미 안전한 것으로 분류된 웹사이트는 나중에 보안 침해를 당해 또 다른 보안 침해 경로를 제공했습니다.또한 악성 파일은 암호로 보호되어 파일 분석 도구로부터 보호되었습니다.암호 없이는 이러한 파일의 내용을 분석할 방법이 없기 때문에 파일 분석 도구는 일반적으로 암호로 보호된 모든 파일을 차단하여 생산성을 저해하는 대신 네트워크로 전송하도록 허용합니다.이 브라우저의 보안 검사점을 지나면 악의적인 공격자는 네트워크 전체에 자유롭게 퍼질 수 있었습니다.
Menlo Labs 연구팀은 인기 기사에서 이 캠페인을 분류했습니다. 여기에서 찾았습니다.
QBot 또는 Pinkslipbot으로도 알려진 Qakbot은 전 세계 최고의 뱅킹 트로이 목마 중 하나가 되었습니다.주요 목적은 은행 자격 증명 (예: 로그인, 암호 등) 을 훔치는 것이지만 금융 운영을 감시하고, 자신을 유포하고, 랜섬웨어를 설치하여 손상된 조직의 수익을 극대화할 수 있는 기능도 확보했습니다.Lazarus Group과 마찬가지로 Qakbot은 여러 평판 회피 기술을 사용하여 사용자가 최근에 손상된 웹 사이트를 방문하여 악성 파일을 다운로드하도록 유도합니다.Menlo Labs 연구팀은 탐지 기반 보안 기술로 링크가 검사되지 않도록 보호하는 암호로 보호된 ZIP 파일을 통해 악성 링크가 전송되는 것을 관찰했습니다.링크를 클릭하면 악성 페이로드가 다음 경로를 통해 전달됩니다. HTML 스머글링—HTML 페이지에 악성 코드를 숨기고 방화벽을 통과한 최종 사용자의 기기에서 멀웨어를 재구성하여 공격자가 브라우저 보안 조치를 우회할 수 있도록 하는 HEAT 기술입니다.
Quakbot 캠페인의 전체 분석은 다음과 같습니다. 여기에서 찾았습니다.
악의적인 공격자들은 사이버 보안에 대한 탐지 및 대응 접근 방식에 의존하는 기존 보안 솔루션을 우회하기 위해 다양한 고도로 회피적인 기술을 사용하여 널리 사용되는 브라우저의 취약점을 악용하는 데 점점 더 똑똑해지고 있습니다.Oktapus, Lazarus Group 및 Qakbot은 위협 행위자가 탐지를 피하고 취약한 엔드포인트에서 초기 침해를 일으킨 다음 가치 있는 대상을 찾기 위해 네트워크를 통해 측면으로 확산하는 방법을 보여주는 세 가지 예에 불과합니다.보안에 대한 기존의 탐지 기반 접근 방식이 제대로 작동하지 않는 것은 분명하며, 그 중 상당수는 보안 스택에 대한 투자는 계속해서 조직을 망가뜨리고 있습니다..이러한 공격이 시작되기 전에 차단하려면 조직은 기존 탐지 기능 위에 예방적 보안 계층을 구축하여 이러한 공격이 초기 침해로 이어지지 않도록 차단해야 합니다.
한 가지 고려 사항은 격리 기술입니다. 격리 기술을 사용하면 악의적이든 아니든 모든 콘텐츠가 클라우드의 가상 계층에서 실행되도록 보장하여 잠재적 위협이 엔드포인트 근처에서 절대 발생하지 않도록 함으로써 위협이 발생하기 전에 방지할 수 있습니다.앞서 살펴본 바와 같이 기존 네트워크 및 엔드포인트 보안 솔루션을 점점 능가할 수 있는 이러한 회피 위협에 대응하기가 점점 더 어려워지고 있기 때문에 이러한 조치가 필요합니다.
