Crowdstrike의 결함으로 인해 거의 천만 대의 기계가 “고장난” 것은 업계에 경종을 울립니다.지금쯤이면 우리 대부분은 무슨 일이 일어났는지 알고 문제를 해결하느라 바쁩니다.그리고 해결 방법은?모든 기계에 물리적으로 접근해야 하는 수동 프로세스입니다.원격 및 하이브리드 작업자의 경우 복구 시 영향을 받은 컴퓨터에 관리자 권한을 제공해야 합니다 (그러면 위험을 방지하기 위해 이를 취소하거나 관리해야 함).
이러한 기계를 사용하는 작업자는 기업에서 지급한 기계를 사용할 수 있을 때까지 관리되지 않는 기계 또는 개인용 기계에서 작업해야 합니다.따라서 관리되지 않는 컴퓨터, 스마트폰 및 개인용 Apple macOS 컴퓨터에서 많은 작업이 수행될 것입니다.아니면 작업이 전혀 끝나지 않을 수도 있습니다.작업은 순조로워질 거예요 관리되지 않는 기계: 생각해 보세요.
비난을 넘어서, 더 큰 그림
앞으로는 관리되지 않는 시스템의 가치를 고려하여 현장으로 가져와야 합니다. 제로 트러스트 스피어.회사에서 발급한 PC가 없어도 일부 작업을 수행할 수 밖에 없었습니다.비즈니스 연속성의 일환으로 이런 일이 일어날 수 있도록 계획을 세워야 할 수도 있습니다.
그러나 현재로서는 SOC 팀은 IT 팀을 동원하는 것 외에도 문제 해결책으로 가장하여 피싱 시도 또는 멀웨어 전달을 시도하는 기회주의적 사이버 공격을 인식해야 합니다.
이미, 멘로 시큐리티 CrowdStrike를 가장하고 수정 제안을 사용하여 멀웨어를 전송하는 웹 사이트를 확인했습니다.해당 기업의 여러 테넌트에 있는 이러한 URL과 도메인이 수십 개 있습니다. 멘로 클라우드 확인되어 차단되었습니다.가장 일반적인 공격은 crowdstrike0day [.] com과 crowdstrikebluescreen [.] com에서 발생했습니다.
다음 그림은 대표적인 페이지입니다.
기업은 정상 운영으로 돌아가는 데 초점을 맞추고 있지만 SOC 팀은 이러한 URL 중 50% 이상이 기존 보안 게이트웨이와 클라우드 서비스에 의해 '불량' URL로 분류되지 않는다는 점을 경계해야 합니다.이러한 공격은 다음을 사용하고 있습니다. 레거시 URL 평판 회피 (LURE) 전술 기존 도구에 의해 차단되지 않습니다.현재 이러한 도구들은 “미분류”와 “건강 및 의학”으로 분류되고 있습니다. 따라서 기존 방어 수단을 통해서도 허용될 것입니다.
사이버 보안 레질리언스에 대한 재검토
회복한 후에는 왜 이런 일이 일어났는지 생각해 봐야 합니다.왜 우리 기업은 보안 센서 업데이트에 대한 대응력이 떨어지나요?엔드포인트 보호는 무엇보다도 네트워크 텔레메트리를 모니터링하도록 확장되었습니다.이러한 센서는 수년에 걸쳐 그 어느 때보다 복잡해졌습니다. 차세대 AV 및 엔드포인트 감지에서 네트워크 이벤트 모니터링으로 발전하고 있습니다.센서는 프로세스 간 통신을 비롯한 동작을 동적으로 모니터링합니다.복잡하다고 말하는 것만으로는 충분하지 않습니다.
지금은 이러한 운영 중단을 일으킨 최신 공급업체를 비난할 때가 아닙니다.대부분의 대규모 엔드포인트 보안 도구 때문에 이러한 운영 중단이 발생했을 수 있습니다.운영 중단은 규모가 컸지만 보안 도구 및 시스템으로 인한 서비스 중단은 드물지 않습니다.
2021년에는 50% 이상의 기업 보안 도구로 인한 운영 중단이 보고되었습니다.주니퍼 네트웍스는 코드 무결성에 문제가 있었습니다.McAfee는 한때 크라우드스트라이크 결함과 비슷한 문제를 겪었습니다.솔라윈즈, 우와.한 주요 WiFi 회사에서 최근 대규모 정전이 발생했습니다.시트릭스 블리드.VM웨어 호라이즌의 Log4Shell.그리고 불쌍한 이반티는 최근 어려움을 겪고 있습니다.현재 보고된 정전 발생률은 아마도 50% 를 훨씬 상회할 것입니다.
에서 이번 주 패널, Gartner 애널리스트들은 이 최신 문제를 “블랙 스완 (Black Swan)” 사건이라고 부르며 논의했습니다.그들은 IT 팀이 이와 같은 업데이트를 배포하기 전에 테스트해 볼 것을 제안했습니다.이러한 접근 방식은 확장되지 않을 것입니다.이러한 업데이트는 하루에 두 번 이상 출시되는 경우가 있어 배포가 지연되면 공격자가 공격을 받을 위험이 커져 IT 팀에 과부하가 걸릴 수 있습니다.또한 가트너 분석가들은 다음과 같은 명백한 이유로 여러 엔드포인트 보안 제품의 사용을 권장하지 않았습니다.
- 센서가 두 개면 이런 일이 발생할 위험이 두 배로 늘어납니다.
- 비용이 많이 들 것입니다.
그 패널 중에 존 아마토 현 상태에 대한 대안을 고려하는 맥락에서 중요한 질문을 제안했습니다.그는 Crowdstrike를 밀어붙이려는 공급업체라면 다음과 같이 질문해야 한다고 제안했습니다.
“정확히 왜 당신의 제품이 이 문제에 영향을 받지 않는 걸까요?”
이것은 중요한 질문입니다.현재 엔터프라이즈 보안 아키텍처의 맥락에서 좀 더 일반적으로 질문해야 합니다.
최신 보안 아키텍처 채택
Crowdstrike 운영 중단으로 근본적인 결함이 드러났습니다. 바로 복잡한 엔드포인트 소프트웨어 설치에 지나치게 의존하고 있다는 것입니다.수십 년 동안 우리는 안티바이러스 (AV), 엔드포인트 보호 플랫폼 (EPP), 엔드포인트 탐지 및 대응 (EDR), 확장된 탐지 및 대응 (XDR) 을 계층으로 사용해 왔습니다.하지만 이러한 접근 방식 덕분에 카드 보관소도 취약해졌고, 복잡성 때문에 무너지기 쉽습니다.
오늘날의 요구와 위협을 해결하려면 근본적인 변화가 필요합니다.
- 엔드포인트 설치 간소화: 엔드포인트 소프트웨어에 복잡성을 가중시키지 마십시오.새로운 기능이나 에이전트가 업데이트될 때마다 운영 중단과 취약성 위험이 커집니다.
- 비즈니스 운영에 대해 다시 생각해 보세요. 인터넷은 현대 비즈니스의 생명선입니다.우리의 보안 전략은 이러한 현실을 방해하는 것이 아니라 이를 반영해야 합니다.
- 제로 트러스트 채택: 관리형 시스템과 비관리형 시스템 모두에서 작동하며 엔드포인트 소프트웨어 설치의 복잡성을 증가시키지 않고도 이러한 결함을 극복할 수 있는 제로 트러스트 액세스 모델입니다.
하지만 복원력이 더 뛰어난 보안 솔루션은 어떤 모습일까요?존 아마토 (John Amato) 의 질문에 우리는 이렇게 묻게 됩니다. “제품이 이 문제를 겪지 않으려면 정확히 무엇이 필요할까요?”우리가 찾아야 할 것은 다음과 같습니다.
- 커널에 구애받지 않는 운영: 운영 체제 커널 외부에서 작동하면 시스템이 “브릭킹”될 위험이 없어집니다.더 좋은 점은 추가 엔드포인트 소프트웨어를 설치할 필요 없이 로컬 운영 체제와 독립적으로 작동한다는 것입니다.
- 임시 세션: 저장된 상태에 결함이 있거나 악의적인 소프트웨어가 보존되지 않도록 각 사용자 세션과 함께 인스턴스화, 오케스트레이션 및 폐기해야 합니다.
- 강력한 위협 방지: 피싱 및 멀웨어 전달로부터 강력한 방어 기능을 제공합니다.
- 원활한 액세스: 사용자는 보안을 희생하지 않고도 필요한 리소스에 액세스할 수 있어야 합니다.즉, 기기나 네트워크에 관계없이 애플리케이션과 데이터에 대한 보안 액세스를 제공해야 합니다.
물론 이러한 제품이 모든 사용 사례에 적용되는 것은 아닙니다. CT 스캔 장비와 항공사 예약 시스템에는 설치된 소프트웨어가 필요합니다.물론 전자 투표기는 관리 및 보안이 필요합니다.모두 엔드포인트 보안 소프트웨어가 필요합니다.그러나 대다수의 최종 사용자 디바이스에서는 보안과 복원력을 우선시하는 가벼운 접근 방식이 실현 가능하면서도 필수적입니다.
올바른 질문하기
최종 사용자 컴퓨터에는 엔드포인트 보호가 필요하며 맬웨어, 피싱 및 소프트웨어 결함으로부터 사용자를 보호할 수 있어야 합니다.Crowdstrike 운영 중단에서 복구되면 보안 아키텍처를 다시 살펴보고 몇 가지 어려운 질문을 해보는 것이 좋습니다.
- 방화벽과 엔드포인트 소프트웨어 설치로 모든 문제를 너무 오랫동안 해결하려고 했나요?엔드포인트 소프트웨어가 오토파일럿으로 실행되도록 허용하고 있는 건가요?
- “보안 서비스 엣지”가 정말 제대로 작동할까요?VMware Horizon이나 CitrixBleed의 Log4Shell이 여전히 걱정되는 부분인가요?
- 제로 트러스트 이니셔티브는 어떻게 진행되고 있나요?사용자와 엔드포인트를 위협으로부터 보호하는 또 다른 방법이 있나요?
- 엄격한 네트워크 분리를 적용하면서도 VPN 연결을 사용하지 않고도 정보와 도구에 대한 액세스를 제공할 수 있을까요?
또한 사용자의 작업 방식을 재평가해야 할 때가 된 것 같습니다. 50% 의 사용자는 브라우저 내에서 모든 작업을 수행할 수 있습니다. 사용자의 80% 는 브라우저 내에서 작업의 80% 를 수행할 수 있습니다.마이크로소프트 윈도우는 여전히 주요 PC 운영 체제이지만, 구글 크롬과 마이크로소프트 엣지는 대부분의 작업을 처리하는 곳으로 떠올랐습니다.그 이후로 엔터프라이즈 브라우저 대부분의 작업자가 사용하는 주요 도구로 떠올랐습니다. 이제 브라우저에 대해 먼저 생각해야 할 때일 것입니다.
브라우저 우선 보안
엔드포인트와 네트워크 보안은 여전히 중요하지만, 업무 생활에서 브라우저의 역할이 커지고 있다는 사실을 무시할 수 없습니다.CrowdStrike 서비스 중단은 단일 소프트웨어 결함이 생산성을 저하시킬 수 있다는 점을 강조하면서 엔터프라이즈 브라우저 보안을 당사의 광범위한 위험 관리 전략에 통합해야 할 필요성을 강조했습니다.
단순히 엔드포인트 보안 소프트웨어를 더 많이 사용하는 것만으로는 해답이 아닙니다.대신 이미 있는 도구인 브라우저를 활용해 보겠습니다.구글 크롬, 마이크로소프트 엣지 또는 애플 사파리를 사용하고 계시다면 이미 적절한 도구가 준비되어 있을 것입니다.문제는 어떻게 하면 이 도구를 우리에게 유리하게 활용할 수 있느냐는 것입니다.
엔드포인트 보호 제품을 성급하게 교체하는 대신 다음 질문을 고려해 보십시오.
- 이러한 운영 중단의 영향을 줄일 수 있는 대안은 무엇이었을까요?
- 어떤 접근 방식을 통해 더 쉽고 저렴하게 복구할 수 있었을까요?
- 엔드포인트 소프트웨어 설치의 복잡성을 증가시키지 않으면서 이미 사용 중인 브라우저가 어떻게 도움이 될 수 있을까요?
CrowdStrike가 이 문제를 해결할 가능성이 높지만 사전 조치를 모색하는 것이 현명합니다.
효과적인 엔터프라이즈 보안은 엔드포인트와 네트워크를 보호하고 제어해야 합니다.크라우드스트라이크와 마이크로소프트는 검증된 EPP 옵션입니다.여전히 다양한 네트워크 보안 제공업체가 있습니다.하지만 기업 브라우저는 누가 보호하고 있을까요?우리 대부분이 업무 시간의 대부분을 소비하는 브라우저 역시 관리 및 보호되어야 합니다.
브라우저 분야에서는 정말 단 하나의 선택이 있습니다. 멘로 시큐리티 및 보안 클라우드 브라우징.Menlo는 관리형 시스템과 비관리형 시스템 모두에서 비즈니스에 적합한 방식으로 보안 아키텍처에 브라우저 컨텍스트를 추가합니다.레거시 접근 방식이 실패하고 때로는 스스로 위험을 초래하는 곳에서도 Menlo는 사용자와 기업에 필요한 안전과 액세스를 제공합니다.Menlo Security를 사용하면 전 세계가 타협 없이, 그리고 컴퓨터를 손상시킬 수 있는 추가 위험 없이 안전하게 연결하고, 소통하고, 협업할 수 있습니다.
보안 아키텍처에 브라우저를 추가하는 것에 대한 다른 사람들의 의견을 확인하십시오. 콜파이어의 최근 연구 아니면 이거 기가옴의 분석.
엔터프라이즈 브라우저 솔루션에 대해 자세히 알아보고 브라우저 보안을 통해 공격 및 “블랙 스완” 소프트웨어 결함에 대한 비즈니스 탄력성을 높이는 방법을 자세히 알아보십시오. 옴디아 보고서.