월드 투어:
Menlo의 보안 엔터프라이즈 브라우저를 통해 어떻게 공격자보다 한 발 앞서 나갈 수 있는지 실시간으로 살펴보세요.
사이버 위협 환경은 끊임없이 변화하고 있습니다.눈 깜짝할 사이에 수천 건의 사이버 위협 중 오래된 것이든 새로운 것이든 상관 없습니다. 오늘의 공격 보안 팀이 준비해야 하는 상황입니다.사용자, 데이터 및 비즈니스 크리티컬 애플리케이션을 클라우드로 끌어들인 디지털 혁신 이니셔티브의 가속화를 고려할 때 이러한 위협에 대응하는 것만으로도 힘들고 벅찬 책임입니다.현실을 직시하자. 오늘날의 엔터프라이즈 네트워크는 기업에 엄청난 규모와 기회를 제공하지만 위협 행위자에게는 훨씬 더 많은 가능성을 제공합니다.
오늘날 보안의 가장 큰 문제는 대다수 조직이 전략적, 기술적 관점에서 네트워크를 보호하기 위해 취하는 기존 접근 방식입니다. 이러한 접근 방식은 사이버 위협을 탐지하고 대응하는 데 확고히 자리 잡았습니다.우리 모두가 잘 알고 있듯이, 보안 실무자들은 최근 헤드라인을 휩쓸었던 보안 침해를 막아준다고 주장하는 신기술 형태의 반짝이는 물체 때문에 쉽게 주의가 산만해집니다.지난 5년 동안 발생한 가장 큰 보안 침해 사례를 몇 가지만 생각해 보면 한 가지 공통된 주제가 있습니다. 바로 랜섬웨어입니다.랜섬웨어의 등장은 지난 10년 동안 전 세계 기업, 정부 기관 및 전 세계 일반 시민들을 망가뜨리며 중심을 잡았습니다.
랜섬웨어가 조직에 미칠 수 있는 파괴적이고 오래 지속되는 영향과는 별개로, 아마도 더 큰 문제는 이러한 모든 사이버 보안 노력에도 불구하고 랜섬웨어가 여전히 전통적인 방어 체계를 통과한다는 것입니다.
오늘날 조직은 랜섬 요청이 마침내 최종 사용자의 화면에 들어오는 날을 두려워하며 민감한 정보를 계속 제어하기 위해 데이터 센터를 백업하여 이에 대비하고 있습니다.랜섬웨어는 우리의 관심을 끄는 반짝이는 물체입니다.하지만 우리는 애초에 공격이 일어날 수 있는 영역에 초점을 맞추지 못했습니다.
랜섬웨어 공격은 사이버 보안을 정의하는 시대로 간주되며, 모든 기업, 소비자 및 장치에 영향을 미치는 가장 빠르게 성장하는 유형의 사이버 범죄입니다. 2016년 이후 미국에서는 매일 4,000건의 랜섬웨어 공격이 발생했습니다., a에 따르면 미국 국방부 보고서 정의의.에 의한 추정치 사이버 보안 벤처 포인트 에 2021년에 11초마다 기업에 영향을 미치는 랜섬웨어2032년에는 공격 빈도가 2초 간격으로 가속화될 것으로 예상됩니다.이는 2021년에는 랜섬웨어와 관련된 비용이 200억 달러, 2031년에는 최대 2,650억 달러에 달할 수 있습니다.
이러한 공격의 대부분이 처음에 어떻게 시작되는지 잊지 마세요. 바로 피싱 메시지입니다.에 따르면 버라이존의 2021년 데이터 침해 조사 보고서 (DBIR), 피싱은 작년 보안 침해에서 가장 많이 발생한 “행동 유형”입니다.또한 보안 침해의 43% 는 피싱 및/또는 프리텍스트팅과 관련이 있습니다.이 중 약 96% 피싱 메시지는 이메일로 도착하는 경향이 있습니다 현대 기업 커뮤니케이션의 핵심이며 악성 PDF와 Microsoft Office 파일이 포함되어 있습니다.이러한 유형의 파일은 현대 업무 환경에서 보편적으로 알려지고 신뢰되기 때문에 오늘날의 위협 행위자들이 선택하는 전송 수단입니다.
이러한 공격이 전 세계 기업, 정부 기관 및 일반 대중에게 계속해서 피해를 입히고 있는 가운데 위협 행위자들은 이를 포기하지 않고 있습니다.사이버 범죄자들에게도 공격 전술이 통하면 그들은 이를 고수하는 경향이 있는데, 랜섬웨어의 경우도 마찬가지였습니다.다음과 같은 위협 그룹 다크사이드, 노벨륨, 콘티, 그리고 지금은 없어진 리빌 몇 번이고 성공하여 수백만 달러의 수익을 올렸습니다. 원근감 있게 설명하자면 평균 몸값 수요 이러한 공격과 관련된 금액은 20만 달러입니다.
디지털 공격에 가담한 것은 정교한 위협 그룹만이 아닙니다.구매자가 이미 개발된 랜섬웨어 도구를 활용하여 공격을 시작할 수 있게 해주는 구독 기반 모델인 서비스형 랜섬웨어 (RaaS) 덕택으로, 이 중 60% 는 랜섬웨어 공격 분석 보안 회사 Sophos는 RaaS 그룹에 속한다고 주장했습니다.
2019년부터 2020년까지 에 의한 분석 워싱턴 포스트 랜섬웨어 공격이 두 배 이상 증가했다는 사실을 발견했습니다. 그리고 판도라의 상자가 제대로 열리기 전이었습니다.COVID-19 글로벌 팬데믹이 닥친 후, 위협 행위자에게 디지털 문이 열리고 위협 시장에 진화를 가져온 완벽한 폭풍이 몰아쳤습니다.
2020년 전 세계 전체 인력이 원격 근무로 전환했을 때 조직은 웹 브라우저만 있으면 표면적으로는 언제 어디서나 업무 수행에 필요한 정보에 액세스할 수 있도록 앱과 서비스를 클라우드로 마이그레이션하여 새로운 비즈니스 모델로 빠르게 전환할 수 있었습니다.오피스는 근본적으로 브라우저가 되었고, 원격으로 일하는 사람들에게 리소스의 세계를 열어주었습니다.그 이후로 구글l그는 보고했다 최종 사용자는 하루 중 평균 75% 를 웹 브라우저를 사용하여 보냅니다.
또한 원격 및 하이브리드 작업이 표준이 되면서 SaaS (Software as a Service) 애플리케이션이 폭발적으로 증가했습니다. 최근 연구에 따르면 그 2021년 말까지 조직의 99% 가 하나 이상의 SaaS 솔루션을 사용할 예정이며, 중소기업의 약 78% 가 이미 SaaS 옵션에 투자했습니다.
오늘날 사용자, 데이터 및 애플리케이션은 모두 클라우드에서 찾을 수 있습니다.이 모든 작업이 클라우드에서 수행되고 있지만, 오늘날에도 여전히 많이 의존하고 있는 기존의 보안 수단이 없는 곳이기도 합니다.취약점을 해결하기 위해 웹 브라우저가 지속적으로 업데이트되고 SaaS 애플리케이션이 공격 범위를 더욱 확장함에 따라 보호해야 할 작업과 데이터가 더 많이 분산되고 있습니다.위협 행위자들은 이러한 패러다임 변화를 이해하고 있으며 랜섬웨어, 익스토션웨어 및 기타 엔드포인트 침해를 시작하기 위한 교두보로 사용되는 HEAT (Head Evasive Adaptive Threat) 를 만들어 이에 적응해 왔습니다.
HEAT 공격은 2020년 SolarWinds 공급망 공격의 배후로 러시아 정부가 승인한 조직인 Nobelium과 같은 잘 알려진 위협 그룹과 2021년 7월부터 10월까지만 해도 수천 개의 다른 공격 그룹에 의해 활발히 활용되고 있습니다.그리고 또 다른 문제가 있습니다. 부트로더 캠페인SEO 중독을 활용하여 손상된 웹 사이트에 대한 높은 수준의 페이지 순위를 생성하는 HEAT 공격의 또 다른 전형적인 예입니다.이 특정 캠페인은 다음과 같은 것으로 알려져 있습니다. ReVil 랜섬웨어 배포.
HEAT 공격은 웹 브라우저를 공격 벡터로 활용하고 다양한 기술을 사용하여 현재 보안 스택에서 여러 계층의 탐지를 회피하는 사이버 위협의 일종입니다..따라서 히트 기반 공격은 기존의 웹 보안 조치를 우회하고 웹 브라우저 기능을 활용하여 멀웨어를 전달하거나 자격 증명을 손상시킵니다.이로 인해 랜섬웨어가 전송되는 경우가 많습니다.
Menlo Labs 팀은 50만 개 이상의 악성 URL을 분석한 결과, 그 중 69% 가 HEAT 전략을 활용하고 있다는 사실을 확인했습니다.또한 팀은 다음을 관찰했습니다. 2021년 하반기에는 HEAT 공격이 224% 증가했습니다.
위협 행위자는 새로운 도구를 개발하지 않고 대상 환경에 적응하여 악성 콘텐츠를 엔드포인트에 전송할 수 있습니다.최근의 웹 기반 위협에서 볼 수 있듯이 공격자는 브라우저 환경에서 사용할 수 있는 합법적인 기능과 도구를 이용하여 악성 페이로드를 엔드포인트에 전송하고 있습니다.완벽한 예가 바로 다음과 같습니다. 아스타로스 뱅킹 트로얀, 어느 HTML 밀수를 사용합니다 네트워크 기반 탐지 솔루션을 통해 악성 페이로드를 몰래 훔쳐가는 것입니다.
역사적으로 Astaroth는 지상에 존재하는 위협으로 알려져 왔습니다. 즉, 일단 엔드포인트에서 실행되면 엔드포인트 내에서 사용할 수 있는 합법적인 도구와 프로그램을 활용하여 악의적인 행동을 수행합니다.Astaroth 행위자들은 이제 엔드포인트에서 한 걸음 더 나아갔습니다. 즉, 합법적인 HTML5/JavaScript 기능을 활용하여 악성 페이로드를 엔드포인트로 밀수하는 HTML 밀수를 사용하여 브라우저에 동일한 전술을 적용했습니다.이 새로운 전략은 현대의 위협이 표적 환경에 적응하고 있음을 보여줍니다.
최근 몇 달 동안 HEAT 공격의 속도, 규모 및 복잡성이 증가했습니다. 악의적인 행위자들이 최근 원격 근무로의 전환을 악용하여 업무용 컴퓨터와 개인용 컴퓨터 사용의 경계가 모호해졌기 때문입니다.지난 10년간 네트워크 보안을 고려할 때 실제로 발전한 것은 샌드박스뿐이었습니다. 샌드박스는 HEAT 공격과 관련해서는 완전히 쓸모가 없는 도구입니다.그 이유는 무엇일까요?운영 체제 수준의 활동에 의존하여 악성 콘텐츠를 모니터링하고 식별하기 때문입니다.
HEAT 공격은 오늘날의 기존 보안 스택의 다양한 계층을 우회하는 방식으로 구성됩니다.공격자는 이러한 계층을 쉽게 통과하여 웹 브라우저에 도달하고 실행되어 엔드포인트 또는 최종 사용자 앞에 도달할 수 있습니다.HEAT 공격은 10년 이상의 보안 기술 투자를 완전히 무효화합니다.
HEAT 공격의 경우 브라우저 자체에 도달하기 전에 작동하는 모든 보안 방어는 무력합니다.여기에는 SWG (Secure Web Gateway) 바이러스 백신 엔진 및 샌드박스에서 수행하는 파일 검사, 네트워크 및 HTTP 수준 검사, 악성 링크 분석, 오프라인 도메인 분석, 침해 지표 (IOC) 피드로 수행하는 파일 검사가 포함됩니다.HEAT 공격은 이러한 기존 탐지 방법을 모두 우회하므로 기업에 대한 10년 이상의 기술 투자는 전혀 효과가 없습니다.그러나 모든 HEAT 특성은 합법적으로 사용되기 때문에 조직은 이러한 특성을 차단하는 기능에만 의존할 수 없습니다. 대신 조직은 특정 기술의 악의적인 사용을 방지할 수 있어야 합니다.
엔드포인트 보안으로는 웹 보안의 단점을 보완할 수 없습니다.향상된 기능을 제공하는 엔드포인트 탐지 및 대응 (EDR) 시장이 급성장하고 있을 수 있지만 HEAT 공격에 대한 보호가 보장되지는 않습니다.엔드포인트 보안은 위협이 엔드포인트에 도달한 후에만 위협을 탐지할 수 있습니다.그때쯤이면 네트워크가 전부 손상되었다고 가정해야 합니다.또한 엔드포인트 보안은 관리되지 않는 장치의 감염으로부터 보호할 수 없기 때문에 SOC (Security Operations Center) 팀이 조사해야 하는 대량의 경고가 발생하여 경보에 피로가 생길 수 있습니다.
오늘날의 보안 아키텍처는 여전히 심층적인 방어 기능을 제공해야 하지만, 조직에 완전하고 원활한 보호 혜택을 제공하려면 아키텍처의 모든 구성 요소가 동시에 작동해야 합니다.최근 몇 년 동안 네트워크 보안 기능의 효율성이 떨어지면서 엔드포인트와 SOC에 대한 압박이 가중되고 있습니다.주요 통신 벡터 전반에 걸쳐 네트워크 보안 스택에 예방 조치를 도입함으로써 조직은 엔드포인트 손상에 대한 부담을 줄이고 SOC 팀이 조사하고 에스컬레이션해야 하는 경고도 줄일 수 있다는 이점을 크게 누릴 수 있습니다.
HEAT 공격으로 분류되려면 위협이 기존 네트워크 보안 방어를 우회하는 다음 네 가지 회피 특성 중 하나 이상을 활용해야 합니다.
HEAT 공격은 종종 브라우저 환경 내에서 HTML 밀수 및/또는 JavaScript 속임수를 사용하여 악성 페이로드를 엔드포인트에 전달합니다.이렇게 하면 검사할 수 있는 원격 파일을 요청하지 않고도 브라우저에서 악성 파일을 구축하여 결과적으로 멀웨어를 전송하고 기존 프록시의 샌드박스 및 바이러스 백신을 비롯한 다양한 방화벽과 네트워크 보안 솔루션을 효과적으로 우회할 수 있습니다.또한 SWG 정책에 의해 차단된 것으로 간주되는 파일 형식은 여전히 사용자 개입 없이 엔드포인트에 도달할 수 있습니다.
Menlo Labs 팀은 광범위한 분석을 수행했습니다. 급증하는 HTML 밀수 사용 위협 행위자에 의해.최근 한 사례에서 팀은 새로운 캠페인을 관찰했습니다. 아이소모프 (Isomorph) 라고 함는 인기 있는 Discord 메시징 앱을 사용하여 악성 페이로드를 호스팅했습니다.이 캠페인은 “다운로드 가능한 BLOB” 전략을 활용하여 브라우저에서 파일을 구성하고 사용자 개입 없이 엔드포인트에 다운로드했습니다.Discord가 현재까지 3억 명 이상의 등록 사용자를 보유하고 있다는 점을 감안하면 이 캠페인의 도달 범위는 광범위했습니다.
HEAT 공격은 일반적으로 이메일 경로에 구현되는 악성 링크 분석 엔진을 우회합니다. 이 엔진에서는 엔드포인트 사용자에게 도달하기 전에 링크를 분석할 수 있습니다.HEAT 공격에서 사용자는 소셜 미디어 및 전문 웹 네트워크, 협업 애플리케이션, SMS, 공유 문서 등과 같은 이메일 외부의 통신 채널을 통해 악성 링크의 표적이 되거나 공격 대상이 됩니다.멀웨어를 기업 엔드포인트에 전송하여 결과적으로 기업 보안을 우회하기 위해 개인 자격 증명 대신 기업 자격 증명을 도용하는 데 이러한 악성 링크가 점점 더 많이 사용되고 있습니다.
에서 최근 사이버 위협 캠페인, 공격자들은 LinkedIn의 비즈니스 전문가에게 스피어피싱 전술을 활용했습니다.공격자들은 플랫폼의 다이렉트 메시징 기능을 통해 악성 링크를 이용한 가짜 구인 제안을 제시하여 궁극적으로 사용자를 백도어 트로이 목마로 감염시켜 공격자가 피해자의 컴퓨터에 대한 완전한 원격 제어를 할 수 있게 했습니다.이러한 선구적인 공격은 이메일 경로에 전혀 나타나지 않았으므로 해당 경로에서 발생할 수 있는 어떤 분석도 회피했습니다.
공격이 HTML 밀수와 결합되면 다운로드 중인 파일 및 콘텐츠를 분석하는 샌드박스는 잠재적 위험을 인식하지 못합니다.샌드박스는 HTML 페이지를 탐지하고 분석하지만, 네트워크 보안 제어 지점을 지나면 브라우저 내에서 동적으로 생성되는 파일을 볼 수 없습니다.
HEAT 공격은 기존의 양성 사이트를 손상시키거나 새 사이트를 만들어 악성 웹 사이트를 사용하여 웹 분류를 회피합니다. Menlo Labs 팀은 이를 레거시 URL 평판 회피 (LURE) 라고 부릅니다.위협 행위자가 이러한 웹 사이트를 활성화하기로 결정하면 짧은 시간 동안 악의적인 목적으로 해당 웹 사이트를 사용합니다.그런 다음 웹 사이트를 원래 콘텐츠로 되돌리거나 간단히 제거합니다.
Menlo Labs 팀은 LURE 전술을 활용하는 웹 사이트의 수가 137% 이상 증가한 것을 관찰했습니다. 2020년부터 2021, 및 이벤트 2019년부터 2021년까지 958% 로 크게 증가했습니다. 악성 웹 사이트는 수명이 짧기 때문에 웹 사이트 분석 및 분류를 회피하며 너무 늦어서 이미 관련이 없는 경우에만 침해 지표 (IOC) 로 나타납니다.
또한 애플리케이션에 오류 메시지를 기록하기 위한 Java 라이브러리인 Log4j에서 최근에 발견된 중대한 인터넷 제로데이 공격은 멀쩡한 웹 사이트에 대한 악용을 증가시킬 뿐입니다.Log4j를 활용하는 웹 사이트의 규모가 커짐에 따라 위협 행위자는 사이트를 추가로 손상시키고 악의적인 목적으로 사용할 수 있는 기회가 늘어나는 것을 악용할 것입니다.
비슷한 점에서 Menlo Labs는 다음을 조사했습니다. 솔라마커라는 액티브 위협 캠페인이는 SEO 중독을 유발합니다.이 캠페인은 악성 웹 사이트로 분류되어 인기가 낮은 여러 웹 사이트를 손상시킨 후 악성 콘텐츠를 감염시키는 것으로 시작되었습니다.그런 다음 위협 행위자가 이러한 웹 사이트의 순위를 인위적으로 높여 악성 콘텐츠가 많은 사용자에게 전달되었습니다.오프라인 분석 엔진이 해당 웹 사이트를 악성으로 분류하기 전에 SWG에 의해 이러한 웹 사이트에 대한 모든 액세스 권한이 부여되었습니다.
SolarMarker는 위협 행위자가 취약한 웹 사이트를 이용하여 캠페인을 시작하는 공급망 공격의 완벽한 예입니다.이 사례에서 공격자들은 기업의 클라우드 기반 애플리케이션 사용 증가 외에도 브라우저 사용의 증가를 악용할 방법을 찾았습니다.
HEAT 공격에서는 브라우저 익스플로잇, 암호화폐 채굴 코드, 피싱 키트 코드, 알려진 브랜드 로고를 가장한 이미지와 같은 악성 콘텐츠가 브라우저의 렌더링 엔진에 의해 브라우저의 JavaScript에 의해 생성되므로 웹 페이지 실행 또는 렌더링 이전의 탐지 기술은 무용지물이 됩니다.
Menlo Labs는 악의적인 목적으로 위장하는 상위 3개 브랜드가 마이크로소프트, 페이팔, 아마존이라는 사실을 확인했습니다.
따라서 이러한 HEAT 공격은 웹 페이지 소스 코드 및 HTTP 트래픽을 검사하는 정적 시그니처의 탐지를 피합니다.난독화된 JavaScript가 자주 사용되기 때문에 보안 연구자와 탐지 엔진 모두 어려움을 겪게 됩니다.
JavaScript는 거의 모든 웹 사이트에서 사용되는 유비쿼터스 클라이언트 측 스크립팅 언어이므로 위협 행위자는 당연히 이를 유리하게 사용합니다.의 최근 분석 HP 위협 연구팀 유사한 JavaScript 난독화를 활용하여 원격 액세스 트로이 목마를 전송하여 민감한 데이터를 사이펀하고 감염된 장치를 제어하는 위협 캠페인을 발견했습니다.RatDispenser라는 자바스크립트 로더는 탐지율이 낮은 자바스크립트 첨부 파일을 사용했습니다.
HEAT 공격의 감염 벡터는 수년 동안 조직을 괴롭혀 왔지만, 최근 가속화된 클라우드 마이그레이션 및 원격 근무의 확산으로 인해 위협 시장이 진화함에 따라 이러한 공격은 오늘날 기업에 가장 큰 위협이 되고 있습니다.앞서 언급한 것처럼 보안 웹 게이트웨이, 샌드박싱, URL 평판 및 필터링을 비롯한 기존의 모든 보안 기능은 HEAT 공격에 효과적이지 않습니다.문제는 HEAT 특성은 합법적으로 사용되기 때문에 단순히 차단하는 것만으로는 효과가 없다는 것입니다.이러한 용도를 아예 사용하지 않도록 하는 것이 관건입니다.
지식 근로자는 생산성을 유지하기 위해 웹 브라우저에 크게 의존합니다.그곳이 바로 업무가 이루어지는 곳이기 때문에 앞으로 가장 큰 보안 위협이 닥칠 곳입니다.하지만 한 가지 확실한 점은 오늘날 대부분의 보안 스택은 이러한 위협으로부터 보호할 수 없다는 것입니다.
현대 기업은 사이버 보안에 대한 접근 방식에 있어 현재의 익숙한 수준을 넘어서야 합니다. 이는 앞서 설명했듯이 지난 10년 동안 크게 변하지 않은 웹 보안을 둘러싼 그들의 오랜 원칙에 의문을 제기하는 것을 의미합니다.위협을 탐지하고 치료한다는 개념에만 기반을 둔 보안 전략은 이미 패배를 받아들였습니다.조직은 위협 방지를 주도해야 합니다.
현대적 작업을 보호하려면 최신 보안이 필요합니다.오늘날의 예방적 보안 조치에는 심층적인 방어 조치와 함께 보안이 발생하는 곳에서 생산성을 보호하는 제로 트러스트 접근 방식을 취하는 것이 포함됩니다.이것이 바로 오늘날 기업들이 점점 더 많이 채택하고 있는 이유입니다. 보안 액세스 서비스 에지 (SASE) 프레임워크, 어떤 기능이 있습니다 주요 보안 기술 구성 요소 오늘날의 원격 및 하이브리드 인력에 적합합니다.
보안은 사용자, 애플리케이션, 데이터에 근접하여 적용할 때 가장 효과적입니다.SASE는 기본적으로 연결 스택과 보안 스택을 통합하여 엣지로 이동합니다.실제로 SASE는 데이터 센터의 여러 어플라이언스 내부 또는 경계 지사에 있던 전체 레거시 보안 스택을 가져와 컨버지드 통합 스택으로 클라우드에 배치합니다. 이를 SASE Security라고 부릅니다.
더 SASE 보안과 제로 트러스트의 결합 모든 콘텐츠가 의심스럽고 기업 보안 제어의 대상이 되도록 하는 사고방식을 취하면 오늘날 네트워크 보안 스택의 기존 결함을 해결하고 궁극적으로 결과를 변화시키는 진정한 예방적 보안 접근 방식을 구현할 수 있습니다.
