사이버 보안은 전략과 적응의 끊임없는 도전입니다.위협 행위자는 취약점을 발견하고, 결국 보안 공급업체가 취약점을 막습니다.공격자들은 네트워크에 침입할 수 있는 다른 방법을 찾게 되고, 그 취약점을 보완하기 위한 패치도 발행됩니다.등등 등등.사이버 보안을 까다롭고 인기 있는 기술로 만드는 것은 바로 이러한 상황과 그에 따른 적응력 때문입니다.보안 팀이 변화하는 환경을 간과하고 적의 전술에 대응하여 전략을 조정하는 것을 게을리할 때 문제가 발생합니다.
최근의 변화는 우리가 일하는 방식을 중심으로 이루어지고 있습니다.사용자들은 사무실로 차를 몰고 가서 데스크톱을 켜고 기업 데이터 센터에서 사전 승인된 소규모 엔터프라이즈 애플리케이션 포트폴리오에 액세스하곤 했습니다.경계가 강화되어 외부로 향하는 제한된 수의 액세스 포인트가 보호되어 네트워크 침해가 어려워졌습니다.이제는 집에서나 이동 중에도 주로 브라우저를 사용하여 업무를 수행하고 있으며, 조직마다 다르긴 하지만 대부분의 경우 사무실이 차지하는 비중은 1/3에 불과합니다.애플리케이션은 클라우드에 있고, 중요한 비즈니스 기능은 SaaS (Software as a Service) 플랫폼에 아웃소싱되며, 우리는 일상 업무 수행 방식에 어디에나 있는 웹 기반 플랫폼을 통해 소통하고 협업합니다.
위협 행위자를 위한 새로운 기회
위협 행위자들은 우리의 업무와 삶이 점점 더 분산되고 온라인에서 액세스할 수 있게 되었다는 사실을 간과하지 않습니다.이들은 이러한 분산 모델을 구현할 수 있도록 브라우저가 크게 발전했으며, 사용자가 브라우저 내에서 그 어느 때보다 많은 작업을 수행할 수 있도록 하는 고급 기능을 추가했다는 사실을 알고 있습니다.그리고 사이버 보안 산업이 이러한 변화에 발맞춰 진화하지 못했다는 것도 잘 알고 있습니다.
웹 브라우저가 발전하고 확산되기 전에는 대부분의 공격이 이메일이나 플로피 디스크 또는 USB 썸 드라이브와 같은 물리적 미디어를 통해 전달되었습니다. 기존의 보안 도구는 이러한 위협 벡터에 적절하게 초점을 맞추어 네트워크와 엔드포인트를 보호하는 강력한 기능을 구축했습니다.하지만 시대는 변했습니다.Forrester에 따르면 기업 직원들은 디바이스 사용 시간의 75% 를 웹 브라우저에서 보냅니다.
이러한 변화와 보안 공급업체가 증가하는 위협 표면에 적응하지 못함에 따라 위협 행위자들은 놀라운 속도로 웹 브라우저를 표적으로 삼고 있습니다.Verizon 2022 데이터 침해 조사 보고서에 따르면 주로 웹 브라우저를 통해 액세스하는 웹 애플리케이션과 이메일이 보안 침해의 주요 공격 경로를 구성하며, 이러한 사고의 80% 이상을 차지합니다.이러한 회피 위협은 방화벽, URL 필터링, 샌드박스 분석, 시그니처 기반 AV 엔진과 같은 기존의 탐지 기반 기술을 우회하기 위해 특별히 설계되었습니다.이러한 공격은 시간이 지나면서 새로운 위협 벡터와 취약점을 악용하기 때문에 비정상적인 행동을 제때 탐지하기가 극히 어렵습니다.
이들의 목표는 보호되지 않는 웹 브라우저를 대상으로 하여 엔드포인트에서 초기 발판을 마련하는 것입니다.거기서부터 그들은 잠깐 누워 네트워크를 몰래 관찰하여 잠재적 표적을 찾습니다.몇 초든 몇 달이든 적절한 시기가 되면 페이로드를 전송하여 비즈니스 시스템을 하이재킹하거나 사용자를 차단하거나 귀중한 데이터를 유출할 수 있습니다.
진화의 실패
오늘날의 애자일 세상에서는 웹 브라우저를 통해 웹 기반 도구에 빠르고 안정적으로 액세스할 수 있어야 합니다.이를 통해 기업 및 기타 조직은 데이터에 기반한 의사 결정을 신속하게 내려 시장 기회가 발생할 때 이를 활용할 수 있습니다.기존의 보안 도구가 비즈니스 민첩성을 저해하는 요소로 인식되는 경우가 점점 더 많아지고 있습니다. 따라서 보안 및 인증 정책은 신뢰성이 의심되는 경우 생산성을 저해하지 않기 위해 액세스 권한을 부여하는 편에서 오류를 범하는 경향이 있습니다.오늘날의 위협 행위자들은 운영과 보안 간의 이러한 충돌을 이용하여 사용자와 기존 보안 도구를 속여 자신이 무해하다고 생각하도록 합니다.이렇게 하면 브라우저를 통해 엔드포인트에 처음 액세스할 수 있으며, 여기서 원하는 대로 후속 공격을 시작할 수 있습니다.
사용자를 위협하고 레거시 보안 기술을 쉽게 우회하기 위한 이러한 혁신적이고 매우 효과적인 접근 방식을 고도로 회피적인 적응 위협 (HEAT) 이라고 합니다.
HEAT 공격은 위협 행위자가 기존 보안 솔루션을 우회하고 다음과 같은 네 가지 특징을 통해 브라우저를 통해 초기 발판을 확보할 수 있도록 합니다.
URL 필터링 회피
URL 필터링 솔루션은 웹 사이트의 평판을 보고 클릭 한 번으로 허용 또는 차단 결정을 내립니다.이 기술의 문제점은 도메인의 평판이 정적이라고 가정하지만 실제로는 동적이라는 것입니다.위협 행위자는 웹 사이트를 구축하여 시간이 지남에 따라 좋은 평판을 얻게 한 다음 언젠가는 악성 콘텐츠를 추가하는 방식으로 URL 필터링 솔루션을 회피합니다.평판 엔진이 이를 따라잡을 때까지 해당 웹 사이트를 방문하는 방문자는 보안 위협에 노출됩니다.같은 맥락에서 공격자는 이미 평판이 좋은 합법적인 웹 사이트를 손상시키고, 악성 콘텐츠를 삽입하고, 다른 사람의 좋은 평판을 통해 이러한 웹 사이트를 도용할 수도 있습니다.
URL 필터링의 예는 다음과 같습니다. 레거시 URL 평판 회피 (루어).최근 공격은 Google 검색을 통해 게임 검색 결과를 통해 Amazon Web Service (AWS) 사용자의 로그인 자격 증명을 도용하여 악성 웹 사이트를 순위에서 상위에 올렸습니다. 이는 대개 Amazon 자체 유료 검색 결과 다음으로 높은 순위에 올랐습니다.사용자들은 속아서 순위가 높은 결과가 합법적이라고 생각했습니다.
이메일 보안 도구 회피
이메일 보안 도구는 피싱 링크 및 기타 멀웨어를 식별하고 차단하는 데 훨씬 더 향상되었습니다.악의적인 공격자는 이러한 강력한 솔루션을 망가뜨리려 하지 않고 문자 메시지, 소셜 네트워크, 커뮤니케이션 및 협업 앱 (예: Slack 또는 Microsoft Teams) 과 같은 다른 채널을 통해 피싱 링크와 문서를 전송하여 우회합니다.여러 채널을 통한 요청으로 사용자 또는 사용자 그룹의 부담을 가중시킬 수 있기 때문에 누군가 실수를 저지를 가능성이 커집니다.단 한 명의 사용자가 Google 문서에서 훼손된 댓글, 가짜 LinkedIn 연결 요청 또는 허위 Netflix 계정 인증 호소를 클릭하기만 하면 네트워크가 무력화된다는 점을 기억하세요.
가장 일반적인 예 중 하나는 멀티 팩터 인증 (MFA) 바이패스.MiTM (Man-In-the-Middle) 또는 싱글 사인온 (SSO) 사칭이라고도 하는 MFA 우회 공격은 사용자가 가짜 요청에 인증 토큰을 제공하여 민감한 데이터 및 시스템에 액세스하도록 유도합니다.이러한 요청은 이메일 보안 솔루션 범위를 벗어난 채널을 통해 전달될 수 있으므로 탐지를 피할 수 있습니다.
파일 기반 검사 및 샌드박싱 회피
파일 기반 검사 및 샌드박싱을 통해 보안팀은 브라우저에 도달하기 전에 안전한 환경에서 의심스러운 파일을 식별하고 분석할 수 있습니다.그러나 위협 행위자들은 분석을 회피할 수 있는 다양한 방법을 고안해 냈습니다. 예를 들어 악성 페이로드를 사후에 재구성하기 전에 여러 조각으로 나누어 전달하는 것부터 악성 파일에 단순히 암호를 추가하는 것까지 말입니다.파일을 분석할 수 없는 경우 대부분의 조직은 생산성 측면의 실수는 괜찮고 그대로 방치합니다.위협 행위자는 이 사실을 알고 있기 때문에 장애물을 일으키거나 악의적인 의도를 흐리게 하기 위해 할 수 있는 일은 무엇이든 성공할 가능성이 높습니다.
이러한 유형의 공격의 두 가지 예는 다음과 같습니다. HTML 스머글링 과 암호로 보호된 악성 파일.위협 행위자는 HTML 밀수를 사용하여 유명 브랜드를 가장하여 멀웨어를 유포합니다.악성 파일을 파일 기반 검사 솔루션에서 유용하다고 간주하는 작은 Javascript 블럽으로 분해하는 방식으로 작동합니다.하지만 파일이 초기 탐지 엔진을 통과하면 브라우저 수준에서 동적으로 재구축됩니다.그때쯤이면 이미 늦었죠.같은 맥락에서 위협 행위자는 브라우저를 통해 암호로 보호된 모든 파일을 다운로드할 수 있도록 허용하는 정책을 활용하여 암호로 보호된 파일에 악성 링크를 삽입하여 이메일 게이트웨이 솔루션, SWG (Secure Web Gateways) 및 샌드박스를 회피할 수 있습니다.
HTTP 검사 회피
HTTP 검사는 웹 사이트를 사용자의 브라우저에 렌더링하기 전에 악의적인 콘텐츠가 있는지 분석하는 것과 거의 같은 방식으로 작동합니다.위협 행위자는 자동화된 개체가 웹 사이트에 액세스하거나 양식에 데이터를 입력하지 못하도록 하는 보안 문자 게이트웨이를 추가하는 등 기존 보안 솔루션의 검사를 방해하는 다양한 방어 수단을 사용할 수 있습니다.다시 말씀드리지만, 대부분의 조직은 업무를 처리하는 데 어려움을 겪기 때문에 검사할 수 없는 웹 사이트를 브라우저로 내버려 둡니다.위협 행위자가 해야 할 일은 HTTP 검사 엔진을 통과할 때까지 기다린 다음, 어떤 상황에서든 페이로드를 전달하는 것뿐입니다.
앞으로 나아갈 길
오늘날의 위협 행위자는 기존 보안 솔루션의 기능을 넘어서고 진화한 것이 분명합니다.탐지 기반 접근 방식에만 의존하는 사이버 보안 전략에는 본질적으로 결함이 있다는 것도 분명합니다.HEAT 공격이 회피 및 적응하여 브라우저를 통해 초기 보안 침해를 일으키고 나면 너무 늦습니다.거기서부터 이들은 자유롭게 네트워크를 관찰하고 더 유망한 표적을 찾기 위해 네트워크를 통해 측면으로 확산할 수 있습니다.단 한 명의 사용자가 손상된 링크를 클릭하기만 하면 가장 소중한 자산을 위험에 빠뜨릴 수 있습니다.
대신 조직은 탐지 외에도 예방적 사이버 보안 전략을 사용하여 위협 행위자가 처음 액세스하지 못하도록 막아야 합니다.대부분의 공격은 브라우저를 통해 이루어지므로 첫 번째 방어 계층으로 브라우저를 시작하는 것이 좋습니다.
HEAT 공격은 기존의 탐지 도구를 우회하고 브라우저를 손상시킬 다른 방법을 찾기 위해 지속적으로 적응하도록 설계되었으므로 최신 보안 솔루션은 악의적인 행위자가 액세스 권한을 얻기 전에 테이블에 카드를 놓도록 속여야 합니다.핵심은 사용자가 손상된 링크를 클릭하거나 악성 파일을 다운로드하는 것처럼 가장하여 사용자 상호 작용을 모방하는 것입니다.하지만 피해자가 될 수 있는 엔드포인트에서 멀리 떨어진 안전한 환경에서 작업을 수행하고 있습니다.이렇게 하면 공격자가 강제로 손을 댈 수 있기 때문에 적절한 조치를 취해 공격이 접근하기 전에 공격을 중단시킬 수 있습니다.
기대의 기술을 익히기
웹 브라우저는 널리 보급되고 강력해짐에 따라 고유한 보안 수준이 필요합니다.이러한 차세대 브라우저 보안 솔루션은 현재 대부분의 작업이 이루어지는 클라우드 기반이어야 합니다.이를 통해 사무실, 집, 고객 사이트, 이동 중 등 비즈니스를 수행하는 모든 곳에서 보안 프로토콜이 사용자를 추적할 수 있습니다.이제 클라우드 기반 SWG (Secure Web Gateway) 내에 격리 기술을 구현할 수 있습니다.
그렇다면 이러한 맥락에서 절연 기술이란 무엇일까요?이는 조직이 클라우드의 원격 브라우저를 통해 모든 웹 콘텐츠에 액세스할 수 있도록 하는 접근 방식입니다.이를 통해 사용자와 잠재적 온라인 위협 사이에 보호 계층을 효과적으로 배치할 수 있습니다.악성이든 아니든 모든 콘텐츠는 이 원격 환경에서 격리됩니다.이를 통해 안전한 장소에서 사용자 상호 작용을 시뮬레이션하여 악의적인 행위자가 실제 사용자의 시스템에 해를 끼치지 않고 자신의 의도를 드러내도록 유도할 수 있습니다.
또한 격리 기술은 인터넷이 예상대로 작동하는 기본 사용자 경험을 보존합니다.네트워크 보안 관리 스택에 불필요한 복잡성을 가중시키지 않아 더 원활하고 안전한 브라우징 경험을 제공합니다.
하지만 가장 중요한 것은 웹 브라우저 내에서 일어나는 일에 대한 가시성과 통제력을 확보하는 것입니다.대부분의 조직은 다른 보고 메커니즘의 로그를 통해 다른 보안 이벤트를 세밀하게 파악할 수 있습니다.보안팀은 이러한 가시성과 제어 기능을 브라우저까지 확장해야 합니다.도구를 사용하여 브라우저 내부의 가짜 로고, 마스킹된 도메인 및 기타 의심스러운 활동을 식별하여 피싱 시도를 식별하세요.이는 브라우저가 계속해서 기능을 추가하고 더욱 강력해짐에 따라 특히 중요합니다.그러나 기존의 보안 도구는 허용 또는 차단 결정을 내리는 반면, 차세대 브라우저 보안 솔루션은 생산성에 영향을 주지 않으면서 사용자를 보호할 수 있도록 클릭 시 보다 미묘한 결정을 내려야 합니다.
컨텍스트가 왕입니다.그리고 이러한 정보는 브라우저가 수행하는 모든 기능에 대한 가시성을 통해서만 수집할 수 있습니다.무슨 일이 일어나고 있고 HEAT 공격이 어떻게 액세스 권한을 얻으려고 하는지 정확히 알게 되면 세분화된 정책을 통해 조치를 취할 수 있습니다.콘텐츠를 읽기 전용 모드로만 전송할 수도 있습니다.북미 이외 지역에서 오는 모든 요청을 차단할 수도 있습니다.또는 특정 애플리케이션이나 웹 트래픽을 차단할 수도 있습니다.거기서부터는 사람들이 항상 자신이 말하는 그대로인지 확인하기 위해 지속적인 인증을 거쳐야 합니다.
보호를 위한 단계적 접근 방식
조직의 현재 보안 전략에 보호 격리 계층을 추가하는 것은 매우 간단할 수 있으며 보안 스택을 완전히 점검할 필요가 없습니다.격리 기반 플랫폼을 통해 트래픽을 전달하는 것만큼 간단합니다.이를 통해 기존 보안 도구가 남긴 보안 격차를 쉽게 메울 수 있습니다.방화벽을 통해 제공되거나 클라우드 기반 SWG 앞에 제공될 가능성이 높으므로 기존 탐지 도구를 회피한 HEAT 공격이 아무리 많아도 격리를 통해 브라우저를 보호할 수 있습니다.사용자, 장치, 애플리케이션 또는 위협 행위자의 위치 (예: 기업 데이터 센터 내부 또는 외부) 에 상관없이 항상 보호받을 수 있습니다.