디지털 혁신, 애플리케이션 현대화, 클라우드 마이그레이션, 새로운 분산된 인력으로 인해 주 및 지방 기관의 업무는 악의적인 활동에 더욱 취약한 인터넷으로 밀려나고 있습니다.위협 행위자는 이러한 확장된 위협 표면을 점점 더 악용하고 있습니다. 위협 행위자는 네트워크에 처음 액세스할 수 있게 되고, 이를 통해 위협이 더 유인되는 다른 표적으로 확산될 수 있습니다.
군비 경쟁의 이러한 격차에 기여하는 것은 무엇일까요? 보안 웹 게이트웨이 (SWG)웹 기반 위협에 대응하기 위한 기관의 일반적인 기본 도구입니다.그들은 오늘날 위협 행위자들의 날로 정교해지는 전술에 대응하는 임무를 감당하지 못하고 있습니다.
기존 SWG가 실패하는 이유와 오늘날의 웹 기반 위협으로부터 조직을 보호하기 위해 보안 팀이 해야 할 일을 알아보려면 계속 읽어보세요.
SWG란 무엇입니까?
에 따르면 가트너, 보안 웹 게이트웨이 (SWG) 솔루션은 웹 서핑 PC를 감염으로부터 보호하고 회사 정책을 적용합니다.이러한 솔루션은 사용자가 시작한 인터넷 트래픽으로부터 멀웨어를 필터링하고 기업 및 규제 정책을 준수하도록 하는 역할을 합니다.이러한 게이트웨이에는 최소한 URL 필터링, 악성 코드 탐지 및 필터링, 인기 있는 웹 기반 애플리케이션에 대한 애플리케이션 제어 기능이 포함되어야 합니다.
SWG가 왜 중요할까요?
그 점을 감안할 때 오늘날 보안 침해의 90% 는 웹과 이메일에서 비롯됩니다., SWG는 엔터프라이즈 보안 전략에서 점점 더 중요한 구성 요소로 떠오르고 있습니다.웹 기반 멀웨어, 드라이브 바이 공격, 자격 증명 도용, 가장 흔하고 파괴적인 유형의 공격에 대한 주요 방어선입니다. 랜섬웨어.조사에 따르면 2021년에는 조직의 70% 이상이 랜섬웨어 공격에 피해를 입었습니다. 2022년 사이버엣지 사이버 위협 방어 보고서 이는 2018년의 55% 에 비해 놀라운 증가율입니다.전 세계가 글로벌 팬데믹, 갈수록 변동성이 커지는 지정학적 긴장, 공급망 위기부터 인플레이션 상승에 이르는 기타 혼란으로부터 회복하기 위해 계속 고군분투하고 있는 이 시기에 이러한 공격은 기업 운영 중단, 공공 인프라 파괴, 조직에 수십억 달러의 몸값 지불 손실을 안겨줍니다.
SWG가 이러한 공격을 막을 수 있는 장비가 부족하다는 사실은 기업 리소스를 크게 고갈시킵니다.또한 사이버 위협 방어 보고서에 따르면 몸값을 지불하는 조직의 2/3는 어쨌든 결국 데이터가 인터넷에 노출되는 것으로 나타났습니다.이러한 위험을 줄일 수 있는 유일한 방법은 초기 보안 침해 발생을 막는 것입니다.
기존 SWG가 초기 보안 침해를 방지하는 데 적합하지 않은 이유는 무엇일까요?
전통적인 SWG는 더 이상 존재하지 않는 세상을 위해 10여 년 전에 설계되었습니다.10년 전만해도, 5년 전만 해도 대부분의 작업은 데이터 센터에서 이루어졌지만, 애플리케이션과 데이터가 분산되고 클라우드로 이전되면서 기존 SWG로는 감당할 수 없었습니다.그 결과 악의적인 행위자들은 이러한 탈중앙화를 자신에게 유리하게 이용하고 전술을 발전시켰습니다.이들은 이제 네트워크 엣지에서 탐지를 회피하는 데 매우 성공했으며, 이를 통해 브라우저의 취약점을 통해 최종 장치를 침해할 수 있습니다.그런 다음 이들이 해야 할 일은 페이로드를 전달하기에 적절한 시기가 될 때까지 인내심을 갖고 기다리며 천천히 환경을 조사하는 것뿐입니다.
위협 행위자는 SWG 탐지 기술을 구체적으로 어떻게 회피할까요?
전화 고도로 회피적인 적응형 위협 (HEAT), 이러한 공격은 기존의 웹 보안 조치를 우회하고 웹 브라우저 기능을 활용하여 멀웨어를 전송하거나 자격 증명을 손상시킬 수 있도록 매우 회피적인 기술을 사용하는 위협 행위자에 의해 사용됩니다.HEAT 공격이 성공하면 모든 브라우저 기반 보안 방어가 무력해집니다. 여기에는 샌드박스가 포함됩니다., 파일 검사, 네트워크 및 HTTP 수준 검사, 악성 링크 분석, 오프라인 도메인 분석 및 침해 지표 (IOC) 피드.
구체적인 기술에는 다음이 포함됩니다. HTML 스머글링, 보호되지 않는 채널 (예: 문자 메시지, 소셜 미디어, 전문 웹 네트워크, 협업 소프트웨어, SMS, 공유 문서, 공유 폴더, SaaS 플랫폼) 을 통해 악성 링크를 전송하고, 웹 페이지 소스 코드에 악성 콘텐츠를 숨기고, 악성 웹 사이트를 사용하여 정교한 멀웨어를 배포합니다.이러한 HEAT 공격은 기본적으로 눈에 잘 띄지 않게 숨어 있기 때문에 기존 SWG를 속여 합법적인 트래픽인 것으로 간주할 수 있습니다.
그렇다면 해결책은 무엇일까요?HEAT 공격으로부터 조직을 보호하려면 어떻게 해야 할까요?
모든 것이 사라진 것은 아닙니다.기존 SWG는 알려진 위협을 기반으로 차단/허용 의사 결정 트리에서 작동하지만 새로운 유형의 클라우드 네이티브 SWG 솔루션은 알려지지 않은 위협까지 보호 범위를 확장합니다.이러한 클라우드 네이티브 SWG 솔루션은 모든 콘텐츠가 악성이라고 가정하는 격리 기술을 활용하여 허용 또는 차단 결정을 내릴 필요가 없습니다.악의적이든 아니든 모든 콘텐츠는 클라우드의 원격 브라우저에 격리됩니다.
최종 장치에 액세스할 수 없기 때문에 탐지 여부에 관계없이 모든 맬웨어는 효과적으로 중성화됩니다.단순히 초기 보안 침해를 저지하거나 의도한 페이로드를 전달할 수 없다는 것뿐입니다.또한 대부분의 콘텐츠는 인터넷이나 이메일을 통해 전송되므로 클라우드 네이티브 제어 지점을 통해 트래픽을 라우팅하면 조직은 성능이나 사용자 경험에 영향을 주지 않고 모든 트래픽과 모든 사용자에게 적절한 정책을 적용할 수 있습니다.
격리 기술을 사용하는 클라우드 네이티브 SWG 솔루션이 조직을 보호할 수 있을까요?
글쎄요, 아니에요. 모든 SWG가 동일하게 제작되는 것은 아닙니다.대부분의 솔루션은 여전히 탐지 및 대응 방식을 기반으로 하며, 예를 들어 위험하거나 알려지지 않은 사이트를 격리하는 등 규칙에 따라서만 콘텐츠를 격리합니다.
평판이 좋은 웹 사이트에서 전송되어 최근에 훼손된 악성 콘텐츠를 차단하지 못하거나 웹 페이지의 소스 코드에서 난독화된 악성 코드를 찾지 못할 수 있습니다.이 시점에서 위협은 이미 페이로드를 엔드포인트로 전달하고 조직 전체로 이동하기 시작했을 가능성이 큽니다.위협 행위자가 악용의 전문가가 된 정확한 예외 및 규칙은 다음과 같습니다.
위협 행위자의 회피 기술을 효과적으로 차단하려면 SWG의 중심에 안티피싱 및 고급 격리 기술이 있어야 합니다. 즉, 기본적으로 모든 콘텐츠와 모든 웹 사이트가 악의적인 것으로 취급되고 격리됩니다.보안에 대한 이러한 제로 트러스트 접근 방식은 알려진 위협과 알려지지 않은 위협 모두가 기관에 침입하여 엔드포인트를 감염시키는 것을 차단합니다.