알려지지 않은 사이버 위협이란 무엇인가요?
대부분의 기존 보안 제품은 알려진 위협을 기반으로 작동하도록 설계되어 있습니다. 악의적인 것으로 알려진 콘텐츠를 발견하는 순간 차단합니다. 알려진 위협을 성공적으로 차단하는 보안 제품을 우회하기 위해 공격자는 이전에 볼 수 없었던 새로운 것을 만들어야 하며, 공격 실행에 드는 비용이 증가합니다. 알려진 위협과 알려지지 않은 위협을 모두 방지하기 위해 무엇을 할 수 있을까요?
몇 가지 시나리오를 살펴보겠습니다:
재활용된 위협
재활용 위협은 가장 비용 효율적인 공격 방법으로 간주되기 때문에 공격자는 이전에 입증된 기술을 사용하여 기존 위협을 재활용하는 경우가 많습니다. 이렇게 재활용된 위협이 '알려지지 않은' 이유는 보안 제품의 제한된 메모리에 있습니다. 모든 보안 제품은 메모리가 제한되어 있으며, 보안 팀은 수신되는 대부분의 공격을 차단할 수 있기를 바라며 가장 최신의 위협을 선택하여 보호합니다. 보안 제품에서 추적하지 않는 오래된 위협이 네트워크에 침입하려고 시도하는 경우, 이전에 발견된 것으로 분류되지 않았기 때문에 보안 제품을 우회할 수 있습니다.
이러한 "알려지지 않은" 재활용 위협으로부터 보호하려면 위협 인텔리전스 메모리 키퍼에 액세스하는 것이 중요하며, 대량의 위협 데이터를 처리할 수 있도록 확장할 수 있는 탄력적인 클라우드 인프라에 배치해야 합니다. 보안 제품에 특정 위협이 식별되어 저장되어 있지 않은 경우, 위협 인텔리전스의 대규모 지식 기반에 액세스하면 악성 여부를 판단하고 보안 제품이 이를 차단하는 데 도움이 될 수 있습니다.
기존 코드 수정
이 방법은 위협을 재활용하는 것보다 다소 비용이 많이 듭니다. 공격자는 기존 위협을 가져와 네트워크에서 위협이 활발하게 전환됨에 따라 수동 또는 자동으로 코드를 약간 수정합니다. 이로 인해 다형성 멀웨어 또는 다형성 URL이 생성됩니다. 멀웨어는 바이러스처럼 지속적으로 자동으로 변형을 거듭하며 빠르게 변화합니다. 보안 제품이 원래의 위협을 알려진 것으로 식별하고 하나의 변종만을 기반으로 보호 기능을 생성하는 경우, 코드를 조금만 변경하면 해당 위협은 알려지지 않은 위협으로 바뀝니다.
일부 보안 제품은 두 개의 동일한 해시를 얻을 수 없도록 텍스트 문자열을 기반으로 완전히 고유한 번호를 생성하는 해싱 기술을 사용하여 위협과 일치시킵니다. 이 맥락에서 해시 값은 위협의 한 가지 변종과만 일치하므로 새로운 변종 위협은 알려지지 않은 새로운 위협으로 간주됩니다.
이러한 위협으로부터 더 효과적으로 보호하려면 보안 제품은 다형성 서명을 사용해야 합니다. 다형성 서명은 해시가 아닌 트래픽 및 파일의 콘텐츠와 패턴을 기반으로 생성되며, 알려진 위협의 여러 변형을 식별하고 보호할 수 있습니다. 고정된 인코딩의 모양이 아닌 동작에 초점을 맞추기 때문에 변형된 멀웨어의 패턴을 탐지할 수 있습니다.
새로 생성된 위협
더 결단력 있고 기꺼이 돈을 투자하려는 공격자들은 완전히 새로운 코드를 사용하여 완전히 새로운 위협을 만들어낼 것입니다. 사이버 공격 라이프사이클( )의 모든 측면이 새로운 것이어야만 이전에 알려지지 않은 위협으로 간주될 수 있습니다.
- 비즈니스 행동에 집중
이러한 새로운 위협으로부터 보호하려면 고유한 비즈니스 행동과 데이터 흐름에 집중해야 합니다. 그런 다음 이 정보를 사이버 보안 모범 사례로 구현할 수 있습니다. 예를 들어, 사용자 ID 및 애플리케이션 ID로 세분화를 활용하면 새로운 위협이 조직 전체로 확산되는 것을 방지하고 알려지지 않은 새로운 미분류 웹사이트의 다운로드를 차단하는 데 도움이 될 수 있습니다. - 집단 지능 활용
한 조직이 모든 새로운 위협을 경험할 수는 없으므로 집단 위협 인텔리전스의 혜택을 받는 것이 매우 중요합니다. 전례가 없는 알려지지 않은 표적 공격은 글로벌 정보 공유를 통해 빠르게 파악할 수 있습니다. 한 조직에서 새로운 위협이 분석 및 탐지되면 새로 식별된 위협 정보를 커뮤니티 전체에 배포하고 완화 조치를 미리 구축하여 공격의 확산과 효과를 제한할 수 있습니다.
알려지지 않은 위협을 알려진 위협으로 전환하고 적극적으로 위협을 방지하는 것은 복합적인 환경에서 이루어집니다. 먼저 다음 공격 단계와 위치를 예측해야 합니다. 둘째, 이를 막기 위해서는 보호 기능을 개발하여 집행 지점에 신속하게 제공할 수 있어야 합니다.
보호 자동화
진정으로 새로운 위협이 조직에 유입되는 경우, 첫 번째 방어선은 조직에 맞는 사이버 보안 모범 사례를 마련하는 것입니다. 동시에 분석을 위해 알 수 없는 파일과 URL을 보내야 합니다. 샌드박스 분석의 효과는 알려지지 않은 위협에 대한 정확한 판단을 내리고 조직 전체에 보호 기능을 생성 및 구현하는 데 걸리는 시간과 샌드박스 환경이 우회 위협을 처리하는 방식에 따라 달라집니다. 보안 태세를 빠르게 변경하여 위협이 진행되기 전에, 즉 가능한 한 빨리 차단할 수 있어야 합니다. 또한 이러한 위협이 네트워크를 더 이상 통과하지 못하도록 하려면 위협이 확산되는 속도보다 더 빠르게 모든 보안 제품에서 자동으로 방지 기능을 생성하고 구현해야 합니다.
최근 SANS의 설문조사에 따르면 공격의 40%가 이전에 알려지지 않은 요소를 가지고 있다고 합니다. 알려지지 않은 위협을 탐지하고 공격을 성공적으로 방지하는 기능은 보안 구축의 효율성을 결정합니다. 진정한 차세대 보안 플랫폼 은 민첩하여 알려지지 않은 위협을 글로벌 수준에서 알려진 보호 및 방지 기능으로 신속하게 전환합니다. 새로운 위협 데이터를 자동으로 공유하면서 조직 전체에 새로운 보호 기능을 확장하여 공격의 확산을 막습니다.
