GigaOM Radar Edge Platform Leader & Outperformer 2024 | 
이것은 두 부분으로 구성된 보안 시리즈의 두 번째 부분입니다. 첫 번째 블로그를 읽으려면 여기를 클릭하십시오 .
Verizon 2021 DBIR(Data Breach Investigations Report)은 88개국에서 발생한 70,000건 이상의 데이터 침해 사건을 분석합니다. 종합적인 분석을 사용하여 “가능할 뿐만 아니라 가능성 있는” 보안 위험에 대해 팀에게 알립니다. 이 보고서는 모든 보안 팀이 운영 관행을 벤치마킹하고, 조치의 우선 순위를 정하고, 무엇보다도 제한된 리소스를 가장 중요한 위치에 집중하여 다운타임 및 데이터 침해와 관련된 손실을 방지하는 데 사용할 수 있는 표준 보고서입니다.
이 블로그에서는 보안 침해가 발생한 주요 자산 유형(웹 애플리케이션/서버), 보안 사건의 주요 벡터(DDoS 공격), 2번째로 중요한 보안 침해 패턴(기본 웹 애플리케이션 공격)과 관련된 DBIR의 조사 결과를 요약하고 이러한 위험을 해결할 수 있는 권장 사항과 모범 사례를 제공합니다.
인사이트 1: 패치되지 않은 취약점
Most DBIR에 기록된 침해 활동은 웹 애플리케이션에 대한 “기본” 공격으로, 초기 침해 이후 몇 단계나 추가 조치를 취하는 것으로 정의됩니다. 이러한 공격은 이메일 및 웹 애플리케이션 데이터에 액세스하는 것부터 멀웨어 배포, 변조 또는 향후 DDoS 공격을 위해 웹 애플리케이션을 용도로 변경하는 것에 이르기까지 직접적인 목표에 중점을 둡니다.
4,862건의 기본적인 웹 애플리케이션 공격이 기록되었으며, 거의 모든 공격자가 외부 위협 공격자로부터 공격을 받았습니다. 이 중 1,384건이 확인된 데이터 유출을 경험했으며, 89%의 공격이 금전적 이득을 얻었습니다. 자격 증명은 80 %의 시간 동안 손상되었으며 개인 정보는 53 %의 시간을 획득했습니다.
웹 애플리케이션 공격으로부터 조직을 보호하기 위해 구현해야 할 보안 기본 사항은 무엇입니까? 위의 데이터는 패치 취약점이 대부분의 조직, 특히 오랫동안 패치를 해제한 조직에서 시작하기에 좋은 장소임을 시사합니다. 매일 취약점이 패치되지 않으면 공격자가 금을 찾기 위해 응용 프로그램을 탐색적으로 해킹할 수 있습니다. 이 두 가지 문제를 조금 더 살펴보겠습니다.
Insight 2: 레거시 앱의 취약점
The 사이버 범죄자의 임무는 회사에 침투하는 것입니다. 그리고 그들은 가능한 한 빨리, 조용히, 그리고 저렴하게 그렇게 하기를 원합니다.
DBIR은 오래된 취약점(4년 이상 된)에 대한 공격이 새로운 취약점에 대한 공격보다 더 일반적임을 확인합니다. 악의적인 공격자들은 이러한 오래된 취약점을 악용하는데, 그 이유는 IT 보안 팀이 무시하는 스택이기 때문입니다. 또한 연구하기 쉽고, 악용을 찾고, 마운트하는 데 상대적으로 저렴합니다.
오래된 스택은 또한 더 많은 취약점을 가지고 있습니다. 또한 사이버 범죄 커뮤니티 내에는 탐지되지 않은 채로 이러한 오래된 기술 스택을 공격하는 데 사용할 도구에 대한 더 많은 공통된 지식이 있습니다.
이 문제는 수년 동안 존재해 왔으며 보안 응용 프로그램 개발 및 패치 관리 기능이 크게 향상될 때까지 오랫동안 계속 어려움이 될 것입니다.
또한, 잘 알려진 오래된 취약점을 활용함으로써 사이버 범죄자들은 가장 소중한 도구를 꺼내거나 노출시킬 위험이 없습니다. 그들은 오래된 도구를 사용하여 이전 응용 프로그램을 대상으로 할 수 있으며 훨씬 저렴한 비용으로 작업 할 수있는 충분한 표면적을 가질 수 있습니다.
Insight 3: 디도스 vulnerabilities
DDoS(Distributed Denial-of-Service)는 2018년 이후 급격히 증가하여 2020년에 가장 큰 보안 이슈가 되었습니다. 기술적으로 DBIR은 DDoS를 침해가 아닌 사고 패턴으로 분류합니다. DDoS는 기밀 유지, 무결성 및 가용성의 3가지 요소인 가용성을 심각하게 저해할 수 있습니다.
사이버 범죄자들이 무엇을 추출할 수 있는지 확인하기 위해 시스템을 침해하는 것처럼, 그들은 저렴하고 즉시 이용 가능한 DDoS 봇넷을 사용하여 몸값 또는 중단 캠페인의 일환으로 오프라인으로 전환될 수 있는 취약한 시스템을 발견합니다. DBIR은 또한 몇 가지 좋은 소식을 확인합니다 : DDoS는 “해결할 수있는 infosec 트렌드 중 하나”입니다. 안타깝게도 많은 기업들이 DDoS 공격으로 인해 비즈니스 다운타임이 발생하여 장애 지점이 드러날 때까지 적절한 보호 기능을 갖추고 있다고 생각할 수 있습니다.
DDoS 방어 서비스가 광범위하게 제공되고 네트워크 및 애플리케이션 인프라에 배포될 수 있지만, 이러한 공격이 증가함에 따라 DDoS 방어 범위를 검토해야 합니다. 보호 기능이 트리거되는 방법과 계층 3, 4, 7에서 공격이 성공할 경우 운영에 미치는 영향을 평가하는 것이 좋습니다.
활동하지 않음의 비용
지금까지 DBIR의 주요 결과에 대해 살펴보았으므로 이제 보고서에서 다루지 않은 보안 위협인 ‘무조치’에 대해 살펴보겠습니다. 애플리케이션 공격 허점을 줄이는 데 있어 흔히 발생하는 문제는 웹 애플리케이션이 지속적으로 움직이고 있다는 것입니다. 많은 사람들이 새로운 기능을 추가하고 클라우드로 전환하고 있습니다. 보안 픽스를 구현하면 응용 프로그램 파이프라인이 계속 어려워지고 비즈니스, 엔지니어링 및 보안 이해 관계가 절충될 수밖에 없습니다. 오래된 취약점, 특히 레거시 애플리케이션을 제거하는 것은 이와 반대로 개발자와 프로젝트 관리자들이 여전히 사용 중인 웹 애플리케이션에 관심을 갖게 되지만 더 이상 비즈니스 집중과 투자를 받지 못하게 되는 과제입니다. 두 시나리오 모두에서 악의적인 공격자는 이러한 관리 실패와 조치를 취하지 않음에 의존하여 취약점을 찾아내고 악용합니다.
위험을 관리하기 위한 프로세스를 구축하고 강화하는 동시에 CDN 및 웹 애플리케이션 방화벽은 인터넷 엣지에 숨어 있는 유해 트래픽을 식별하고 차단하는 입증된 방법입니다. 여기에는 많은 개발자 투자와 프로젝트 관리 없이 웹 서비스의 취약점을 프로그래밍 방식으로 타겟팅하고 기록하는 DDoS 공격 및 자동화된 탐지가 포함됩니다.
Akamai의 네트워크 에지에 내장된 차세대 웹 애플리케이션 방화벽 및 DDoS 방어 기능은 2021 DBIR에 의해 보고된 웹 애플리케이션 리스크를 해결하는 간단하고 확장 가능한 솔루션을 제공합니다. 예를 들어, 2020년 4분기에는 15억 건의 요청을 완화했습니다. “완화”는 블록, 사용자 지정 응답 또는 URL 리디렉션을 트리거하는 모든 WAF 이벤트로 정의됩니다. 이는 DBIR에서 보고한 악의적인 활동, 알려진 레거시 취약점 및 DDoS 사건과 동일하게 대부분의 웹 애플리케이션 공격을 유발합니다.
기본 사항부터 시작
The DBIR은 심각한 위반이 발생할 때 “소음”으로 인해 발생할 수있는 사각지대를 보여줍니다. DBIR 저자들은 “다음에 일어날 가능성이 가장 높은 일의 규범에 도전하는 패러다임 전환의 위반에 대항할 때, 블루버드 웹 사이트에서 조류학자들이 ‘우리는 이 위협으로부터 벗어날 수 있는 길을 패치하거나 관리하거나 접근할 수 없다’고 소리치며 소리를 지르지 말라”고 말했다.
실제로 “기본 사항”을 수행하면 조직에 영향을 미칠 가능성이 가장 높은 대부분의 공격을 막을 수 있습니다.
Akamai와 함께 Akamai의 CDN 및 WAF가 완벽한 보안 솔루션의 일부로 웹 애플리케이션 취약점을 어떻게 완화할 수 있는지 알아보십시오.
