ThreatTank – 에피소드 1 – 2024 사이버 보안 예측

Edgio의 새로운 팟캐스트 시리즈 소개: ThreatTank

Tom Gorup: ThreatTank에 오신 것을 환영합니다. 최신 위협 인텔리전스, 위협 대응, 전 세계 위협 환경에 대한 인사이트를 다룬 팟캐스트입니다. 저는 Edgio의 보안 서비스 담당 부사장인 Tom Gorup입니다.

그리고 오늘 Edgio Security Solutions의 제품 관리 수석 이사인 Richard Yew와 Edgio Security Solutions의 수석 제품 마케팅 매니저인 Andrew Johnson이 참석했습니다. 리처드, 앤드류 환영합니다.

리처드 유: 이봐, 날 여기 데려와줘서 고마워.

앤드류 존슨: 감사합니다.

톰 고럽: 흥미진진합니다. 우리의 첫 번째 위협 탱크 팟캐스트. 그리고 저는 여러분과 같은 두명의 무거운 타자를 얻었고, 저는 빙산을 깨는 것에 대해 열어야 한다고 느낍니다. 좋은 작은 질문이죠.

인터뷰 인터뷰 대상자들에게 물어봤다. 제가 좀 긴장하는 것 같은데 이게 좋은 소개라고 생각해요. 그래서, 저는 여러분에게 둘 다 물어보고 여러분이 그것을 얻으면 그냥 대답할 것입니다. 당신이 나무라면, 가장 좋아하는 동물은 무엇입니까? 당신이 나무라면, 가장 좋아하는 동물은 무엇입니까?

리처드 유: 나무에 대해 얘기할 때 아시죠? 도토리에 대해 생각하기 시작했죠. 그리고 나서, 바로 떠오르는 것은 스페인에 돼지가 있다는 것입니다. 이베리코 돼지라고 부릅니다. 검은색이야. 최고의 베이컨이나 햄을 생산합니다. 뭐라고 부르든 세상에서 가장 비싸죠. 아마 온스당 몇 백 달러일 겁니다.

그래서, 이 경우에는 나를 위한 선택이 될 것 같다. 내가 떨어뜨린 것을 사용하니까, 오, 좋아.

톰 고럽: 흥미롭군요. 네. 아뇨, 좋네요 그거 좋아. 첫째, 이걸 가지고 어디로 가는거야?

리처드 유: 가서 내 도토리를 가져가.

톰 고럽: 네, 네, 그렇습니다. 아니, 돼지가 이걸 쓰고 있어. 그리고 파운드당 수천 달러에 판매하는 것은 말할 것도 없습니다. 마치 와규 돼지 같아요.

앤드류 존슨: 꽤 괜찮아요. 봅시다. 그래서 저는 보안적인 관점에서 생각했습니다. 제가 동물로서 원하지 않는 것에 대해 말이죠. 제가 나무라면 모르겠어요. 곰팡이를 원하지 않을지도 몰라요. 나는…딱따구리나 나를 쪼아먹고 내 안에 구멍을 뚫을 무언가를 원하지 않는 것을 원하지 않을 것이다.

리처드 유: 이봐, 친구, 여기서 멈춰줄게. 곰팡이는 동물이 아니야, 마지막으로 확인해봤어 저게 뭐지? 오, 그럴지도 몰라요. 우리가 마지막으로 지켜본 후, 곰팡이는 동물이됩니다.

앤드류 존슨: 그게 내가 원하지 않는 거에요. 그래서, 나는 새나 그 새들이 내게 착륙한 후에 떠나는 것을 말해야겠지.

톰 고럽: 다시 한 번, 활용하라. 그거 좋아. 제가 그 질문에 답한 답변 중 하나는 상어였습니다. 제가 왜 그런지 물었을 때, 상어는 절 괴롭히지 않아요. 오케이. 그 성격에 대해 조금 이야기하지만, 두 분 모두 동물을 골라서 다른 동물에게 유용하다는 것을 알고 있습니다.

꽤 멋지네요. 네. 말을 많이 합니다. 그래서, 우리는 오늘 이 문제에 대해 동물이나 나무에 대해 이야기하고 있는 것이 아닙니다.

AI가 사이버 보안 기술 격차를 해소할 것인가?

Tom Gorup: 2024년까지 실제로 [사이버 보안]에 대한 세 가지 예측을 파헤칠 것입니다. Edgio의 블로그에 게시된 블로그 포스트가 있습니다. 여기서 다시 이야기하고 있는 것은 세 가지 예측입니다. 하나는 AI가 사이버 보안 기술 격차, 보안 문화 및 공격 증가를 메우는 것입니다. 우리는 그 순서대로 하지 않을 것입니다. 하지만 이것들이 세 가지 예측입니다. 그래서 AI로 바로 뛰어들죠. 제 말은, 지금 당장 이 예측을 다시 한 번 말씀드리자면, AI가 구축하고 있는 것은 2024년의 사이버 보안 기술 격차를 해소할 것이라는 것입니다. 우리는 많은 것을 보게 될 것입니다.

이제, 그것에 대해 생각하면, 당신은 얻을 수 있습니다. 도발적인 인공 지능 세계를 보시고 모든 사람들이 가지고 있는 걸 보세요. 제가 트윗을 봤던 것 같아요. 모든 사람이 별을 볼 수 있습니다. 모두가 흥분하고 이 모든 다양한 사용 사례가 있습니다. 여러분도 알다시피, 새 전화기나 유사 전화기 토끼 R, 또는 그 효과에 대한 뭔가를 볼 수 있습니다. 이 모든 미친 것들이 나오고 있는 것처럼요. 하지만 우리는 AI가 이 격차를 효과적으로 메울 수 있는 곳이라고 정말로 생각합니까? 2024년에 실제로 이런 일이 일어날까요? 아니면 AI가 그 격차를 해소하는 데 의미있는 영향을 미치기 전에 5년간의 R&D를 AI에 투입할 수 있을까요?

Richard Yew: 음, 아시다시피, 공격자의 격차를 해소했습니다.

톰 고럽: 네, 좋은 점입니다.

리처드 유: 그래, 내 말은, 요즘 난 그냥 내 일에 대해 생각, 헤이, 난 내가 원하는 스크립트를 실행 하 고, 헤이 그냥 내가 요청을 만들거나 요청을 받거나 특정 URL에 요청을 게시 하거나 반복적으로 그것을 수백 번 수행 하는 루프를 실행 스크립트를 작성.

물론 AI에게 DDoS 공격 을 일으키라고 말하지는 않지만 기능적으로는 똑같은 것을 달성합니다. 이용 약관 주변을 스커트하면 됩니다. 내 생각에, 그것은 빨간 팀을 만들 것입니다 … 그것은 당신이 그것을 알게 할 것입니다; 평신도라면 할 수 있습니다. 누구나 결정할 수 있듯이, 알다시피, 나는 내 검은 모자를 쓰고, 그것을 가지고 놀기 시작할 것입니다.

물론 조직이나 블루팀, 수비수에게도 많은 이점이 있습니다.

앤드류 존슨: 제 생각에는, 제 말은, 분명히 문제가 도움이 될 거라고 생각합니다. 2024년에 폐쇄될 예정인가요? 물론이야. 제 말은, 잘 모르겠어요. 당연히 아니라고 생각합니다. 하지만 이미 보안 소프트웨어에서 구현되기 시작했습니다.

아시다시피, 그것 또한 도전이 있습니다. 사람들이 오탐에 대해 걱정하는 대신, AI 기반 소프트웨어가 팀에게 줄 거짓 추천에 대해 걱정해야 합니다. 그래서, 제 생각에, 경험의 수준은 여전히 매우 중요할 것입니다.

Tom Gorup: 예, ISC2와 같은 통계를 보면 흥미롭습니다. 이 보고서는 약 400만 명의 노동력 격차와 400만 명의 노동력 격차가 존재한다고 말합니다. 대단하네요. 대단하네요. 그리고 우리는, 제 말은, 대학들이 보안 전문가들을 해마다 일어날 성장은 말할 것도 없고, 그 격차를 메울 만큼 빠르게 배출하지 못하고 있다는 것입니다. 2024년에 AI가 그 격차를 좁혔습니다. 한편으로는 Richard도 제가 보는 가치와 마찬가지로 여러분들의 의견에 맞춰서 스크립트를 빨리 쓸 수 있을까요?

며칠 전 iGPT4에 HTML 페이지를 작성해 달라고 부탁했는데, 정말 잘했습니다. 그리고 나서 나는 그것을 조정하고 다음으로 움직이도록 요구하기 시작했다. 아시다시피, 저는 전체 웹 페이지를 가지고 있습니다. 약 30분 안에 제작되었습니다. 그리고 저는 말 그대로 그것을 성취하기 위해 제로 코드를 작성했지만 다양한 데이터 세트를 제공 할 수 있습니다.

사람들이 AI를 통해 이 격차를 해소하는 가장 큰 우려 사항 중 하나는 사생활입니다. 우연히 말해서, 우리는 AI에 도식학을 넣은 삼성 엔지니어였지만 문제는 아직 아무도 그것을 추출하지 못했다는 것입니다. 그것이 일어나지 않았다고 말하는 것이 아니라, 동전의 양면이 있습니다.

리처드 유: 공격자의 관점과 수비자의 관점에서 AI를 사용하기 시작하면 매우 중요하다고 생각합니다. 워크플로우 개선, 그렇죠? AI를 보호하는 것도 중요하지만 다시 말씀드리겠습니다. 틈새를 없애는 것에 대해 이야기합니다.

제 말은, 제 말은, 격차가 언제까지나 닫힐 수 있을까요? 아니, 내가 말한 것처럼 누군가가 100 % 안전할 수 없습니까? 나는 아니라고 주장 할 것이다, 나에게는 그런 것이 없다. AI는 심층 방어 개념에 실제로 도움이되는 추가 계층을 추가합니다. 수비수들의 관점에서 볼 때 정말 도움이 되는 레이어 내의 또 다른 두 세트입니다. 침해 및 공격 발생 가능성을 최대한 줄입니다. 그리고, 저는 많은 보안 문제가 발생한다고 믿습니다. 우리는 항상 인간이 가장 약한 고리라고 말합니다. 왜냐하면 평범한 일들을 반복해서 계속하면 우리는 안심하고, 사고가 일어날 수 있기 때문입니다. 이때가 AI가 들어올 수 있는 때입니다.

여러분은 아마 이 유명한 사람이 자동차와 로켓을 만들고 스스로 빌려주는 말을 들으실 겁니다. 하지만 그건 사실입니다. 그리고 보안에서도 마찬가지입니다. 반복적인 일들을 해야 할 때와, 심지어 로그 분석까지 해야 할 때처럼, 사람들은 주의가 상실되고 이해할 수 있습니다. 어쨌든 우린 모두 인간이잖아, 그렇지? 그래서, 저는 AI가 그 격차를 좁히는 데 매우 유용하다고 생각합니다. 하지만, 아시다시피, AI가 여러분이 원하는 일을 하고 있다는 것은 공장의 로봇이 갑자기 노동자들을 붙잡아 차 위에 던져서 부수지 않는 것과 같습니다. 그렇죠?

톰 고럽: 아직은 아닙니다. 재미있네. 그래서, 제가 워크플로우를 생각하면, 분석가 워크플로우에 경고가 들어오고, 그 특정 경고를 둘러싼 많은 질문들이 있습니다. 맞습니다. 정상적인 현상입니까? 일반적인 현상입니까? 이러한 특정 유형의 시스템에 대한 이러한 종류의 공격에 대해 무엇을 찾아야합니까?

이봐, 이건 윈도우 머신이거나 아파치 서버야 이 공격의 성공 여부를 확인하기 위해 확인해야 할 특정 사항이 있습니까? 제 생각에 우리가 가진 기회는 진입 장벽을 낮추는 것이죠, 그렇죠? 그래서 격차를 줄이는 것에 대해 이야기 할 때, AI가 격차를 메우고 있다는 것을 반드시 의미하지는 않습니다. 하지만 AI가 우리가 고용하는 직무에 대한 우리의 범위를 넓힐 수 있게 해줄 수도 있습니다. 그리고 제가 흥분하는 미래는 우리가 특정 제품이나 기술에 대한 기술적 전문성을 덜 채용하는 것이 아니라 호기심과 의사소통 기술을 채용하는 것입니다. 따라서 올바른 질문을 던질 수 있는 사람은 데이터뿐만 아니라 AI에서도 원하는 답을 얻을 수 있습니다.

Andrew Johnson: 말씀하신 마지막 부분은 보안 전문가의 격차를 메우기 위해 다른 생각을 하는 면에서 정말 좋은 부분이라고 생각합니다. 창의성을 바탕으로 채용하거나 헬프 데스크, 비즈니스 인텔리전스 분석가 또는 사람들이 데이터 작업에 매우 익숙해질 수 있습니다.

하지만, 아까 말씀드린 것들 중 일부는, 톰, 아시다시피, 사건이 발생하면 AI가 추천할 수 있습니다. 적어도 몇 가지 분야를 살펴보세요. 내 인생을 생각할 때 많은 일이 80/20 법칙과 같습니다. 그래서, 알다시피, 이 모든 고려 사항을 추적할 필요가 없거나, 가장 쉬운 고려 사항이 있다면, 많은 시간을 절약할 수 있습니다. 그래서, 저는 우리가 앞으로 많은 솔루션과 시스템에서 그것을 보게 될 것이라고 가정합니다.

Richard Yew: 네, 아시다시피, 저는 보안상의 4백만 개의 일자리 격차를 두 번 클릭하고 싶습니다. 이것이 매우 중요한 포인트입니다. 평균소득을보고추정해보면 2천억달러가됩니다. 보안회사중하나의보고서에따르면, 이정도재미있지않나요?

실제로 2,000억 달러는 사이버 보안 시장의 규모와 정확히 2130억 달러입니다. 아시다시피 보안 제공자, 서비스 제공자, 심지어 조직에 대해 이야기할 때 이러한 격차를 메우려고 노력하는 기업은 이해할 수 있습니다.

그리고 오늘날 AI를 얼마나 저렴하게 운영할 수 있을지 상상해보세요. 잠재적으로 많은 비용을 절감할 수 있는 특정 기능을 구현하기 위해서요.

톰 고럽: 네, 백 퍼센트요. 나는 또한 당신이 언급 한 기회를 볼 수 있습니다, 앤드류, 같은, 당신은 또한 그것을 했다 생각 합니다. Richard는 AI 자체 내에서 실제로 컨트롤을 적용 할 수 있습니다.

따라서 무차별 대입 공격 또는 랜섬웨어 공격에 대한 표준 프로세스를 내부적으로 보유하고 있다면 AI를 훈련시킬 수 있습니다. 모든 사람들이 그 특별한 질문에 답할 것입니다. 조직 전체에서 일관성 있는 응답을 제공할 수 있습니다. CISO가 가지고 있는 가장 큰 도전 중 하나는 이러한 모든 지침과 모든 문서를 작성하고 아무도 읽지 않는다는 것입니다.

아시다시피, 연말에 준수를 거치면 모두가 읽어야하지만 실제로 앉아서 읽는 사람이 있습니까? 자, 만약 여러분이 이런 질문을 할 수 있는 AI를 가지고 있다고 상상해보세요. 그래서 그 대신, 여러분은 여전히 문서를 가지고 있지만, AI는 그 문서에 대해 훈련을 받습니다.

상황이 발생하면 보안 분석가든 CFO든 AI에 질문을 할 수 있습니다. 이 사건의 다음 단계는 무엇입니까? 이제 어떻게 해야 할까요? 그리고 아이는 그런 식으로 당신의 셰르파가 될 수 있습니다.

리처드 유: 재밌었어요. 네, 미안해요 이것은 우리가 진행하기 전에 나의 마지막 농담이다.

하지만, 여러분도 아시다시피, 저는 여러분이 HTML을 해킹하고 버튼을 차단하는 컴포넌트를 제거하지 않을 것을 장담합니다. 그래서 여러분은 여러분의 컴플라이언스 트레이너에서 다음, 다음, 다음을 클릭할 수 있습니다.

톰 고럽: 맞아요. 음, 컴플라이언스 트레인. 그건 완전히 다른… 잠시 후에 문화에 대해 이야기하고 어떻게 조정되는지에 대해 이야기 할 것입니다. 마지막으로 제가 놓친 것은. Richard씨, 앞서 말씀드린 것은 AI를 활용한 GPT를 활용한 공격자입니다. 당신은 늑대 GPT, 웜 GPT, 사기 GPT, 모든 종류의 LLM이 “이봐, 어떻게 하면 나쁜 사람이 되기가 더 쉬워질까?”에 초점을 맞추고 있습니다.

제가 보고 있는 것은 만약 여러분이 수비수로 사용하지 않는다면, 어떻게 공격, 공격자, 그리고 그 능력을 활용하는 공격자로부터 기회를 잡을 수 있을까요? 리처드, 좋은 전쟁 비유가 있을 것 같아 마치 F15 전투기 대 워토그 같은 것과 같죠. 아시다시피, 그 둘은 개 싸움을 할 수 없습니다. 워토그와는 잘 끝나지 않을 거야, 무슨 말인지 알겠어?

그래서, 그것에 대한 다른 아이디어는? 왜냐하면, 제 말은, 우리는 하루 종일 AI에 쓸 수 있다고 생각하기 때문입니다. 하지만 궁극적으로는 말이죠. 방어자들이 현재 이를 사용하지 않고 있고, 기업이 효율성을 높이고 기술 격차를 해소하거나 일상적인 워크로드를 처리하기 위한 방법을 찾으려 하지 않는다면 데이터 손상에 대한 두려움 없이 제한 없이 이 기능을 활용하는 공격자를 효과적으로 방어할 수 없을 것입니다.

마치 이것에 대해 걱정하지 않는 것처럼 말이죠. 가끔은 착한 사람이 되는 것 같다. 아시다시피, 그것은 단점이 있습니다, 그렇죠? 당신은 이미 그런 식으로 목을 매고 있습니다. 이봐, 우리는 항상 말해, 우리는 얻어야한다, 우리는 항상 옳아야 하지만 공격자는 한 번만 옳아야합니다.

톰 고럽: 그건 사실이야. 그리고 그들은 어떤 한계도 없습니다. 맞습니다.

앤드류 존슨: 그리고 그들은 출혈의 가장자리에 있습니다. 이런 웜GPT나 다른 것들은 믿을 수 없네요. 2021년에 출시되었는데, 이 서비스를 구매할 수 있을 것 같습니다. 제 말은, 아시다시피, 많은 다른 사람들이 그냥 제 자신에 대해 얘기해볼게요 작년에 폭발했을 때까지는 생성형 AI를 사용하지 않았습니다. 하지만 네, 적들은 얼리어답터들입니다.

Tom Gorup: 그리고 그것은 또한 우리가 경제가 변화하는 것을 볼 때 기회를 열어줍니다. 사람들은 돈을 버는 새로운 방법을 찾고 있습니다. 얼마나 많은 스팸 전화가 왔는지, 얼마나 많은 사기, 문자를 보았는지 아십니까?

그리고 그들은 조금씩 나아지고 있습니다. 그리고 GPT는 선을 위해 만들어진 모든 것이 악에도 사용될 수 있다고 생각할 것입니다.

랜섬웨어, DDoS 및 제로데이 공격이 계속 증가할 것입니까?

Tom Gorup: 다음으로 예상되는 것은 공격의 증가입니다. 광범위한 부시 및 공격입니다. 하지만 우리는 세 가지에 초점을 맞출 것입니다. 랜섬웨어 공격, 분산 거부 서비스 공격, 제로데이 공격.

2023년, 특히 지난 분기를 살펴보면, 의료기관은 랜섬웨어 공격으로 계속해서 공격을 받았습니다. 우리는 몇 번의 제로데이를 보았지만, 진짜 질문은 그것이 계속 성장할 것인가입니다. 그 성장은 어떤 모습일까요? 언론에 의해 퍼지고 있습니까? 꼭 보이는 것만큼 큰 문제는 아닙니다. 제 말은, 그건 일종의 자극적인 질문입니다.

리처드 유: 논란의 여지가 있는 의견이 있을 수 있습니다. 아시다시피, 우리가 볼 때, 아마도 나는 단지 현학적일 뿐인 것 같습니다. 우리가 그 공격들을 볼 때, 그렇죠? 언론이 보도한 것이 아니고 실제로 우리가 목격한 것도 있습니다. 예를 들어 DDoS 공격의 증가에 대해 이야기하고 있습니다.

DDoS 공격은 항상 발생한다는 뉘앙스가 있지만 어떤 종류의 공격입니까? 아시다시피, 우리는 2016년으로 거슬러 올라갑니다. 2015 DNS 공급자가 공격을 받았기 때문에 큰 인터넷 중단. 미라이 봇넷이었죠. 주로 Layer3, Layer4, 초당 수백만 개의 패킷 공격이었는데 대역폭은 엄청나죠?

대역폭, 높은 대역폭 볼륨입니다. 하지만 요즘 우리는 작년 초부터 시작된 것을 보고 있습니다. 이미 2024년이라는 게 믿기지 않아요. 우리는 2022년을 맞이하고 있습니다. 그리고, 익명의 수단과 QNet, 애플리케이션 공격의 증가에 대해 이야기하고 있습니다.

애플리케이션 Layer7, HTTP Flood에 대해 이야기하고 있습니다. 기록적인 20개 이상의 요청, 초당 백만 건의 요청이 지금 좋아요? 구글의 초당 3억 건의 요청이 무엇일까요? 그리고 그것은 다양한 업적과 함께 있습니다. 또한 이 공격은 순환적이라고 생각합니다.

그것은 마치, 그들은 결코 사라지지 않습니다. 아시다시피, 디도스 공격의 랜섬웨어는 매우 높았습니다. 왜냐하면 비트코인 가격이 급등했기 때문이죠. 아시다시피, 지금 이 경우에는 지정학적 불안정 때문이죠. 지난 몇 년 동안 국가가 후원하는 DDoS 공격이 증가하고 있습니다. 핵티비스트 디도스 공격아시다시피, 제 생각에는, 매년 어떤 공격이 유행에 속하는지 살펴보고 있지만, 내년에는 다른 유행이 될 수 있습니다. 그리고 1년 후, 우리는 다시 2022년으로 돌아가고 있으며, 2022년에는 또 다른 유행이 시작되었습니다.

앤드류 존슨: 네. 특히 건강보험에 대한 세금과 같은 것인지는 모르겠어요. 제 말은, 제 생각에 과대 광고라고 생각하지만, 불행히도, 저는 단지 그렇다고 생각합니다. 이것은 지금보다 더 슬프고 더 나쁘다. 그리고 저는, 아시다시피, 지난 5월의 해커들이, 적어도 보고된 바로는, 그들은 어떤 윤리를 가지고 있습니다. 그들은 지금 성형외과 클리닉을 공격하고, 몸값을 지불하지 않거나, 환자들을 어떻게 대하지 않는 한 환자의 사진을 공개하겠다고 위협하는 것처럼 보입니다.

아시다시피, 최근에는 의료 시스템이 타협되었다고 생각합니다. 병원 네트워크가 기본적으로 환자를 보내고 환자 경로를 바꾸어야 했습니다. 꽤 엉망이었죠.

리처드 유: 그럼 공격자들을 보여주고 싶지 않겠죠?

그들은 규칙을 따를 필요가 없으며 끊임없이 경계를 밀어 붙입니다. 그래서, 보통 우리가 보는 것은 세 가지입니다, 그렇죠? 돈으로 사람들을 공격하는 겁니다. 금융기관처럼 돈을 공격하는 거죠. 이제 그들은 수년간 경계를 넓혀왔고, 교육으로 가고, 학교를 공격하고 있습니다, 그렇죠?

몇 년 전에 대학들이 문을 닫았다는 보고가 있습니다. 우리는 세부 사항을 제공 할 수 있습니다; 당신은 그것에 대한 견적을 알고 있습니다. 하지만 학교는 문을 닫았어요. 전체 시스템이 말 그대로 잠겨버렸기 때문이죠. 그렇죠? 그리고, 이제, 알다시피, 우리는 경계가 밀려나는 것을 관찰합니다. 실제로 2025년 말이나 2022년 초나 2023년 초에 말이죠.

네. 벌써 1년 앞당겨질 생각이다. 그리고 병원들이 공격을 당하는 것에 대해 이야기하고 있습니다. 다시 말하지만, 전쟁터에서 시작되었죠. 맞습니다. 그러나 그것은 우선순위를 설정하고 지금은 병원이 일상적으로 해킹을 받고 있습니다. 가끔은 삶과 죽음이 있습니다. 톰처럼 블로그에서 언급한 것처럼 말이죠. 문제로 인해 구급차가 다른 응급실로 옮겨져야 하는 상황에 대해 이야기하는 것과 같습니다.

앤드류 존슨: 네, 제 말은, 여러분이 더 나은 것을 기대할 수 없다고 생각해요. 특히 사람들이 이런 공격을 강요당할 때 말이죠. 어떤 나라의 십대 청소년들이 이런 행동을 하는 것뿐만 아니라, 아마 국가가 후원한 후원을 받는 것일 겁니다. 그들은 그들의 활동을 계속하기 위해 그 돈이 정말 필요하다고 말이죠.

리처드 유: 상상하는 것과 비슷합니다. 그런 다음 질문은 새로운 공격에 관한 것입니다. 그렇죠? 올해는 어떤 경계가 밀려올까요?

톰 고럽: 좋은 질문입니다. 동의하니까요. 제 말은, Q4를 맞고 구급차가 우회되는 것을 보고 응급 서비스가 다른 병원으로 우회되는 것을 보는 것입니다. 그렇게 하면 생명을 위험에 빠뜨릴 수 있다. 그들이 다음에 갈 수있는 방향에는 제한이 없습니다. 사실 저는 수년 전에 FBI와 여러 사건을 자주 했어요.

그리고 특히, 항상 저에게 두드러진 것은 섹스를 강요하는 사건이었습니다. 이 남자가…음, 4년 동안, 이 여자와 그녀는 18살이었고, 마침내 제가 끝났다고 말했죠. 그래서 그녀가 14살이었기 때문에 많은 사람들이 그런 식으로 떨어지고 부서지고 있다는 것을 보여주며 제한이 없습니다.

최근에 또 다른 가상 몸값이 있는 것을 보았습니다. 여러분들이 이걸 보셨는지 모르겠네요. 보통 십대 소년에게 문자를 보내고 설득하는 곳이죠. 아마도 어딘가에 숨어 있는 사악한 방법을 통해서 말이죠. 숲이나 숨어 있는 곳으로 가서 부모님에게 그들이 납치됐고 어딘가에 돈을 보내야 한다고 문자 보내는거죠.

그래서, 제 말은, 그건 그냥 거칠고, 어떤 사람들이 가게 될 방향이죠. 그래서 흥미로운 질문은, 이 공격자들의 십자선은 어디로 옮겨갔을까 하는 것입니다. 어쩌면, 알다시피, 종종 돈을 따라갑니다. 그렇죠? 그럼 돈은 어디 있죠?

앤드류 존슨: 물론입니다. 네. 그건 미쳤어.

Richard Yew: 제로데이가증가했다고말씀드렸던다른공격들도있습니다. 예. 그것은 실제로 주목할만한 것입니다. 아시다시피, 우리가 통계를 보면 그렇습니다. 아시다시피, 저는 항상 CVE 성장과 같은 해마다 추적합니다. 아직 2024년 예측은 없지만, 아시다시피 2023년 23,000개 이상의 CVE가 10% 이상의 성장률을 보였으며, 그 이전에는 CVE가 25% 이상 성장했습니다. CVE가 기하급수적으로 성장하고 있는 것과 같은 기하급수적인 문제를 말해주고 있습니다. 보안 인력 및 예산이 두 자릿수 증가한 보안 조직이 있다면 모든 분기마다 예산과 인력을 10% 더 늘릴 수 있을 것이라고 확신합니다. 하지만 그것이 우리가 관찰해온 것입니다.

및. 재미있네. 팔 경주와 다시 거슬러 올라가죠. 첫 번째 주제와 연결되죠. 그렇죠? AI는 중요하지만, 또한 0일의 상승으로 인해 CVE뿐만 아니라 우리가 생각했던 중요한 0일도 중요한데, 우리는 Logs4j, Springs4Shell, Confluence, 이런 모든 것들이 예전에는 좋아요. 1년에 한 번, 두 번 정도 심각도가 높고, 심각도가 9점 이상인 몇 가지 주요 사례를 볼 수 있습니다. 이제 분기당 여러 번 됩니다.

톰 고럽: 네, 그렇습니다. 그리고 큰 도전은, 많은 기업들이 그 제로데이에 대한 반응이라고 생각합니다. 0일의 존재. 그들은 항상 거기에 있었다. 역사적인 것들 중 몇가지를 살펴보면, 바시버그. 나는 그것이 발견되기 전에 20 년 정도 있었다고 생각한다. 그래서 가끔 CVE의 상승을 봅니다. 저는, 좋아요, 우리는 취약성에 대한 보고를 더 잘하고 있습니다. 아직 레이블이 없는 취약점도 많지 않은데, 그렇죠? 그들은 아직 발견되지 않았습니다. 분명히, 제로데이 대화입니다. 하지만 시간이 지남에 따라 CVE가 증가함에 따라 우리는 이들에 대해 더 나은 보고를 하고 있다는 것을 보여주지만, 긴급 패치 관리 프로세스에 어떻게 효과적으로 대응할 수 있을까요?

정말 이렇게 빠른 패치를 만들 수 있을까요? 아니면 지원이 필요한가요? 그 위에, 나는 가상 패치를 좋아한다. 나는 항상 그것을 비싼 모든 것을 패치하려고하기보다는 우리가 가서 뿌리 문제를 해결하는 동안이 구멍을 막을 수있는 낮은 매달린 과일 기회로 봅니다.

위험하죠? log4j, 실제로 작동하기 전에 몇 개의 패치를 배포했습니까? 3개였던 것 같아요. 제 생각에 세번째 것은 2주 만에 구멍을 막았고 12월 중순에 있다고 믿습니다.

톰 고럽: 그래, 그건 비참한 일이야.

앤드류 존슨: 많은 혼란이 있었습니다.

톰 고럽: 그래, 그건 비참한 일이야. 하지만 제로데이가 증가하면서, AI에대해언급하셨는데요, 제생각에우리는그것의큰부분을할것입니다.

아직 못 본 것 같은데 제 말은, AI가 방어적인 용도로 사용되고 있다는 겁니다. 코드를 체크인하기 전에 하는 것처럼 말이죠. 부조종사처럼 체크인에 취약점이 없는지 확인하는 것도 가능합니다. AI를 사용하기 시작한 SAST 및 DAST 유형 도구와 같은 다른 도구가 있습니다.

공격자들이 AI를 활용해 취약점 발견을 할 것으로 예상됩니다. 특히 오픈소스 프로젝트에서도 그렇다. 내 말은, 그건 쉬워.

Richard Yew: 그렇지만 궁극적으로 작업 흐름을 보면 그렇죠? 방어자의 관점에서 볼 때, 블랙박스 테스트나 화이트박스 테스트를 할 때, 요즘은 동적인 애플리케이션 보안 작업만큼 속도가 빠릅니다.

실제로 취약성을 검사하고 패치하라고 지시합니다. 그리고 공격자가 리포지토리에 액세스할 수 있는 경우, 공격자도 같은 작업을 수행할 수 있습니다. 내 말은, 그들은 심지어 당신이 당신의 저장소에 액세스 할 필요가 없습니다. 만약 그들이 그 테스트를 하고 있다면, 그들은 단지 당신의 실행 중인 소프트웨어와 가장 미세한 취약점들을 공격할 뿐입니다.

뭐, 맞춰봐요? 파란색 팀의 관점에서 스캔으로 보는 것은 공격자의 관점에서 정찰하는 것입니다. MITRE의 공격 프레임워크를 보면, 기본적으로 공격을 시작할 수 있는 정찰입니다. 따라서 항상 사용하는 모든 도구와 프로세스에 대해 생각합니다.

공격자가 여러분을 공격할 수 있는 방법을 생각해 보세요. 항상 검은 모자를 쓰고 공격자처럼 생각하는 것이 좋다는 것을 인식하는 것이 매우 중요합니다. 보안 워크플로우를 구현하는 데 많은 도움이 될 것 같습니다. 특히 보안, ICD, DevSecOps, 요즘 워크플로우에서 그렇습니다.

보안 문화의 변화

Tom Gorup: 그래서이렇게됐어요. 멋지네요. 그리고 우리는 시간이 지났습니다. 마지막 주제는 문화에 관한 것이었습니다. 그래서 저는 여러분 각자가 몇 초, 1분 동안 여러분이 무엇을 바꾸어야 하는지에 대한 관점을 제시하고 싶은지 알려주시기를 바랍니다. 그래서 예측은 덜 했지만, 오늘날의 비즈니스를 보면, 그들이 직면한 문제들을 볼 수 있습니다. 리소스 제약에서 우리가 이야기한 모든 것들은 공격자들이 더 효과적이고 제로데이 취약성을 발견하고 있습니다. 기업이란 무엇인가, 무엇을 살펴봐야 하는가? CISO들은 어떻게 2024년과 그 이후의 사고방식을 바꾸어야 할까요? 매주 이 소방훈련을 중단하기 위해 무엇이 바뀌어야 할까?

앤드류 존슨: 제가 최근에 읽은 한 가트는 가트너 통계에 따르면 사이버 보안 리더의 25%가 2년 안에 완전히 다른 역할을 수행할 것이라고 합니다. 50%는 직업을 바꿀 것이다. 대부분 직장에서의 스트레스에 기인한다.

그리고 우리는 CISO가 매우 어려운 일이라는 것을 알고 있지만 많은 보안 업무도 마찬가지입니다. 그래서 제 말은. 제 생각에는, 음, 여러분도 알다시피, 사람들을 순환시키는 측면에서 더 많은 계획이 필요하다고 생각합니다. 보안 배경이 없는 개발자들을 보안에 끌어들이는 것은 공동의 책임이 되어야 합니다.

많은 조직과 보안 담당자가 수많은 솔루션을 관리하고 있습니다. 그래서, 비상 사태가있을 때, 당신은 그들을 태울 때마다 한 사람에게 갈 수 있습니다. 그래서, 그것은 프로세스와 모든 사람들이 보안의 일부가되는 문화의 관점에서 더 중요합니다. 도움이 될 것 같습니다.

리처드 유: 나는 그것을 좋아한다. 제 생각에는, 음, 우리가 보안 리더의 관점에서 바라본다면, 그렇죠? 아시다시피, 여러분은 관리해야 합니다. 여러분은 동료들과 함께 측면적으로 관리해야 합니다. 그래서 보시다시피, 그러고 나서 관리하셔야 합니다. 그렇죠? 하지만 저는 문화를 만드는 것이 매우 중요하다고 생각합니다.

만약 우리가 그것을 측면과 위쪽 관점에서 바라본다면, 그렇죠? 기대 설정은 매우 중요합니다. 아시다시피, 우리는 항상 유출이 발생할 때마다 CISO가 해고된다는 농담을 듣습니다. 이것이 CISO가 업계에서 그러한 전환기를 겪고 있는 이유입니다. 더 이상 이런 일은 일어나지 않을 거라고 확신해요, 그렇죠?

그러나 그것은 실제로 기대에 부응합니다. 제품 관리자로서 기대치를 설정해야 합니다. 이해관계자의 기대치를 설정하는 것은 제 업무에서 가장 중요한 부분 중 하나입니다. 하지만 이사회와, 동료들과 기대치를 설정하는 것은 놀랄 일이라는 것을 압니다. 그렇죠? 100% 안전이란 없다. 한번은 닥터 에릭 콜이라는 남자에게서 들었는데 팟캐스트죠? 그는 이렇게 말합니다. “어떻게 하면 휴대폰을 100% 안전하게 만들 수 있을까?” 그는 그것을 불 구덩이에 던져 넣었습니까? 100% 보안은 0% 기능을 의미하기 때문입니다.

보안 전문가로서, 당신은 독단적이 될 수 없습니다. 보안, 첫 번째 임무는 비즈니스를 운영하는 것입니다. 보안은 슈퍼카에 강한 브레이크를 달고 있는 것과 같죠? 그것은 사업이 힘들게 브레이크를 밟을 수 있게 한다. 당신은 왜, 당신은 무엇을 열심히 브레이크해야 하는가? 빨리 가고 싶으니까. 이것이 요점입니다. 페그가 비즈니스에 어떤 영향을 미치는지 생각해 보십시오.

왜냐하면 100% 보안을 원한다면 공격에서 모든 것을 차단할 것이라는 100% 보증을 원하기 때문입니다. 음, 블랙리스트 0, 0, 0, 0 슬래시 0으로 가세요. 그리고 넌 괜찮아. 그냥 하루라고 부르세요. 100% KPI를 달성했지만, 그게 요점이 아니죠?

비즈니스를 가속화해야 합니다. 이를 문화로 발전시켜야 합니다. 그리고, 아시다시피, 아래로내려가는것처럼보인다면, 그렇죠? 다시 말하지만, 보안은 처음부터 시작됩니다. 보안은, 다시 말하지만, 내가 전에 사용했던 또 다른 비유에서 시작됩니다. 다른 팟 캐스트에서 나를 들었다면 보안은 케이크를 만드는 것과 같습니다.

케이크에 장식이 아니야 그것은 후속 생각이 아닙니다. 아시다시피, 소프트웨어 계획의 첫 단계부터 시작해야 합니다. 특히 SaaS 상점이라면, 웹 기반이라면, 대부분의 비즈니스를 온라인에서 처리합니다. 당신은 케이크에 밀가루처럼 보안에 대해 생각해야합니다.

첫날부터 케이크를 만들 때와 마찬가지로, 실제로 일을 잘하고 있다면, 케이크를 먹을 때 밀가루를 알아차리지 말아야 합니다. 케이크를 먹을 때 밀가루를 알아차린 사람이죠. 그렇죠? 그리고 그것이 보안이 되어야 하는 방식입니다. 따라서, 이는 독단적인 하향식 규정 준수가 되어서는 안 됩니다. 처음에 추진되는 것과 같이 시작되어야 합니다. 긴밀한 협업, 임베디드 보안 팀 또는 개발 팀을 통해 시작되어야 합니다. 보안이 제대로 이루어지도록 해야 합니다. 막을 수 있는 것은 운영 팀이 알고 있는 것들이기 때문에 많은 시간을 소비할 필요가 없습니다.

Tom Gorup: 네, 효율성이 있습니다. 그리고 나는 거기에 작은 인용을 사랑 해요. 100% 보안은 0% 기능입니다. 그것은 좋은 통계입니다. 그리고 전적으로 동의합니다. 문화가 중요하다. 이를 조직의 토대에 어떻게 구축할 수 있습니까? 그래서 그것은 대화의 일부가 되 고, “오, 우리는 보안 팀을 참여 해야 합니다.”

우리는 0일차부터 그 대화를 해야 합니다. 하지만 여러분은 그것을 흥미롭게 만들어야 합니다. 제가 한 가지 가지고 있는 것은, 여러분이 그 규정 준수 교육을 보시면 지루합니다. 상관없어. 시기적절하지 않아요. 우리는 보안을 흥미롭게 만들기 위해 이것을 바꿔야 합니다. 10년 전에 사람들에게 안전에 대해 이야기하려고 했던 것이 기억납니다. 그리고 그들의 눈이 흐릿해질 것입니다.

그러다가 갑자기 헤드라인을 장식하기 시작했고, 모든 사람들이 관심을 갖게 되었습니다. 그리고 다른 방향으로 돌아갈 수 있다고 생각합니다. 우리가 단조로운 훈련으로 다시 지루한 사람들을 괴롭히기 시작한다면, 시기적절하게 만들어서 적절하게 만들자. 다시 한 번 말씀드리지만, 보안이 있는 우리 비즈니스의 토대인 핵심에 구축해 보겠습니다. 후속 생각이 아니다. 케이크의 일부이지만, 나도 베이커가 아니야.

리처드 유: 그래서 모두가 검은 모자를 쓰고 시작해야 합니다. 아시다시피, 웹사이트를 탐색할 때 무엇이 잘못될 수 있는지 보고 검은 모자를 쓰세요. 이봐, 당신을위한 형태가 있습니까? 이게 제가 형태로 넣은 건가요? API 엔드포인트는 어디에 있습니까?

이봐, 내가 스팸하면 어떻게 된거야? 아시다시피, 생각하듯이, 해커의 사고방식을 검은 모자를 쓰고 회사의 문화로서 그렇게 하세요.

톰 고럽: 네, 저는 그것을 좋아합니다. 맘에 들어. 그래서 우리는 끝났습니다. 하지만 저는 이것이 훌륭하다고 말하고 싶습니다. ThreatTank의 첫 번째 에피소드. 그래서 나는 두 사람이 그것에 감사드립니다.