Akamai 보안 전문가의 최신 인사이트를 통해 사이버 위협에 대비하십시오.
지금 구독하여 수신:
- 새로운 ThreatTank 에피소드 출시
- 업종별 주요 공격 트렌드
- 실행 가능한 인사이트 및 대응 전략
- 그리고, 더!
ThreatTank 소개 – 에피소드 3: 공격면 관리
Tom Gorup: Threat Tank에 오신 것을 환영합니다. 최신 위협 인텔리전스, 위협 대응 및 전 세계 보안 환경에 대한 통찰력을 다루는 팟캐스트입니다. 저는 Edgio의 보안 서비스 담당 부사장인 Tom Gorup입니다. 그리고 오늘 제프 패처와 크리스 에레라가 함께 합니다. 안녕하세요, 제프와 크리스.
제프 패처: 네, 감사합니다.
크리스 에레라: 저희를 찾아주셔서 감사합니다.
Tom Gorup: 네, 좋은 대화가 될 것입니다. 공격면 관리, 그 가치, 무엇인지에 대해 자세히 알아보겠습니다. 하지만 우리가 ThreatTank 팟캐스트에서 전통을 구축하고 있기 때문에, 저는 빙산을 깨는 질문을 열어보고 싶습니다. 이번이 처음이라면, 나는 손님들에게 이런 질문을 하지 않는다. 그래서, 그들은 내가 무엇을 묻고 있는지 전혀 모른다. 그리고 이것은 제가 처음 읽었을 때 큰 소리로 웃게 만들었습니다.
질문은, 크리스와 제프, 만약 당신이 이것을 할 준비가 되었다면, 과일이라면, 당신은 어떤 과일이 될 것이며, 어떻게 먹지 않을 것입니까?
크리스 에레라: 오 이런. 음, 우리가 그것을 보통 사람에 의해 먹는다고 정의한다면, 아마도 두리안이라고 생각할 것입니다. 제 이해는 그 냄새가 꽤 더러운 냄새를 맡을 때, 그리고 그들은 심지어 식욕을 돋우지 않는다는 것입니다. 하지만 그건 제가 무지함으로 말하는 것일 수도 있습니다. 왜냐하면 저는 실제로 본 적이 없기 때문입니다.
Tom Gorup : 그래서, 당신은 두리안이 될 것입니다. 왜냐하면 먹지 않는 것은 보이고, 나쁘게 보이고, 나쁜 냄새가 나고, 나쁜 냄새가 나고, 아마도 나쁜 맛이 나기 때문입니다.
크리스 에레라: 네, 맛이 나빠요.
톰 고럽: 좋아, 그래.
제프 패처: 그들은 지하철에서 두리안을 좋아하지 않습니다. 계절에 자라는 대부분의 장소에서 두리안은 정말 끔찍한 냄새가 납니다. 하지만 정말 많이 먹혀요, 크리스 그래서 피할 수 있을지 모르겠어요 맛있어요. 마치, 어떻게 피할 수 있을까요?
Tom Gorup: 네, 할라피노처럼 느껴지죠. 다들 너무 뜨겁다고 생각해요. 하지만 여전히 가장 뜨거운 후추처럼 먹고 싶은 사람들을 위한 시장이 있어요. 그래서, 뭘 얻었어, 제프?
제프 패처: 난 그냥 무화과를 가지고 갈 거야. 저는 무화과가 될 것이고, 먹는 것을 피하려고 하지 않을 것입니다. 왜냐하면, 알다시피, 과일이라는 요점은 실제로 소비되는 것이기 때문입니다.
Tom Gorup: 당신이 소비되고 싶은 이유는 그것이 당신이 확산되고 더 많은 과일 나무를 키우는 방법이기 때문입니다. 그렇죠?
제프 패처: 그래서 여러분은 어떤 종류의 동물이든 소화기관을 통해 흥미로운 여행을 하게 됩니다. 무화과는 정말 맛있고, 그 트릭은 네, 실제로 신선하게 구할 수 있는 곳으로 가져가는 겁니다. 왜냐하면 대부분의 장소는 가게처럼 사야 하는데, 그들은 단지 신선하게 골라지지 않기 때문입니다. 하지만 신선하게 먹을 수 있는 곳에 산다면 더 좋은 과일은 없을 것입니다.
Tom Gorup: 뭔가를 통해 재미있는 여행으로 묘사했다는 사실에 대부분 흥미를 느낍니다.
제프 패처: 제 말은, 마법의 스쿨 버스는 어땠을까요? 여러분들이 참여할 수 있는 곳, 소화기관을 통한 여행을 아시나요? 동일합니다. 아마 모든 사람이 그런 언급을 받지는 않을 거라고 생각해요.
크리스 에레라 : 릭과 모티의 조금 덜 PG 버전은 에피소드의 매우 유사한 유형을 할 때.
톰 고럽: 좋아.
제프 패처: 맞아요. 맞습니다.
Tom Gorup: 그래서, 제가 생각하고 있던 대로 함께 연주하겠습니다. 아마 딸기를 생각하고 있었으니까요. 하지만 저는 제 씨앗을 작은 BBS처럼 만들고 싶어요. 그래서 그들은 당신이 좋아할 수 있도록 너무 단단합니다. 만약 당신이 그들을 물면 이빨을 깎을 것입니다. 그래서 아무도 그것을 먹고 싶지 않을 것입니다. 그러나 당신의 요점까지 나는 넓고 광대하게 퍼지지 않을 수 있습니다.
Chris Herrera: 흥미롭게도 그 대답에 문제가 하나 있습니다. 이미 물린 후에 그들은 당신을 먹고 싶지 않다고 결정할 것입니다.
톰 고럽: 오, 냄새가 나기 때문이죠. 그들은 당신을 먹고 싶지 않을 것 같아요.
크리스 에레라: 그리고 난 안 좋아 보인다.
톰 고럽: 대단하네요. 그거 좋아. 그래. 시작하겠습니다. 바라건대 빙산이 우리가 토론하는 것만큼이나 다른 사람들에게도 재미있기를 바랍니다. 하지만 주제에 대해 알아야 합니다. 이 주제는 공격에 대한 취약성 관리입니다. Chris, ASM으로 약어인 공격 표면 관리가 무엇인지 설명해 주시겠습니까?
크리스 에레라: 저는 제가 바라는 것과 매우 정확한 정의라고 생각하는 것을 말하겠습니다. 하지만 다른 보안 담당자, 다른 전문가, 다른 분야의 다른 사람 앞에서 이야기할 때 항상 그렇듯이 잘못되거나 가볍게 말하는 것을 두려워해야합니다.
제가 틀린 부분이 있으면 수정해 주십시오. 하지만 ASM, 공격 표면 관리는 간단히 말해 디지털 자산을 식별, 우선 순위 지정, 모니터링 및 분석하는 다양한 측면을 통합합니다. 웹 서버, IP 주소, API 엔드포인트, 애플리케이션 같은 디지털 자산에 의해 인터넷이나 그 선을 따라 노출될 수 있는 환경 내에서 디지털로 존재하는 모든 것들 말입니다. 그리고 ASM이 게임에 나온다.
공격에 대한 취약성 관리는 이러한 개별 단어를 생각할 수 있습니다. 그 중 하나는 공격 허점을 관리하고 있다는 점입니다. 따라서, 볼 수 있는 것, ping 또는 프로빙할 수 있는 것 또는 인터넷에서 공격 표면으로 간주되는 모든 것. ASM을 사용하면 사용 가능한 항목과 사용 가능한 항목을 확인할 수 있습니다. 당신이 알지 못했던 것들이 거기에 있었을 수도 있습니다. 그런 다음 한 단계 더 나아가 이상적으로 어떤 유형의 응용 프로그램, 어떤 서버, 어떤 버전이 실행되고 있는지 알려줄 수 있습니다. 그런 다음 CVSS(Common Vulnerability Scoring System), Zero-day 취약점 등의 다양한 취약점과 연계하여 디지털 자산 내 공격 표면에 대해 훨씬 더 잘 파악할 수 있는 추가 단계도 있습니다. 그래서 그것보다 훨씬 더 많은 것이 있습니다. 분명히 오늘 논의할 내용이지만, 공격에 대한 취약성 관리가 무엇인지에 대한 좋은 출발점이 되기를 바랍니다.
톰 고럽: 네. 인터넷에서 인터넷을 검색하는 도구를 말하는 가장 기본적인 방법과 같습니다. 음, 인터넷이 여러분의 자산을 대면하고 일종의 도구로 모으는 겁니다.
크리스 에레라: 네, 맞아요.
톰 고럽: 가장 기본적인 설명입니다.
크리스 에레라: 네. 그래서 저는 이것을 어떻게 시각화하는지에 대한 은유를 생각해보려고 했습니다. 그리고 제가 생각할 수 있는 가장 좋은 것은 스타트렉이나 스타워즈 같은 것들입니다. 화면에 선박 모니터가 있고 저기 모든 다른 부품들이 있고 우주선에 있는 모든 요소들을 감시하는 것입니다. 레이저나 무기 또는 그 선을 따라 격추될 수 있는 우주선의 모든 요소들을 감시하는 것이죠. 그리고 거기에 무엇이 있는지 알려주는 것 외에도, 그들의 상태를 알려주는 것입니다.
그들이 어떻게 하고 있는지 알려주고 있습니다. 또한 몇 가지 추가 정보를 제공할 수 있습니다. 여러분도 아시다시피, 다른 자산에 대해서도 더 알고 싶다면, 탐사기를 보내고, 스캔을 보내고, 다른 사람에 대한 정보를 얻고, 다른 사람에게는 유용하지 않을 수도 있습니다. 그러나 나를 위해, 그것은 스타 트랙과 스타 워즈 때문에 적어도 ASM을 실제 예가 아닌 것에 묶는 정신적 그림을 얻는 좋은 방법이었습니다. 하지만 당신은 그 선을 따라 뭔가를 알고 있습니다.
톰 고럽: 그 정의에 빠진 게 있나, 제프?
Jeff Patzer: 예, 아시다시피, 저는 개발자 배경, 엔지니어링 배경에서 왔습니다. 저는 또한 여러분이 가진 것의 내부 작용과 같은 빌딩 블록만큼 그것을 생각합니다. 제 공격 영역이 어떻게 생겼는지 생각할 때, 여러분이 구축한 것은 실제로 공격 취약점입니다. 그렇죠? 만약 여러분이 라이브러리의 관점이나 그런 것을 코드에 추가하기로 결정한 것에 대해 생각하고 있다면, 여러분은 인터넷이 여러분에게 어떻게 도달할 수 있는지에 대한 것이 아니라, 일단 무언가가 여러분의 시스템 내에서도 어떻게 할 수 있는지에 대한 것입니다.
스타트렉 비유를 확장하기 위해 엔진의 상태를 모니터링하는 것은 레이저 보호 분야가 무엇을 하고 있는지 아는 것만큼 중요합니다. 그래서 저는 이런 생각을 하게 됩니다. 만약 여러분이 외부 라이브러리를 사용하고 있다면, 어떤 종류의 소프트웨어를 사용하고 있다면, 여러분은 어떤 종류의 오픈소스 라이브러리를 사용해서 더 큰 소프트웨어 조각과 같은 것을 만들 것을 보장받을 것입니다. 그 안에 무엇이 들어 있는지, 그리고 그들이 가질 수 있는 취약점들을 아는 것은 사람들이 상호작용할 수 있는 외부적인 부분들만큼이나 중요하다.
Tom Gorup: 제 다음 질문은 왜 그것이 가치있는 것만큼이나 모니터하는 것이 중요하다고 말했는지입니다. ASM을 실행하면 어떤 가치가 있습니까?
Chris Herrera: 제 첫 번째 생각은 많은 보안 팀이 회사나 집에 있는 개인에 대해 구체적으로 이야기한다면 쉽다는 것입니다. 글쎄, 반드시 쉬운 것은 아닙니다. 자신이 알고 있고 익숙한 것을 안전하게 지키는 것은 간단합니다. 하지만 정확히 제프의 요점으로, 여러분은 이러한 도구들, 이러한 환경들을 수많은 개별적인 조각들로 만들어내고 있습니다. 그리고 각각의 개별 조각은 공격 표면, 즉 전체 표면에 기여합니다. 나는 지금 그것에 대해 더 나은 단어를 생각할 수 없다. 끝까지 생각해보도록 하겠습니다.
각각의 조각들은 약한 고리가 될 수도 있고, 알다시피, 군대에서 가장 느린 행군자가 될 수도 있습니다. 그리고 이 모든 것이 공격에 대한 취약성 관리 도구로 열거되도록 하는 것 외에도, 인벤토리 기술은 이러한 도구의 우선 순위를 지정하고 이러한 도구가 다운되거나, 전체 시스템이 다운되거나, 시스템의 우선 순위를 지정하거나, 소프트웨어의 최신 버전에서 가장 취약하거나, 가장 최근의 제로 데이 취약점에 노출되어 있다는 것을 알려줄 수 있습니다.
또는 우선 순위를 정할 수도 있습니다. 이봐, 이것들은 패치하기에 가장 간단한 것들인데, 만약 당신이 낮은 걸림의 과일을 먹고 싶거나, 알다시피, 그냥 발을 젖게 하고 싶다면 말이죠. 반드시 디스패치하는 것은 아니지만 전반적인 보안 태세를 강화해야 합니다.
제프 패처: 네. 아시다시피, 제가 이것에 더할 수 있는 가치는 일종의 감시 시스템 없이는 모든 것을 최상위에 유지하는 것이 근본적으로 불가능해지고 있다는 것입니다. 그렇죠? 그 시스템은 점점 더 복잡해지고 있다. 아시다시피, 제가 항상 ASM에 대해 생각했던 비유는, 옛날에 우리가 성을 지을 때 침략군으로부터 보호하기 위해 무엇을 했습니까? 벽을 뚫을 수 있는 유일한 방법은 문 두 개뿐이었죠? 그래서, 어떤 면에서는, 포트는 인터넷의 문과 같습니다. 아시다시피, 성이단순한것처럼요, 그렇죠? 벽과 해자, 그리고 들어오고 나갈 수 있는 장소가 있는 것처럼 말이죠. 그러나 복잡성을 쌓고, 그것들을 감시할 수 있기 때문에, 장군들에게 말하는 커플 러너들처럼 더 많은 것이 필요합니다. 이게 그 문의 상태입니다, 그렇죠?
지금 이 시점에서 소프트웨어를 사용하면 통제권을 팀 구성원들의 손에 통합할 수 있습니다. 그렇죠? 이 시점에서 누구나 문을 만들 수 있습니다. 누구나 능력을 확장할 수 있다. 그리고 만약 여러분이 사람들에게 이 모든 것을 관리하고, 그 복잡성을 추적하도록 의존한다면, 그것은 시간이 지남에 따라 무너질 것입니다. 그래서, 제게, 그 가치는 복잡성을 키울 수 있다는 것과 같아요. 하지만 조금은 손을 잡아두세요. 사람들이 무언가를 할 수 있도록 허용하는 것, 그리고 그들이 노출하고 추적하는 것들로서 일어나는 일들을 모니터링하는 것 같아요. 그렇지 않으면, 상황이 더 복잡해질수록, 인간이 이런 종류의 시스템을 추적할 수 있는 방법이 없기 때문입니다. 우리도 그래서는 안 됩니다.
김정일: 네, 100% 그렇습니다. 여러분 중 몇몇은 성의 비유가 둘레라고 말하곤 했습니다. 성 방어는 죽었어. 둘레가 없잖아, 그렇지? 우리는 다양한 멀티 클라우드 하이브리드 환경, 일부 데이터 센터, 일부는 Azure, 일부는 AWS, 일부는 GCP 및 Digital Ocean에 있습니다. 우리는 모든 곳에 있습니다. 우리는 밖에 있는 모든 것을 알고 있습니까?
보안 태세에 대한 생각을 살펴보면 가시성, 노출 및 위협이라는 세 가지 기둥으로 분류합니다. 내가 볼 수 없는 것을 보호할 수 없다. 내 취약점이 어디에 있는지, 그리고 어떻게 공격을 받는지 이해해야 합니다. 공격에 대한 취약성 관리는 처음 두 가지 요소, 특히 가시성과 제가 몰랐던 것들에 대해 많은 것을 제공합니다. 오픈 포트, 앱에서 사용하는 API 기술뿐만 아니라 내 환경 내에 존재하는 취약성 중 공격을 받을 수 있는 취약점이 무엇인지도 강조합니다. 그래서 그것은 매우 강력한 것처럼 보입니다. 하지만, 보통 어떤 팀이 이런 종류의 도구를 실행할까요? AMS를 실행해야 하는 보안 팀에서만 볼 수 있습니까?
Chris Herrera: 과거에는 보안 팀이 ASM 도구를 조달하고, 가동하고, 일관되게 사용하고, 결과를 해석하고, 결과를 조직 내의 다른 팀으로 가져오는 책임을 맡고 있거나 담당해 왔다고 말하는 것이 정확하다고 생각합니다. 어쩌면 그들은 그들이 몰랐던 자산이나 그들이 몰랐던 호스트 이름이 여전히 실행 중이거나 그 라인에 따라 무엇인가를 발견하고 있습니다.
하지만 그것이 앞으로 나아가야 한다는 것을 의미하는지 반드시 모르겠어요. 기술이 어떻게 복잡해지는지는 흥미롭습니다. 하지만 기술이 우리에게 어떤 도움을 줄 수 있는지에 관해서도 말이죠. 서로 다른 팀들 사이의 경계를 흐리게 합니다. 이것이 바로 역사적으로 우리가 dev SecOps나 DevOps와 같은 용어들과 애플리케이션을 구축하는 사람들을 지칭하는 방식입니다. 구체적인 예로, 지난 5-10년 동안 시간이 지남에 따라 변했습니다. 그리고 저는 이것이 보안이 모든 사람들의 삶에 어떻게 스며들어 있는지를 보여주는 신호라고 생각합니다.
이제 더 이상 보안 팀만 있는 것은 아닙니다. 제 경험으로는 제가 뭘 하는지 모르겠지만 보안은 제가 매일 하는 일이 아닙니다. 하지만 저는 명목상으로는 보안과 아무 상관이 없는 다른 팀원들과 교류하고 있습니다. 하지만 그들은 단순히 일을 하기 위해 많은 것을 알고 있습니다.
제프 패처: 글쎄요, 네, 저는 당신이 그렇게 표현하는 방식이 정말 마음에 들어요, 크리스. 저는 모든 사람이 어떤 형태로든 보안과 상호 작용한다는 의미에서 말하는 방식이 정말 마음에 듭니다. 이 시점에서 전자 메일을 여는 경우든 보안 문제와 상호 작용하는 경우든 말이죠. 예를 들어, 당신은 피싱 당하고 있습니까? 당신은, 알고 있듯이, 사물을 검사하고 있습니까? 기술적으로, 누군가가 당신을 공격할 수 있는 표면의 한 종류입니다.
그래서, 어떤 팀들이 그것을 사용하는지 물어볼 때, 나는 역사적으로 당신이 그것을 좋아하고 개발자들이 옳다고 느낀다고 생각합니다. 그들은 매우 구체적인 이유로 그것을 사용하고 있습니다. 하지만 전체적으로 성장하고 있죠? 그리고 제가 말했듯이, 이 시점에서, 여러분이 무언가를 등록하는 파트너가 있기 때문에 받아들이는 양식을 만들고 싶다고 가정해 봅시다, 그렇죠? 이 정보를 수집하는 자동화를 구축하여 조직 내 또는 조직 외부의 누구에게나 보낼 수 있습니다.
앞서 말했듯이 팀원들이 특정 웹 기반 작업을 수행하지만 여전히 해당 조직의 데이터 수집의 일부인 웹 서버를 구축하는 것과는 다른 작업을 시작할 수 있습니다. 우리가 모든 사람들을 앞으로 나아가면서, 어떤 의미에서 온라인에 접속한다면, 어떤 식으로 당신이 어떤 식으로 있든, 당신은 노출되어 있습니다. 여러분은 어떤 형태로든 상호작용을 하고 있습니다. 예.
Chris Herrera: 그리고 제 생각에, Tom은 이러한 도구에 대해 전형적으로 또는 예상되는 팀에 대한 질문을 받았습니다. 과거와 현재에도 안보가 그런 책임을 져왔다는 것은 의미가 있다고 생각합니다. 하지만 ASM이 보안 정보를 제공하는 것 이상의 기능을 수행할 수 있다는 점을 고려하면 재고 도구 전에 언급한 것처럼 ASM을 사용할 수도 있습니다. 보안이 아닌 팀에게 이 기능이 매우 유용한 이유를 알 수 있습니다. 보안에서 일하면서, 나는 종종 다른 팀과 다른 고객과 함께 일하고 로그 및 무엇에 대한 나의 분석을 수행합니다.
저는 그들에게 몇 가지 공격을 목격한 도메인들을 소개합니다. 저는 항상 흥미롭습니다. 그들의 반응이 오 와, 12개월 전에 그 도메인을 해제할 줄 알았는데 여전히 켜져 있는 것으로 밝혀졌습니다. 그것은 여전히 인터넷에 매우 개방되어 있습니다. 여전히 많은 공격을 받고 있습니다. 따라서 재고 측면은 비보안 담당자가 정기적으로 사용할 수 있으며 실제로 사용하는 것이 얼마나 쉬운지에 따라 달라질 수 있습니다.
Tom Gorup: 네, 좋아요. 그리고 제프, 공격 표면에 대해 이야기하는 것은 오픈 포트에 머물러 도메인에 연결하는 것보다 훨씬 큽니다. 아시다시피 하위 도메인 탈취가 있습니다. 일부 제3자에 연결된 도메인을 탈퇴하고 3년 후 하이재킹을 당해 맬웨어를 제공하고 도메인을 블랙리스트에 올립니다. 그것은 모두의 문제입니다. 이것은 전체적으로 비즈니스 문제입니다. 하지만 더 나아가 보시면 이메일이 온전한 요인이라는 것을 알 수 있습니다.
공격에 대한 취약성 관리를 위한 도구가 있지만 공격에 대한 취약성 자체는 비즈니스의 모든 측면을 포함하는 광범위한 대화이며 보안 팀이 모니터링하는 것에만 국한될 수는 없습니다. IT 부서가 참여하고, 엔지니어링이 참여하고, 마케팅도 참여해야 합니다. 이러한 모든 팀은 비즈니스를 효과적으로 보호하기 위해 서로 대화를 나눌 필요가 있습니다.
Jeff Patzer: Tom, 이것과 Chris에 대한 간단한 질문입니다. 크리스, 지금 말씀하시는건데, 저는 로그를 검토하듯이 로그를 보고 있습니다. 많은 사람들이 로그 라인을 보지 않는다는 뜻이죠, 그렇죠? 여러분이 그들에게 보여주듯이 그리고 그들은 지금 매트릭스처럼, 저는 그런 것들을 하지 않습니다. 공격에 대한 취약성을 아는 사람에게 더 잘 전달하는 데 사용할 수 있는 데이터 시각화 유형에 대한 귀하의 생각은 무엇입니까? 이러한 시각화는 엔지니어링 배경에서 나온 것이 아닐 수 있습니다. 그것들은 IT 배경에서 나온 것이 아닙니다. 그들은 매일 일어나 로그 라인을 보면서 그 밑의 행렬을 설명하는 것과 같은 것을 줄 수 있습니다. 당신은 어떻게 생각하세요? 효과적으로 그렇게 할 수 있는 방법에 대한 당신의 남자의 생각은 무엇입니까?
크리스 에레라: 오, 정말 좋고 흥미로운 질문이군요. 저는 데이터 시각화에 능숙하지 못했지만, 그것을 볼 때 그것을 알고, 내가 그것을 볼 때 좋은 데이터 시각화를 알고 있다는 생각이 듭니다. 제 머릿속에는 이런 일시적인 아이디어가 떠올랐습니다. 웹 애플리케이션의 관점에서 모든 것을 시각적으로 볼 수 있었으면 하는 생각이었죠. 인터넷에서 사용할 수 있는 도메인을 확인하고 싶습니다. 나는 그것이 의미하는 바가 무엇이든간에, 그에 따라 그룹화하기를 원합니다. 그런 다음 해당 소프트웨어로 이동하여 어떤 버전을 실행하고 있는지 확인하고 싶습니다. 이상적인 환경에서 켜기 및 끄기를 클릭하면 이러한 여러 엔드포인트에 적용할 수 있는 취약점이 무엇인지 확인할 수 있습니다. 하지만 대부분, 저는 정확히 무슨 일이 일어나고 있는지 높은 수준에서 볼 수 있는 시각적 보기를 원합니다. 그리고 거기서 드릴인 할 수 있기를 원합니다.
톰 고럽: 네. 이를 두 번 탭하면 노드 그래프가 매우 강력하며 한 각도에서 공격자의 진행 상황을 보여주는 사고 대응 프로세스와 같은 여러 측면을 볼 수 있습니다. log4j가 좋은 예입니다. log4j 사고 대응 관점에서 MDR 관점은 손상 후 활동입니다. 제로데이 공격이기 때문입니다. 서명이 없죠? log4j가 나왔을 때, 아무도 log4j 악용에 대한 서명을 가지고 있지 않았습니다. 왜냐하면 아무도 그것에 대해 알지 못했기 때문입니다. 하지만 우리가 알아낸 것은 아웃바운드 명령 및 제어 트래픽이었습니다.
단일 명령 및 제어 서버에 도달하는 무수한 자산을 선택할 수 있다면 손상된 자산을 더 빨리 찾아낼 수 있다는 뜻입니다. 그렇다면 이들은 무엇에 연결되었을까요? 노드 시각화와 같이 로그만으로는 할 수 없었던 연결을 만드는 데 도움이 된다고 생각합니다. 항상 배트맨 음파 탐지기와 같다고 생각해요, 그렇죠? 구석과 장소에서 이러한 뷰를 얻고 노드 그래프를 통해 볼 수 없었던 연결을 보는 것과 같습니다. 나는 하루 종일 노드 그래프에 흥분할 수 있습니다.
크리스 에레라: 내 말은, 누가 못하겠어요?
Jeff Patzer: 네, 만약 여러분이 아주 독단적인 DataViz 남자들이 어떤지 보고 싶다면, 크리스 에드워드 터프테가 그 남자입니다. 그는 이것에 대한 독창적 인 작품이 어떻게 생겼어야하는지 알고 있습니다. 그는 매우 의견이 많지만 좋은 물건을 가지고 있습니다.
톰 고럽: 사랑해. 확인해 볼게요 이 모든 것이 제게 대단한 것처럼 들립니다. 저는 이 도구를 배포했습니다. 우리는 이것을 공격 표면 관리라고 부릅니다. 그리고 갑자기 인터넷, 포트 번호, API, 애플리케이션 서비스 등에 개방된 모든 자산의 인벤토리가 생겼습니다. 나는 그들이 어떻게 취약해지고 어떻게 공격 당할 수 있는지 알고 있습니다. 그리고 이 모든 것들이 전혀 그래프가 없는 것처럼 보여집니다. 그렇죠? 그렇다면 무엇이 잘못될 수 있을까요? 이 시점에서 기업들은 어떤 어려움을 겪게 될까요?
크리스 에레라: 글쎄, 아무것도 아니야. 당신은 그 시점에서 끝났습니다.
톰 고럽: 네. 맞습니다. 끊어.
크리스 에레라: 아니요, 앞서 이야기했던 주제들과 매우 비슷하다고 생각합니다. 각 팀마다 각기 다른 유형의 작업을 하고 있고 다른 분야에 많은 현지 전문가들이 있음에도 불구하고 말이죠. 하지만 오늘 논의할 ASM의 출력 유형과 앞서 이야기한 바와 같이 출력 유형은 여러 팀에서 매우 유용합니다. 제 생각에 이런 것들은, 아시다시피, 함께 일하는 모든 팀들은 정보를 공유하고 협업할 수 있어야 합니다.
이것은 훨씬 더 효율적으로 만들 수 있을 뿐만 아니라, 뒤에서 일어나는 일에 대한 모든 사람들의 지식을 높이고, 보안 태세가 악화되지 않고 이상적으로는 훨씬 더 나아질 수 있도록 앞으로의 길을 묘사함으로써 모두를 위한 물을 높일 수 있는 도구입니다.
Jeff Patzer: 네, 제가 생각해보는 한 가지는 이것을 위해 일어날 수 있는 분리된 작업들을 어떻게 분배할 수 있느냐는 것입니다. 그건 힘들어요. 왜냐하면 여러분이 말하기를 “좋아, 보안 문제를 해결해야 해.” 라고 할 때, 이런 자세는 쉬울 수 있기 때문이죠. 그 중 일부는 워드 프레스의 버전을 업그레이드 가서 같이 더 어려울 수 있습니다. 잘 모르겠어요, 쉽겠죠, 아닐 수도 있어요. 하지만 코드 패키지를 업그레이드하는 것과 같이, 특히 주요 버전과 같은 버전에서 이러한 것들을 살펴보고 이렇게 말하는 데 많은 노력이 필요합니다. 이미 생산되고 있는 것을 깨뜨릴 수 있을까요? 개발자의 관점에서, 그것은 충분히 간단하게 들리는 것처럼, 예, 그냥 가서 업데이트이 부 버전 물건을, 그렇게 나쁜 주요 버전 물건을. 효과적으로 하는 것은 정말 어려울 수 있습니다. 그래서, 잘 모르겠어요.
저에게는 거의 보안 태세와 같습니다. 들어오는 일은 거의 리팩터 작업이나 돌봐야 할 오래된 코드를 다루는 것과 같습니다. 그것은 어떤 감각에서는 거의 집안일 같거나 건축과 같은 창조적 인 측면이 아닙니다. 다시 돌아가서 여러분이 한 일을 보고, 물건을 쌓고 수리하고 그런 일을 하는 것을 좋아합니다. 그래서 저는 여러분이 가지고 있는 어떤 도구라도 그 분리된 작업을 무너뜨리는 데 도움이 되어야 한다고 생각합니다. 이를 소유자와 연계하고, 책임질 수 있는 사람들을 배정할 수 있도록 말이죠. 왜냐하면, 하루가 끝날 때, 제가 말했듯이, 복잡한 시스템을 가지고 있다면, 여러분은 많은 다른 일들을 겪게 될 것이기 때문입니다. 그리고 당신이 그것을 관리할 수 있는지 확인하고, 감사하고, 그 일에 대한 당신의 프로젝트를 추적할 수 있는지, 예를 들어 실제 작업을 수행하는 과정이 당신이 그것을 해야한다는 것을 아는 것만큼이나 중요하다고 생각합니다.
톰 고럽: 네, 그렇습니다. 가장 먼저 떠오르는 것은 측정 가능한 결과입니다. 제가 고객들로부터 자주 듣는 말입니다. 고객들로부터 항상 듣는 두 가지 질문이 있습니다. 측정 가능한 방식으로 보안을 강화하려면 어떻게 해야 할까요? 어떻게 측정할 수 있겠습니까, 그것은 나를 더 좋게 만들었고, 나를 더 강하게 만들었습니다. 다음으로 가장 중요한 것은 무엇일까요? 효과적인 우선 순위 지정.
좋아요, 그러니까 생각해보죠. 왜냐하면 제가 생각하기엔 여러분이 가진 많은 일들이 너무 모호할 수 있다고 생각하기 때문이죠. 이 문제를 실제로 어떻게 해결할 수 있습니까? 코드 변경인가요? 구성 변경입니까? 어쩌면 나는 그것을 전혀 해결할 수 없다. 우리는 이 위험을 감수해야 할 수도 있다. 그 과정은 어떻게 생겼습니까? 네, 좋은 조언입니다.
Jeff Patzer: 그리고 제가 생각하게 한 좋은 점은 잡음입니다. 잡음 대 신호 비율과 같은 말이죠. 따라서 도구가 가장 중요한 것이 무엇인지 파악하는 데 도움이된다는 것을 확인하는 것과 같습니다. 그리고 너무 많은 물건에 대한 과도한 인덱싱이 있다면 그것은 큰 문제가 아닙니다. 그것은 경고와 같은 것입니다. 예를 들어, 이봐, 이것은 아마도 당신이 걱정해야 할 무언가가 될 수 있습니다. 예를 들어, 노이즈 대 신호 비율을 구별하는 데 도움이됩니다. 무엇에 집중해야 하는지를 아는 것이 무엇부터 시작해야 하는지를 아는 것이기 때문에 그만큼 중요합니다. 그렇죠?
크리스 에레라: 그렇습니다. 모든 낮은 우선 순위에있는 1000 개의 알림을 받으면 실제보다 훨씬 나쁜 지점에 있다고 생각할 수 있습니다.
톰 고럽: 네 스트라이크 존인 것 같은데, 크리스? 고객과의 적극적인 우선순위 설정. 어떤 시나리오든 이런 생각이 떠오릅니다. 이런 일을 했어야 했거나, 아니면 나쁜 추천을 했을지도 모릅니다. 듣고 싶어요.
크리스 에레라: 그거 좋네요. 아니, 나는 결코 나쁜 추천을하지 않았다. 첫 번째 질문은 분석을 통해 고객과의 협업에 대해 이야기할 때 고객의 웹 애플리케이션 보안을 지원하는 것입니다. 또한 보안 제품에 대한 리뷰, 권장 사항 및 세부 조정 사항을 제시하는 경우가 많습니다. 이는 애플리케이션이 처음부터 보안을 염두에 두고 작성되지 않았기 때문입니다. 그러나 그뿐만 아니라, 또한 자신의 측면에서 쉽게 변경할 수있는 방식으로 작성되지 않았습니다.
이것이 바로 저희 관점, 보안 팀의 관점에서 볼 때 사용자 지정 보안 규칙을 만들어 응용 프로그램 내에서 가상 패치를 수행할 수 있는 이유입니다. 보안 검토와 관련된 질문에 대한 답이 바로 이러한 답변을 통해 고객이 더 잘 할 수 있는 방법을 알 수 있다고 생각합니다. 그리고 제가 나쁜 추천을 하는 것에 관해서, 저는 절대, 제가 잘못된 긍정을 발견한 적이 없습니다.
제프 패처: 절대 해내지 않았어요. 그런 일은 일어나지 않았습니다.
Chris Herrera: 경력 초반에 특정 IP 주소를 추천하거나 블랙리스트에 올리는 것에 대해 조금 지나치게 열성적이었을 것이라고 생각합니다. 당신이 그것에 더 익숙해지면, 그것은 이 시점에서 일종의 방어선입니다. 하지만 그래, 그건 아마 최악의 결정일 거야. 이런 작은 실수들 말이야.
톰 고럽: ASM의 힘은 귀사의 비즈니스, 공격 표면 및 비즈니스가 감수하는 위험을 살펴보고 사용 가능한 도구를 사용하여 이러한 위험을 완화할 방법을 찾는 것입니다. 때때로 패칭은 오늘날 성취할 수 있는 것이 아닙니다. 저는 10년 전쯤 모르는 사건을 연구했습니다. 가장 중요한 자산 중 하나인 Conficker에 감염된 법의학 조사가 있었죠.
Conficker를 기억하시는지 모르겠지만, 이 기계는 분당 너무 많은 돈을 벌기 때문에 오늘날에도 여전히 손상될 수 있습니다. 그것은 그들에게 너무 많은 돈을 벌고있는 어떤 과정을 수행하고있었습니다. 그들의 결정은 단지 네트워크에서 그것을 제거하고 계속 작동하게하는 것이었지만 감염된 채로 남아있었습니다. 사실, 나는 그들이 네트워크에 연결하지 않는 것과 같은 가입을 넣어 생각 하 고 그들이 그것을 해결 하는 방법. 비즈니스 관점에서 볼 때, 이 시스템을 중단하고 관련 매출을 올릴 가치가 없었기 때문입니다. 그들은 오히려 손상된 상태에서 처리하기를 원합니다.
아직 생산중인 Windows XP 컴퓨터가 많이 있다고 확신합니다. WAF가 훌륭하긴 하지만 올바른 툴을 배치한 것과 같은 방식으로 가상 패칭은 훌륭한 예라고 생각합니다. 지금은 패치를 적용할 수 없습니다. 그 사이에 우리는 무엇을 할 것인가? 이를 어떻게 해결하고 여러분의 전문성을 활용하는 것이 훌륭하고 훌륭한 추천이라고 생각합니다. 미묘한 질문이죠.
ASM을 사용할 경우 온프레미스와 클라우드 간에 차이가 있을 것이라고 생각했습니다. 결과가 바뀔 것인가, 공구의 가치가 바뀔 것인가? 이 두 가지 해결책 사이에 어떤 차이가 있을 것으로 예상합니까?
크리스 에레라: 오, 와우. 지금 생각해보니, 많은 변화가 있을 수 있습니다. 결국, 그들은 재고를 파악하고 취약점이 어디에 있는지 파악하는 등 목표와 같은 일을 합니다. 하지만 온프레미스 대 클라우드 기반, 즉, 그것은 일종의; 내 말은, 그것은 많은 보안 제품 및 그들이 모두 지난 10 년 동안 촬영 한 진화와 비슷합니다.
WAF와 관련하여 최소한 전적으로 온프레미스 전용이었던 WAF가 있습니다. 수십만 달러에 달하는 매우 비싼 기계로, 한 대의 기계가 처리할 수 있는 만큼의 처리 능력을 보유하고 있으며, 이제는 대부분 클라우드 기반이므로 사용자는 검사할 수 있는 트래픽 양이나 해당 라인에 있는 모든 것에 대해 걱정할 필요가 없습니다. 따라서 ASM 클라우드 기반과 온프레미스 방식의 경우 기술 기능 및 컴퓨팅 성능과 비슷한 점이 많습니다.
하지만 그것 뿐만이 아닙니다. 기본 아키텍처에 대한 변경 작업을 담당하는 사람이 누구인지에 대한 이분법이 있습니다. 하드웨어를 구입하고, 그 모든 것이 작동하는지 확인해야합니다. 반면에 클라우드 기반 솔루션인 경우, 서비스를 구매하거나 사용하고 서비스 사용 권한을 지불하는 사람의 범위에 속할 수 있습니다. 또한 온프레미스 제품과 클라우드 기반의 다른 보안 제품과 매우 유사한 다양한 기능을 갖추고 있습니다.
따라서 클라우드 기반 ASM은 자체 네트워크 외부에서 사전 예방적으로 스캔하고 전 세계 인터넷을 통해 스캔하는 측면에서 훨씬 더 많은 기능을 갖게 될 것입니다. 적어도 내 생각에는 온프레미스 솔루션은 자체 환경으로 제한될 수 있습니다. 그게 당신이 신경 쓰는 전부라면 의미가 있을지도 모릅니다. 그러나 공격자가 환경에 대해 자신의 관점에서 볼 수 있는 다른 것이나 공격자가 사용할 수 있는 것을 보고 싶다면 그것도 고려해야 할 사항입니다.
제프 패처: 덧붙이고 싶어요, 크리스. 제 생각에 사람들은 가끔 사내에서 하드웨어를 소유하고, 하드웨어를 운영한다고 생각합니다. 나는 그것이 오랫동안 그런 방법이었다고 생각한다. 하지만 여러분이 자신의 소프트웨어를 실행하고, 여러분이 그 소유권을 소유하고 있는 prem이라는 개념도 있을 수 있습니다. 자, 어떤 종류의 오픈소스 패키지처럼 생각해봅시다. 여러분이 알고 있다고 결정한 곳에서는, 처음부터 무언가를 직접 구축하는 것이 아니라, 기존의 오픈소스를 가져와서, 어떤 유형의 클라우드 네트워크에서 실행하지만, 실행되고 있는 것을 관리하고 있습니다.
전반적인 의도는 타사 서비스를 구매하여 관리한다는 것을 아는 것이 아니라 클라우드 스케일러에서 계속 실행되고 있더라도 실제로 해당 서비스를 소유하고 있다는 것입니다. 저에게 그 결과는 여전히 동일합니다. 제3자 제품을 사용하든, 아니면 어떤 소프트웨어를 사용하든, 오픈소스 패키지를 실행하든, 이 시점에서 구별하려고 노력하는 것은 시간이 많이 쓰이지 않는다고 생각합니다. 왜냐하면 하루가 끝날 무렵에는 모두 어떤 형태로든 노출되기 때문입니다. 그리고 아주 단순한 것에서 매우 복잡한 것으로, 그리고 중요한 것을 포착하는 모든 것들로 갈 수 있기 때문입니다.
톰 고럽: 네, 흥미롭습니다. 한 가지 차이점은, 제 마음 속에 두드러진 것은 구름의 분산된 특성과 지구상의 다른 장소에서 스캔할 수 있는 능력이었습니다. 내 네트워크는 중국에서 어떻게 생겼습니까? 러시아는 어떤 모습일까? 라트비아에서는 어떤 모습일까요? 제 고객이 있는 곳과 비교하면 말이죠. 그들의 관점에서 보면 어떤 모습일까? 어쩌면 그런 식으로 세상을 조각내고 다르게 관리 할 수 있다는 것은 흥미로울 수 있습니다. 하지만 동시에 ORB 네트워크와 작동 릴레이 박스의 사용이 증가함에 따라 지오펜싱은 사실상 죽었습니다. 상관 없어. 어디에서 왔는지에 상관없이 잠가야 합니다.
잘했어. Jeff, 공격에 대한 취약성 관리에 대한 마지막 생각을 말씀드리겠습니다. 마지막 생각들.
Jeff Patzer: 하루가 끝날 무렵 ASM은 여러분이 구축하고 있는 것, 여러분이 알아야 할 것들에 대한 통찰력을 제공하는 또 다른 도구라고 생각합니다. 전에도 말했었는데, 다시 말할게, 지금 당장 말할게. 어떤 도구도 비판적 사고를 대신할 수 없습니다. 하루가 끝나면, 당신은 그것이 당신에게 말하는 것을 볼 필요가 있으며, 당신은 그것을 이해해야한다는 것을 이해해야합니다. 그것은 의미있는 것을 할 수 있습니다. 여러분은 세상의 모든 도구를 살 수 있습니다. 하지만 여러분이 거기 앉아서 제가 성취하려고 하는 것이 무엇인지에 대해 생각하지 않는다면, 그것은 여러분에게 아무런 소용이 없을 것입니다.
크리스 에레라: 네. 내 마지막 생각은 어떤 사람들은 그것을 경찰 밖으로 약간 생각할 수도 있지만, AI는 분명히 언제 어디서나 갈 수 없으며, 아무튼, 당신이 어디를 가든 더 많은 발판을 가질 것입니다. 비판적 사고에 대한 대안이 없다고 언급한 Jeff의 지점에서는 AI 채팅, ChatGPT를 거의 매일 내 직업에 사용하고 분명히 내 일을 할 수는 없지만 분명히 올바른 방향으로 나를 인도합니다. 제가 이 문제를 제기하는 이유는 ASM을 위해서입니다. 권장 사항, 앞으로 나아갈 단계, 그리고 이와 같은 도구의 출력으로 제시할 수 있는 엄청난 양의 데이터도 위해서입니다. 저는 AI가 어떤 종류의 역할을 해야 한다고 생각합니다. 그것이 거대하든, 그것이 작든 간에, 인간에게 그것을 제시하고 인간적으로 관련성을 갖게 하는 측면에서 말이죠.
톰 고럽: 네, 저는 그것을 좋아합니다. 저는 이러한 사고 과정을 좋아합니다. 특히 다양한 데이터 세트를 결합할 때 말이죠. 다시 보안 태세, 가시성, 노출 및 위협으로 돌아갑니다. 공격면 관리는 많은 가시성과 노출을 확보하여 위협과 연계시켜 의사 결정을 내리고 전체적인 보안 태세를 조정하는 데 도움이 되는 입력 요소가 됩니다. 하지만 제프의 입장에서는 비판적 사고가 필수적입니다. 당신은 그것을 설정하고 잊을 수 없습니다. 모든 도구와 같습니다. 그리고 당신의 관점에서, AI는 당신이 당신의 일을 할 수없는 것처럼 항상 지점에 있지는 않지만, 당신을 안내하는 데 도움이 될 수 있습니다.
저는 이것이 멋진 대화라고 생각하고, 많은 재미를 느끼며, 아마도 공격 표면 관리에 대해 이야기하고 모든 토끼 구멍을 파헤치는 데 또 다른 30-40분을 보낼 수 있을 것입니다. 하지만 우리는 멈춰야 합니다. 이것이 오늘 우리가 가진 전부입니다. ThreatTank에 참여해 주셔서 감사합니다.
Edgio의 최신 위협 인텔리전스를 최신 상태로 유지하려면 EDG.io에서 온라인으로 구독하십시오. Jeff와 Chris, 다시 방문해 주셔서 감사합니다. 정말 대단했어요. 시간을 내주셔서 감사합니다.