지난 주에 최신 분기별 공격 추세 보고서를 발표했는데, 블로그 게시물이 없으면 어떤 보고서가 좋을까요? 이 게시물에서는 끊임없이 변화하는 인터넷의 사이버 보안 환경에 대한 원시적이고 통찰력있는 시각을 살펴보겠습니다. “에지오의 분기별 공격 동향 보고서” 이 보고서는 요청 메서드 및 MIME 유형에서 지리적 위치 추세 및 그 사이의 모든 것에 이르기까지 수많은 데이터 포인트를 공개합니다. 모두 최신 웹 사이트 및 애플리케이션을 겨냥한 새로운 위협에 대한 생생한 그림을 제공합니다.
내 관심을 끌었던 두 가지 핵심 데이터 포인트인 요청 메소드와 요청 MIME 유형. 언뜻 보면, 요청의 98% 이상이 GET 및 POST라는 것을 발견하는 것은 놀라운 일이 아닙니다. 인터넷에 오신 것을 환영합니다, 그렇죠? “주목할 만하지 않다”고 말할 수도 있지만, 겉보기에 보행자 기능은 응용 프로그램, 사용 또는 공격 방법 및 취약한 위치에 대한 귀중한 지식을 제공합니다. 또한 응용 프로그램이 작동하기 위해 어떤 유형의 요청 메서드가 필요한지에 대한 질문도 해야 합니다. 다른 사람이 애플리케이션에 도달할 수 있도록 허용해야 합니까, 아니면 오리진 서버에 도달하기 훨씬 전에 이러한 작업을 차단하여 노출 기회를 줄여야 합니까?
MIME 유형으로 넘어가면 압도적인 76%의 블록이 애플리케이션/JSON MIME 유형과 연계되어 있습니다. 이러한 통찰력은 단순한 통계가 아니라 최신 애플리케이션 아키텍처의 변화와 이러한 아키텍처를 겨냥한 위협의 진화 특성에 대한 서술입니다. API가 위협 공격자의 표적이 높다는 것을 명확히 보여주고 보안 팀이 아직 발견하지 못한 알려진 API와 “섀도우” 또는 “좀비” API를 모두 보호해야 할 필요성을 강조합니다.
이 보고서의 보호 기능은 액세스 제어 규칙, 관리되는 규칙 집합 및 사용자 지정 서명이라는 세 가지 주요 전략으로 분류되었습니다. 이 세 가지 중 45%의 블록이 액세스 제어 규칙이었음을 주목할 필요가 있습니다. 효과적인 방어의 기초에 대해 더 자세히 이야기하는 것은 실제로 알려진 악의적인 소스(블랙리스트 IP 주소, 사용자 에이전트 및 국가)에 대한 액세스를 방지하는 것과 같은 기본적이면서도 매우 효과적인 전술에서 시작됩니다. 보안 관점뿐만 아니라 비용 관점에서도 즉각적인 이점을 얻을 수 있도록 애플리케이션, 인프라 및 데이터에 접근하기 전에 이러한 기능을 차단하십시오. WAF(Web Application Firewall)로 엣지에서 악의적인 요청을 완화하면 대역폭과 컴퓨팅 사이클이 모두 절약됩니다.
이 보고서는 또한 공격자들이 이러한 방어를 우회할 방법을 지속적으로 찾고 있음을 상기시켜줍니다. 액세스 제어 규칙이 엄격할지라도 전적으로 의존할 수는 없습니다. 예를 들어 지오펜싱 전술을 예로 들어 보겠습니다. 악의적인 요청이 발생한 상위 5개 국가에는 미국, 프랑스, 독일, 러시아, 체첸이 포함됐으며 중국은 현저히 존재하지 않았다. 우리는 중국이 다른 주요 인터넷 연결 국가들처럼 그 목록의 최상위에있을 것으로 기대해야합니다. 그러나 이러한 통찰력은 지오펜싱에 대한 과도한 의존도를 낮추고 규정 준수 및 보안 조치에 대한 보다 계층화된 접근 방식의 필요성을 강조합니다. 공격자들은 종종 서버, VPC, IoT 디바이스를 손상시켜 최종 목표와 동일한 지역에서 활용한다는 사실을 알고 있습니다. 지오펜싱 전술을 사용할 때 비즈니스 요구 사항과 규제 요구 사항(통상 금지 국가에 판매 금지 등)을 이해합니다. 이 전술을 버려야 하는 것이 아니라 지나치게 의존해서는 안 됩니다.
4분기에 크게 증가한 매우 구체적이고 주목할 만한 위협 중 하나는 경로/디렉토리 트래버설 공격이었습니다. 응용 프로그램이 요새라고 상상해 보십시오. 이제 경로 트래버설 공격은 요새 아키텍처의 최소한의 감시를 악용하여 웹 서버에서 과도하게 허용된 폴더를 통해 도메인 깊숙이 침투하는 교활한 방법 침입자라고 생각할 수 있습니다. 이러한 공격은 단지 문을 두드리는 것에 대한 것이 아닙니다; 그들은 당신의 제국의 심장부로 곧장 이어지는 숨겨진 통로를 찾는 것입니다. 그 결과는? 무단 액세스, 개인 식별 정보(PII) 손실, 원격 코드 실행을 통해 해당 국가의 열쇠를 넘겨줄 수 있습니다. 이러한 침입으로 인해 디지털 세상의 기밀성, 무결성 및 데이터 가용성의 기둥이 위협받기 때문에 이 중요성은 간과할 수 없습니다.
간단히 말해, 공격 동향에 대한 분기별 보고서는 단순한 데이터 모음이 아니라 디지털 영역에서 진행 중인 전투를 강조하는 서술입니다. 복잡한 응용 프로그램 아키텍처를 이해하고 이에 적응하는 것이 이러한 환경에서 생존하는 것뿐만 아니라 번영하는 데 핵심이라는 점을 상기시켜 줍니다. 계층화된 방어를 포함하는 전략을 채택하고, 위협 인텔리전스를 활용하고, 애플리케이션의 고유한 요구 사항에 맞는 솔루션을 제공함으로써 끊임없이 진화하는 사이버 세상의 위협에 대한 탄력적인 견인력을 확보할 수 있습니다. 효과적인 보안은 단순히 도구를 배치하는 것만이 아니라, 비즈니스가 어떻게 운영되는지 이해하고 이러한 지식을 사용하여 보안 통제 수단을 알리는 것입니다.
한 가지 더, 이 보고서는 빙산의 일각에 불과합니다. Edgio 팀은 향후 보고서에 더 많은 데이터 포인트를 추가하기 위해 끊임없이 노력하고 있습니다. 2024년 1분기 보고서에 주목하십시오. 실망시키지 않을 거라 확신합니다.
내 관심을 끌었던 두 가지 핵심 데이터 포인트인 요청 메소드와 요청 MIME 유형. 언뜻 보면, 요청의 98% 이상이 GET 및 POST라는 것을 발견하는 것은 놀라운 일이 아닙니다. 인터넷에 오신 것을 환영합니다, 그렇죠? “주목할 만하지 않다”고 말할 수도 있지만, 겉보기에 보행자 기능은 응용 프로그램, 사용 또는 공격 방법 및 취약한 위치에 대한 귀중한 지식을 제공합니다. 또한 응용 프로그램이 작동하기 위해 어떤 유형의 요청 메서드가 필요한지에 대한 질문도 해야 합니다. 다른 사람이 애플리케이션에 도달할 수 있도록 허용해야 합니까, 아니면 오리진 서버에 도달하기 훨씬 전에 이러한 작업을 차단하여 노출 기회를 줄여야 합니까?
MIME 유형으로 넘어가면 압도적인 76%의 블록이 애플리케이션/JSON MIME 유형과 연계되어 있습니다. 이러한 통찰력은 단순한 통계가 아니라 최신 애플리케이션 아키텍처의 변화와 이러한 아키텍처를 겨냥한 위협의 진화 특성에 대한 서술입니다. API가 위협 공격자의 표적이 높다는 것을 명확히 보여주고 보안 팀이 아직 발견하지 못한 알려진 API와 “섀도우” 또는 “좀비” API를 모두 보호해야 할 필요성을 강조합니다.
이 보고서의 보호 기능은 액세스 제어 규칙, 관리되는 규칙 집합 및 사용자 지정 서명이라는 세 가지 주요 전략으로 분류되었습니다. 이 세 가지 중 45%의 블록이 액세스 제어 규칙이었음을 주목할 필요가 있습니다. 효과적인 방어의 기초에 대해 더 자세히 이야기하는 것은 실제로 알려진 악의적인 소스(블랙리스트 IP 주소, 사용자 에이전트 및 국가)에 대한 액세스를 방지하는 것과 같은 기본적이면서도 매우 효과적인 전술에서 시작됩니다. 보안 관점뿐만 아니라 비용 관점에서도 즉각적인 이점을 얻을 수 있도록 애플리케이션, 인프라 및 데이터에 접근하기 전에 이러한 기능을 차단하십시오. WAF(Web Application Firewall)로 엣지에서 악의적인 요청을 완화하면 대역폭과 컴퓨팅 사이클이 모두 절약됩니다.
이 보고서는 또한 공격자들이 이러한 방어를 우회할 방법을 지속적으로 찾고 있음을 상기시켜줍니다. 액세스 제어 규칙이 엄격할지라도 전적으로 의존할 수는 없습니다. 예를 들어 지오펜싱 전술을 예로 들어 보겠습니다. 악의적인 요청이 발생한 상위 5개 국가에는 미국, 프랑스, 독일, 러시아, 체첸이 포함됐으며 중국은 현저히 존재하지 않았다. 우리는 중국이 다른 주요 인터넷 연결 국가들처럼 그 목록의 최상위에있을 것으로 기대해야합니다. 그러나 이러한 통찰력은 지오펜싱에 대한 과도한 의존도를 낮추고 규정 준수 및 보안 조치에 대한 보다 계층화된 접근 방식의 필요성을 강조합니다. 공격자들은 종종 서버, VPC, IoT 디바이스를 손상시켜 최종 목표와 동일한 지역에서 활용한다는 사실을 알고 있습니다. 지오펜싱 전술을 사용할 때 비즈니스 요구 사항과 규제 요구 사항(통상 금지 국가에 판매 금지 등)을 이해합니다. 이 전술을 버려야 하는 것이 아니라 지나치게 의존해서는 안 됩니다.
4분기에 크게 증가한 매우 구체적이고 주목할 만한 위협 중 하나는 경로/디렉토리 트래버설 공격이었습니다. 응용 프로그램이 요새라고 상상해 보십시오. 이제 경로 트래버설 공격은 요새 아키텍처의 최소한의 감시를 악용하여 웹 서버에서 과도하게 허용된 폴더를 통해 도메인 깊숙이 침투하는 교활한 방법 침입자라고 생각할 수 있습니다. 이러한 공격은 단지 문을 두드리는 것에 대한 것이 아닙니다; 그들은 당신의 제국의 심장부로 곧장 이어지는 숨겨진 통로를 찾는 것입니다. 그 결과는? 무단 액세스, 개인 식별 정보(PII) 손실, 원격 코드 실행을 통해 해당 국가의 열쇠를 넘겨줄 수 있습니다. 이러한 침입으로 인해 디지털 세상의 기밀성, 무결성 및 데이터 가용성의 기둥이 위협받기 때문에 이 중요성은 간과할 수 없습니다.
간단히 말해, 공격 동향에 대한 분기별 보고서는 단순한 데이터 모음이 아니라 디지털 영역에서 진행 중인 전투를 강조하는 서술입니다. 복잡한 응용 프로그램 아키텍처를 이해하고 이에 적응하는 것이 이러한 환경에서 생존하는 것뿐만 아니라 번영하는 데 핵심이라는 점을 상기시켜 줍니다. 계층화된 방어를 포함하는 전략을 채택하고, 위협 인텔리전스를 활용하고, 애플리케이션의 고유한 요구 사항에 맞는 솔루션을 제공함으로써 끊임없이 진화하는 사이버 세상의 위협에 대한 탄력적인 견인력을 확보할 수 있습니다. 효과적인 보안은 단순히 도구를 배치하는 것만이 아니라, 비즈니스가 어떻게 운영되는지 이해하고 이러한 지식을 사용하여 보안 통제 수단을 알리는 것입니다.
한 가지 더, 이 보고서는 빙산의 일각에 불과합니다. Edgio 팀은 향후 보고서에 더 많은 데이터 포인트를 추가하기 위해 끊임없이 노력하고 있습니다. 2024년 1분기 보고서에 주목하십시오. 실망시키지 않을 거라 확신합니다.
더 많은 통찰력을 원하십니까?
Tom과 Edgio의 보안 팀 구성원들이 ThreatTank의 최신 에피소드에서 분기별 공격 추세 보고서에 대해 논의합니다.