cybersecurity에 해당하는글 4


전문가 진단에 따르면 각급 기업의 사이버범죄 비용이 매년 증가추세에 있으며 글로벌 상거래가 가상공간으로 옮겨가는 현상이 지속됨에 따라 이 비용의 증가는 앞으로도 확실시되고 있다. 2015년 데이터침탈비용 연구(2015 Cosft of Data Breach)에 따르면 데이터침탈을 겪은 기업의 평균비용은 650만 달러로 늘어났다. 다른 연구에 따르면 2019년까지 데이터침탈비용 총액이 2조 달러에 달할 전망이라고 한다.

 

전문가들이 사이버범죄 차단을 위해 다양한 솔루션을 논의하는 가운데 두 가지가 확실시되고 있다. (1) 현재 경계방어기술은 지능형 지속위협 맬웨어를 상대로는 효과적이지 못하며 (2) 맬웨어의 공격력이 보안대책의 효용성보다 빠르게 성장하고 있다는 것이다. 포츈(Fortune) 매거진 선정 100대 기업과 대규모 정부기관에 대한 공격 등 첨단 보안기술과 전문가집단을 동원한 수백 건의 공격 사례로 인해 보안대책에 대한 새로운 접근이 절실해지고 있다.

 

여기에서 소개하는 맬웨어 그리고 네트워크 이상활동을 감지하기 위한 5대 핵심방안은 맬웨어 확산문제를 방지하기 위한 밑그림을 제공한다. 이들 방안은 ThreatAnalyzer(CWSandbox) 샌드박스기술을 활용한 정적 및 동적 맬웨어분석 그리고 지능형 맬웨어 수천 건에 대한 연구를 바탕으로 하고 있다. 이하에 일반적인 맬웨어 문제와 그에 대한 해결방안을 간략히 소개하고 항목별로 세부적인 내용을 기술한다.


맬웨어 행동

해결방안

네트워크활동 폭증

이상행동에 대한 기준 형성

비정상적 시스템활동 발생

맬웨어 행동단서 이해

비정상적 네트워크활동 발생

시간대별 네트워크 트래픽데이터 추적하여 이상 식별

파편화된 기업시스템 운영 악용

모든 이해관계자에게 위협탐지정보를 제공하고 해당 이상행동과 이에 대한 해결방안을 이해하도록 조력제공

보안대책 취약점 노출

다른 기업과의 정보공유 통해 업계와 회사 측 비용 최소화

 



이상행동에 대한 기준 형성

 

기업 차원에서 인간과 기계 모두에 대해 정상적 네트워크 트래픽의 기준을 수립해야 한다. 보안분석가들이 정상의 기준을 이해하고 나면 이를 통해 임계점을 설정할 수 있다. 이러한 임계점은 일반적인 한계나 상한선처럼 향후 분석에 활용될 수 있다. 공격자들은 일단 공격대상 환경에 침투하고 나면 탐지될 위험이 적다고 간주한다. 그러나 위와 같은 기준점을 수립한다면 맬웨어활동이 주목받게 될 가능성을 대폭 높일 수 있다.



맬웨어 행동단서 이해

 

정상 트래픽에 대한 기준이 수립되고 나면 다음 단계로는 맬웨어의 기본적인 행동양상에 대한 이해가 필요하다. 첫 단계에서 설정된 임계점을 돌파하는 네트워크 트래픽이나 행동은 조사개시로 이어진다. 이 조사는 시스템상 맬웨어 의심대상의 최초출현지점과 행동에 초점을 맞춘다. 맬웨어의 기본행동양상에 대한 이해는 공격자의 진로를 예상하고 차단하기 위해 아주 중요하다.

 


시간대별 네트워크 트래픽데이터 추적

 

시스템 및 인간 부문의 기준에 대한 이해가 확립되고 나면 분석가가 시간대별 네트워크트래픽을 열람하여 이상징후 그리고 더욱 중요하게는 침탈의 발생여부 그리고 예상되는 공격진행을 판단할 수 있다. 카네기멜론대학교 소프트웨어공학연구소(The Software Engineering Institute at Carnagie Mellon)에 따르면 이상행동을 추적하는 데 사용된 핵심행과지표(key performance indicator, KPI)에는 바로 사람의 행동, 시스템 및 기술적 오류, 내부프로세스 오류, 외부사건 등이 있다고 한다. 시간대별 네트워크트래픽 추적의 중요성을 보다 자세하게 다룬 내용으로는 다음 링크 참조.

https://blog.threattrack.com/cso/why-tracking-network-traffic-is-important/

 

 

모든 이해관계자에게 위협탐지정보 제공

 

보안대책들이 방화벽, IDS/IPS, 패킷수집기, 엔드포틴트솔루션 등 조직의 다층보안대책을 이루는 각 보안계층에 파편화됨에 따라 의사소통의 간극이 문제로 떠올랐다. 네트워크의 활동 및 보안 현황을 종합적으로 파악하려면 개별 보고서나 분석의 조합이 요구된다. 따라서 효과적인 보안대책을 구축하려면 보안팀이 컨설턴트로 진화하여 핵심 이해관계자에게 투자, 인력, 기술 소요에 대해 알림으로써 최적의 보안방책을 유지해야만 한다. 이에 대한 추가 내용은 다음 링크 참조.

https://blog.threattrack.com/cso/how-to-give-threat-detection-visibility-to-non-it-stakeholders/


 

다른 기업과의 정보공유 통해 전체 위험 감소

 

사이버공격자의 주요 악용대상으로 업계 경쟁자들 사이의 정보공유 실패도 빼놓을 수 없다. 동종 업계에 종사하는 기업들은 서로를 경쟁자로 인식하기 때문에 위협에 대한 정보의 공유를 꺼리게 된다. 그러나 이러한 태도는 근시안적이고 맬웨어가 개별 기업을 효과적으로 각개격파하여 결국 업계 전체에 불이익을 끼치는 결과로 이어질 수 있으며 이는 병원에 대한 랜섬웨어 공격 사례를 통해 입증됐다. 지식이란 힘이며 힘이란 곧 과거 실패에 대한 교훈을 통해 개발된 솔루션이라는 형태로 응용되는 지식을 의미한다.

 

경계보안기술과 다층보안대책에 의존해 온 보안분석가들은 기술이란 결코 완벽할 수 없으며 맬웨어는 결국 어떤 식으로든 기술적 틈을 파고들게 된다는 점을 그 어느때보다도 절감하고 있다. 기준수립, 합리적인 네트워크 및 시스템 임계점 수립, 맬웨어 행동 이해, 회사 핵심이해관계자 및 업계 동업자에 대한 협조적 접근방식 수립을 통해 나날이 증가하는 맬웨어위협에 대한 대응에 큰 도움을 받을 수 있으며 보안분석가의 효용성을 대폭 향상할 수 있다. 네트워크 이상행동 탐지에 대해 보다 상세한 내용으로는 아래 링크의 ThreatTrack 최신 기술백서 참조.

http://land.threattracksecurity.com/5-Key-Ways-to-Dectect-Anomalous-Behavior-on-Your-Network.html#_ga=1.257197451.1084892965.1463641239

 

 

 

Robert Bond, How to Detect Malware and Other Anomalous Behavior, 5. 23. 2016.

https://blog.threattrack.com/cso/detect-malware-anomalous-behavior/


번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 3. 14:51

 

Security Products 매거진과 securitytoday.com에서 ThreatTrack의 지능형 맬웨어방지 플랫폼인 ThreatSecure Network2016Govies Government Security Awards 프로그램의 네트워크보안 분야를 수상했다. 본 프로그램은 다양한 분야에서 뛰어난 성능을 보이는 정부보안제품을 조명한다.

 


 

보안업계에서 선정된 각 패널들이 기능, 혁신성, 사용자편의성, 상호운용성, 품질, 디자인 등 여러 기준을 통해 2016년 항목별 수상제품을 선정했다. ThreatSecure Network는 정부영역에서 널리 쓰이고 있으며 지능형 위협방어를 통해 보안인력이 능동적 사이버공격을 식별 및 차단할 수 있도록 한다. 주요 기능은 다음과 같다.

 

지능형 공격과정을 탐지하고 행동변화를 식별하여 악성행동 탐지

실시간 위협탐지

분석 간 관측된 네트워크활동 연관성 판단

악성URL에 관련된 세션 차단 및 보고

 

ThreatTrack 사장 John Lyons는 다음과 같이 설명한다. "본 수상을 통해 ThreatTrack이 정부기관에 제공하는 고급 보안솔루션의 성능 그리고 네트워크보안분야에서 ThreatTrack의 선도적 위치가 다시금 확인됐다. 기관들은 공격과정을 빨리 식별할수록 위해를 최소화할 가능성을 높일 수 있다. ThreatSecure Network는 위협이 식별된 전후에 활동을 모니터링 및 추적하며 이를 통해 위협을 훨씬 상세하게 파헤칠 수 있다."

 

분야별 수상제품은 아래 링크 확인

https://securitytoday.com/pages/govies

 

ThreatSecure Network가 정부기관들에게 널리 채택되는 이유에 대해서는 아래 링크 확인

https://www.threattrack.com/network-security-threats.aspx#_ga=1.230539932.1084892965.1463641239

 

 

 

ThreatTrack Security CSO Blog, ThreatSecure Network Named Winner of Govies Government Security Award, 4. 17. 2016.

https://blog.threattrack.com/cso/threatsecure-network-named-winner-2016-govies-government-security-awards/

 

번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016. 6. 3. 14:45


ThreatIQ?

 

실시간 위협정보 데이터베이스


사이버보안은 촉각을 다투는 분야입니다. 따라서 ThreatTrack이 수집한 

중요 보안데이터는 ThreatIQ 서비스를 통해 고객 여러분과 즉각 공유됩니다.


오늘날 기업과 정부기관은 -상당수가 실제 사고를 거치면서- 나날이 정교해지는 

맬웨어와 사이버범죄 방지의 핵심은 바로 실시간 위협정보를 통한 

네트워크보안 강화에 있음을 절감하고 있습니다.


ThreatIQ는 대부분의 기업에게 부족한 실시간 위협감지수단입니다. 

ThreatIQ있으면 ThreatTrack 연구소와 전 세계 보안기관과의 광범위한 협조를 통해 

구축되고 지속적으로 갱신되는 악성 URL IP주소 데이터베이스에 접근할 수 있습니다.


ThreatIQ 데이터를 활용하여 방화벽, IDS/IPS, 게이트웨이, 메일보안과 같은 방호대책이 

각종 맬웨어 등 새로이 생성되는 위협을 막아내도록 할 수 있습니다

ThreatTrack 연구소가 포착한 악성 URL은 즉시 ThreatIQ를 통해 전파되며 

이는 대응시간 증대와 보안대비 강화에 핵심적입니다.



기 능


악성웹 차단(Malicious Web Based Block Report)

의심웹 경고(Suspicious Web Based Alert Report)

악성웹피싱 보고(Malicious Web Based Phishing Report)

 

동적 행동양상분석(Dynamic Behavioral Analysis Report)

경계영역점검(Border Patrol Report)

맬웨어 네트워크 보고(Malware Network Report)




참고

ThreatTrack 웹사이트 www.threattrack.com

ThreatTrack 국내총판 웹사이트 www.gfi.kr

문의 02 866 5709 │ sales@gfi.kr 




전체 내용은 첨부된 PDF 파일을


다운받아서 볼 수 있습니다.



ThreatIQ 제품소개.pdf


COMMENT : 0 TRACKBACK : 0

카테고리

사물인터넷

날짜

2016. 3. 23. 16:26



 

필자는 2014년 초 당시 본격적으로 등장하기 시작했던 사물인터넷을 소개하며 소비자의 일상생활과 기업세계 모두를 변화할 잠재력이 있다고 설명했다. 거의 2년이 지난 현재 사물인터넷은 대세가 됐으나 이제는 냉장고, TV, 온도계, 의료기기, 커피머신, 경보시스템 등 온라인에 연결되어 사용자와 해커 모두 어디에서든 접근 가능한 수많은 전가기기를 둘러싸고 단순히 IP주소가 모자란다는 것보다도 훨씬 중대한 문제가 있다.

 

보통 데스크탑 컴퓨터, 서버, 스마트폰을 언급할 때는 보안을 크게 중시하지만 컴퓨터처럼 생기지 않았음에도 역시 컴퓨터에 해당하는 커넥티드 사물에 대해서는 정작 보안인식이 흐려지는 경향이 있어 보인다. 필자는 최근 사물인터넷의 취약한 보안상황, 이에 대응할 방법, 새로운 커넥티드 기기를 통한 침투로부터 네트워크를 어떻게 보호해야 할지 등에 대해 고민했다.

 

사물인터넷 보안의 기술적인 문제에 대해 더 깊게 알고 싶다면 필자가 조만간 Windowssecurity.com에 게재할 시리즈를 참고해 볼 수 있다. 제목은 "IoT: The Threats Just Keep on Coming"이다. 한편 이 글에서는 사물인터넷에 대한 거시적인 개념을 다루는 한편 사물인터넷이 필자(그리고 이 글을 읽는 당신)의 삶을 긍정적으로 변화시킬 가능성과 네트워크와 데이터에 대한 위험 증가에 대한 개인적인 생각을 소개하고자 한다.

 

사물인터넷은 컴퓨팅 진화의 자연적 산물로서 물리세계와 전자영역이 느리면서도 필연적으로 융합됨에 따른 결과라 할 수 있다. 과거에는 온라인세상과 현실세계가 분리되어 논의됐으나 오늘날 수많은 일상용품이 온라인에 연결됨에 따라 양자 사이의 경계는 나날이 흐려지고 있다. 사물인터넷을 통해 우리는 이러한 설비 및 기기와 원격으로 상호작용하고 언제 어디에서나 이들을 제어할 수 있게 된다.

 

이는 분명 흥미진진한 일이지만 여기에는 아주 성가신 문제가 있다. 제대로 된 보안이 확보되지 못한다면 다른 누군가가 우리의 "사물"을 제어할 수 있게 되며 이들의 행동은 엄청난 손해를 야기할 수 있다. 예를 들어 악의적인 해커가 인슐린 주입기에 접근하여 치명적 결과를 일으킬 수 있는 과량주입을 설정할 수 있는 등 위험이 명백한 경우도 있다. 하지만 위험의 심각성이 불분명할 때도 없지 않다. 장난으로 세탁기의 시간을 바꿔놓는다 해서 사람이 죽거나 하진 않기 때문이다. 하지만 맬웨어를 통해 세탁기에서 온 집안에 물이 넘치게 하거나, 오븐에 점화 없이 가스만 켜거나, 전열기의 회로에 과부하를 걸어 화재가 발생하게 하면 어떻게 되는가? 해커가 차량엔진을 정지시켜 찻길 한복판에서 멈추게 하거나 휴대폰 신호를 교란하여 사용자를 털어버리면 어떻게 되는가? 해커가 "스마트" 차고출입구에 접속하여 디지털 잠금장치를 해킹함으로써 주인이 없는 사이(더욱 심각하게는 주인이 잠든 사이) 집에 침입하면 어떻게 되는가?

 

물론 이렇게 생명이 위협받을 정도의 상황에 직면할 가능성은 높지 않다. 하지만 프라이버시 문제는 어떤가. 사물인터넷이 프라이버시에 어떤 영향을 끼칠 수 있는가. 해커가 민감한 내용의 이메일에 접근하는 경우는 흔히 떠올릴 수 있는 시나리오다. 하지만 만약 해커가 가정에서 일상적으로 가족끼리 말하는 내용을 모두 들을 수 있다면 어떻게 되는가. 만약 베이비시터를 모니터링하기 위해 오디오가 장착된 "보모 카메라"이 있다면 이 또한 해킹될 수 있다. 물론 이러한 해킹은 아기모니터에 국한되지 않고 모든 인터넷연결 카메라에 발생할 수 있다. BlackHat 보안연구진은 2014Nest 온도계를 조작하여 사용자의 냉난방 스케줄을 파악함으로써 범죄자가 집이 비는 시간대를 알아내도록 악용될 수 있음을 시연한 바 있다.

 

하지만 이게 전부가 아니다. 이러한 "사물"이 컴퓨터와 같은 와이파이 네트워크에 연결될 경우 적절한 통제대책이 없는 한 이들 사물은 시스템파일에 접근할 수 있는 진입지점으로 악용될 수 있다. 출처에 따라 다르지만 대체적인 연구에 따르면 인터넷에 연결된 사물의 25% 가량이 안전하지 못하다고 한다. (가트너 분석에 따라) 45억의 사물인터넷 기기가 연결되어 있다고 가정하면 무려 10억이 넘는 기기가 위험하다는 의미다. 게다가 2020년 사물인터넷 기기 250억대 시대가 현실화된다면 그 위험은 현재와 비교할 수 없이 커진다.

 

이에 대해 어떤 행동을 취할지 논의하기 전에 우선 생각해야 할 중요한 문제가 있는데 바로 사물인터넷 기기 보안의 책임이 누구에게 있는가이다. 이는 일견 단순한 문제처럼 보이지만 그렇지 않다. 필자가 위에 언급한 시리즈에서 상세히 다루겠지만 사물인터넷 업체들은 보안 그리고 심지어는 IT 자체에 대한 이해도가 좋지 못하다. 이들은 기기 소프트웨어 대부분을 직접 제작하지 않는다. 이들은 다양한 출처로부터 소프트웨어 구성요소를 끌어온다. 이들에게는 대체로 일반적인 소프트웨어 개발주기, 제품 보안품질보증, 파악된 취약점에 대해 적절한 패치프로세스 등이 전무한 실정이다.

 

수많은 사물인터넷 업체들은 스타트업이기 때문에 예산이 제한되며 시장에 진입하기 위해 기기를 아주 낮은 가격으로 팔 수밖에 없는데 이는 이들이 보안에 많은 돈을 투자하기 어려움을 의미한다. 이들 업체는 상당수가 부도에 빠지며 이로 인해 이미 판매된 "사물"들은 관리가 중단되면서도 여전히 연결된 상태로 방치된다.

 

사용자들은 사물인터넷 기기를 소홀히 보는 경향이 있는데 이들 기기를 "컴퓨터"로 보지 않기 때문이다. 사용자들은 최초 설정된 비밀번호를 바꾸지 않는다(심지어는 최초설정 비밀번호가 없을 경우 이를 그대로 두기도 한다). 이들은 방화벽이나 안티맬웨어를 TV와 온도계에 설치해야 할 필요성을 인식하지 못하며 인식이 있다 해도 설치를 위해 운영체제게 접근하지 못한다. 이들은 심지어 "사물"에서 작동하는 소프트웨어에 대해 그 버전은 고사하고 종류조차도 알지 못하며 사물인터넷 업체 대부분이 그러한 정보를 사용자에게 제공하는 데 적극적이지도 못하다.

 

몇몇 사람들은 정부 측에서 제 역할인 규제 실시에 나설 것을 원하기도 한다. 사물인터넷 기기 업체들이 제품에 모든 소프트웨어 구성요소를 명기함으로써 사용자 입장에서 보다 쉽게 보안에 대해 판단할 수 있도록 입법적으로 강제하자는 제안이 있다(식품업체가 제품포장에 열량과 영양정보를 표기하는 경우와 비슷하다). 이에 대해 다른 이들은 그러한 표기를 인해 해커들이 그 정보를 가지고 더욱 쉽게 기기에 침투할 수 있다고 주장하기도 한다(불명확에 의한 보안).

 

그렇다면 답은 무엇인가. IT보안이랑 결국 모두의 책임이 된다. 사용자, 기기 공급업체, 기기작동 코드를 만드는 소프트웨어 개발자, IT 산업 전체, 그리고 정부까지, 모두가 먼저 문제를 인식하고 힘을 합쳐 이를 해결해 나가야 한다. 현재는 아직 보안에 대해 문제가 제기되는 정도 수준이다. 사물인터넷 보안을 진지하게 받아들이는 자세가 선택이 아닌 필수라는 점에 합의가 이루어지고 나면 그 다음 단계로 나아갈 수 있다. 필자는 앞으로도 이 문제를 가지고 고민과 집필을 계속할 생각이며 모든 IT전문가들이 기업의 종류를 불문하고 사물인터넷이 모든 사람에게 중요한 비중을 차지하리라는 점을 인지하기를 바란다.

 

 

 

Debra Littlejohn Shinder, The Internet of Insecure Things, 12. 30. 2015.

http://www.gfi.com/blog/the-internet-of-insecure-things/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2016. 1. 7. 15:26

위로가기