Skip to main content
로그인
무료 체험판 사용 시작영업팀에 문의하기

2024년 Elastic 글로벌 위협 보고서: 예측 및 권장 사항

By

Santosh Krishnan

158175_-_Blog_header_image_Prancheta_1-05_(1).jpg

어제 Elastic Security Labs가 2024년 Elastic 글로벌 위협 보고서를 발표했습니다. 이 보고서는 Elastic 고유의 텔레메트리로부터 얻은 10억 개 이상의 데이터 포인트를 종합적으로 살펴봅니다. 보고서는 방어자의 관점에서 위협 행위자의 방법, 기법, 트렌드에 대한 통찰력을 제공하여 보안 팀이 보안 태세의 우선 순위를 정하고 개선하는 데 중요한 인사이트를 제공합니다. 

이 보고서의 관찰 내용은 Elastic의 익명화되고 불필요한 부분이 삭제된 텔레메트리와 자발적으로 제출된 공개 및 타사 데이터를 기반으로 합니다. 텔레메트리는 Elastic Security Labs의 전문가에 의해 광범위하게 검토 되었으며 고객, 파트너 및 일반 보안 커뮤니티를 위한 실행 가능한 인사이트로 추출되었습니다.

예측 및 권장 사항 하이라이트

올해 Elastic Security Labs는 자격 증명 액세스 공격의 증가와 공격적인 보안 도구의 지속적인 조작을 비롯한 위협 행위자의 진화를 관찰했습니다. 보고서의 주요 예측 및 권장 사항 몇 가지를 소개하면 다음과 같습니다.  

액세스 브로커와 인포스틸러 에코시스템은 노출된 자격 증명의 영향을 증가시킬 것입니다.

올해 발생한 여러 주목할 만한 사건에서 연구원들은 적대 세력이 피해자의 환경에서 얻은 자격 증명을 도용한 것을 발견했습니다. 대부분의 경우 환경에는 이전 인포스틸러 또는 백도어 아티팩트의 증거도 포함되어 있었습니다. 시간이 지나면 어떤 자격 증명이 손상되었는지 파악하기가 매우 어려울 수 있습니다.

권장 사항: 노출된 계정 자격 증명을 교체하고 응답 워크플로우에 투자하여 계정을 재설정합니다. 사용자 및 엔터티 행동 분석(UEBA)은 손상된 계정을 식별하는 데 도움이 될 수 있는 기술 중 하나이며, 무차별 암호 대입 공격(클라우드 기반 환경에서 매우 일반적임)에 사용된 계정을 모니터링하면 증거가 재배치되거나 삭제된 경우에 도움이 될 수 있습니다.

텔레메트리에 따르면 보안 팀이 클라우드 서비스 제공 업체(CSP) 리소스를 지나치게 허용하여 향후 데이터 노출 위험을 증가시키는 것으로 나타났습니다.

모든 하이퍼스케일러에서 클라우드 보안 태세 설정이 일관되게 잘못 구성되는 것을 관찰했습니다. 어떤 형태로든 사용자는 모든 CSP의 동일한 기능을 잘못 구성했습니다.

  • 허용적인 액세스 정책으로 어디서나 로그인이 가능합니다.

  • 모든 종류의 계정에서 파일 작업을 허용하는 허용 스토리지 정책

  • 느슨한 데이터 처리 정책 또는 취약한 암호화

사용성과 중요 리소스 확보 비용 사이에서 균형을 잡아야 하는 기업은 공격적인 태세의 우선순위를 정하거나 일관되게 우선순위를 정하는 데 어려움을 겪을 수 있습니다. 대부분의 경우 감사 및 안내는 잘 이해되고 있으며 무료로 널리 이용 가능합니다.

권장 사항: 보안 팀은 인터넷 보안 센터(CIS) 벤치마크 프로세스를 사용하여 환경에서 더 많은 주의가 필요한 설정을 식별하는 것을 고려해야 합니다. CIS 태세 점수가 100에 도달하면 정보 보안 팀이 가장 일반적인 클라우드 기반 침입 기술에 정통한지 확인합니다. 이 기준 상태에서 모니터링하면 위협 탐지 속도를 높이는 동시에 향후 위협에 대한 환경을 강화하는 데 도움이 됩니다.

적들은 방어 회피, 특히 센서 가시성을 방해하는 기술을 세 배로 강화할 것입니다.

가장 일반적인 방어 회피 신호는 Windows 시스템에서 발견되었으며 보통 프로세스 인젝션, 시스템 바이너리 프록시 실행 및 방어 손상의 세 가지 기술을 포함합니다. 이 세 가지 기술을 종합하면 데이터를 데이터 저장소로 보내기 전에 계측기를 변조하거나 눈속임할 수 있는 충분한 권한을 가진 초기 발판을 확보할 수 있습니다.

권장 사항: 이 복잡한 방법론에 대한 단일 솔루션은 없지만, 보안 팀은 엔드포인트 가시성, 기본 제공 바이너리 프록시 및 프로세스 주입 지표의 변경 사항을 모니터링해야 합니다. 그러나 위협 활동을 발견하기 전에 대화형 엔드포인트 에이전트를 배포하지 않고는 효율적인 모니터링을 달성할 수 없으며, 잘못 구성된 경우 효과적이지 않습니다. 연구원들은 관리자가 라이선스가 부여된 완화 기능을 활성화하지 못해 원치 않는 결과가 발생하는 기업을 자주 관찰했습니다.

2024년 Elastic 글로벌 위협 보고서를 통해 공격자보다 한발 앞서 나가세요

이러한 예측은 내년에 발생할 것으로 예상되는 위협, 공격자 및 방어에 대한 간략한 스냅샷을 제공합니다. 다른 예측과 보안 환경에 대한 자세한 개요를 보려면 2024년 Elastic 글로벌 위협 보고 전문을 확인하시기를 바랍니다.

이 게시물에서 설명된 기능이나 성능의 출시와 일정은 Elastic의 단독 재량에 따라 결정됩니다. 현재 제공되지 않는 기능이나 성능은 예정된 시간에 출시되지 않을 수도 있으며 아예 제공되지 않을 수도 있습니다.

Sign up for Elastic Cloud free trial

Spin up a fully loaded deployment on the cloud provider you choose. As the company behind Elasticsearch, we bring our features and support to your Elastic clusters in the cloud.

Start free trial