여러분의 조직을 2024년 Elastic 글로벌 위협 보고서로 안내합니다.

2024년 보고서에 따르면 멀웨어의 54%가 환경의 결함을 테스트하고 식별하는 데 사용되는 도구인 공격적 보안 도구(OST)와 연결되어 있는 것으로 나타났습니다. 이러한 도구는 방어 지향적인 개인과 그룹에 의해 만들어지며, 이들 중 일부는 연구 및 개발 예산을 보유하고 있습니다. 위협 행위자들은 목표를 실행할 때 이러한 도구가 제공하는 편리함과 효율성 때문에 이러한 도구에 매력을 느낍니다.  

내 견해: Cobalt Strike는 지난 몇 년 동안 가장 널리 퍼진 멀웨어였으며 위협 행위자들은 이를 고수하고 있습니다. 이에 대비가 되어 있다면 괜찮을 것입니다. 

저희 조직에서 이 문제를 해결하려면 어떻게 해야 하나요?
우려 사항: OST가 위협 행위자에 의해 남용되고 있기 때문에 OST를 사용해서는 안 됩니다. 

반박: 사용자 환경에서 OST를 사용한다고 해서 이러한 유형의 공격 위험이 증가하지는 않습니다. OST는 보안 환경에 대한 중요한 세부 정보를 제공하며 레드 팀 또는 침입 탐지 테스트와 같은 시뮬레이션을 위한 강력한 도구가 될 수 있습니다. 방어 체계를 최신 상태로 유지함으로써 이러한 잠재적 위협에 대비할 수 있습니다.

연구진은 많은 클라우드 환경이 잘못 구성되어 있다는 사실을 발견했습니다. 이 보고서는 클라우드 서비스 제공 업체(CSP)별 문제점을 명확하게 분석하고 있으며, 스토리지 계정 및 다중 인증(MFA)을 포함한 꽤 심각한 구성 오류를 밝혀냈습니다.

내 견해: 클라우드 제공 업체는 기본 정책을 고려할 때 사용성과 보안 간의 균형을 유지하는 동시에 클라우드 환경이 최적의 비용과 성능을 제공하도록 보장해야 합니다. 팀이 관리할 수 있는 것과 업계 벤치마킹 및 보고서별로 우선순위를 정해야 하는 것 사이의 중간 지점을 파악하려고 노력하세요. 

저희 조직에서 이 문제를 해결하려면 어떻게 해야 하나요?
우려 사항: 최고의 보안 관행을 사용하고 클라우드 환경에서 위험을 최소화하고 있는지 어떻게 확인할 수 있을까요?

반박: CSP가 보다 안전한 기본값을 제공하도록 권장할 수 있지만, CSP 벤치마킹은 클라우드 보안의 복잡성을 지원하도록 설계되었습니다. CIS 벤치마크가 무엇인지 식별하고 이를 높이기 위한 계획을 간략하게 설명합니다.

엔드포인트 내에서는 방어 회피가 전체 전술의 약 38%를 차지했습니다. 전체 경고의 분포를 보면 프로세스 주입 기법의 증가가 두드러지는데, 이는 전체 Windows 방어 회피 경고의 53%를 차지합니다. 

내 견해 : 프로세스 주입에 대한 중요성이 높아질 수밖에 없는 이유는 이전에 대부분을 차지하던 기술에 맞서기 위해 방어 기술이 발전했기 때문으로, 공격자는 다른 접근 방식으로 전환해야 합니다.

저희 조직에서 이 문제를 해결하려면 어떻게 해야 하나요?
우려 사항: 프로세스 주입 공격에 대비하여 환경을 조정하는 데 집중해야 합니다. 

반박: 이러한 기술이 더 널리 퍼져 있기는 하지만, 이러한 기술이 증가한다고 해서 공격자가 다른 유형의 공격을 사용하지 않는다는 의미는 아닙니다. 보안 팀은 주의를 기울이고 모든 종류의 위협에 대해 환경을 계속 조정해야 합니다.

자격 증명 액세스는 클라우드 환경에서 사용되는 주요 공격 전술로, 전체 경보의 23%를 차지하며 인포스틸러의 증가로 인해 더욱 강화되고 있습니다. 

내 견해: 자격 증명 유출 및 계정 조작은 여전히 클라우드에서 가장 많이 사용되는 기술이며, 이는 기본 사항이 여전히 중요하다는 것을 의미합니다. 최소 권한과 강력한 인증의 원칙을 구현하는 것은 큰 차이를 만들 것입니다. 자격 증명 노출 위험을 줄이는 가장 좋은 방법은 예방과 모니터링을 혼합하는 것이며, 보안 팀은 비밀 및 자격 증명의 인벤토리와 이러한 정보가 사용되는 위치를 이해해야 합니다.

저희 조직에서 이 문제를 해결하려면 어떻게 해야 하나요??
우려 사항: 자격 증명은 대부분 사용자에 의해 유출됩니다. 

반박: 자격 증명은 중요한 자산이므로 중요하게 취급해야 합니다. 보안 교육만으로는 한계가 있습니다. ID 공급자(IdP)와 함께 최소 권한 및 피싱 방지 MFA를 구현하면 노출을 줄일 수 있습니다. 조직은 사용자 및 엔티티 행동ㅍ분석(UEBA) 및 인증 중심 분석을 통해 환경을 더욱 강화하여 이상값을 모니터링할 수 있습니다.

화제가 되고 있지만, Elastic Security Labs은 올해 AI를 이용한 공격이 크게 증가하지 않았으며 공격 규모만 약간 증가했을 뿐이라고 밝혔습니다. 

내 견해: 우리 팀은 Elastic의 혁신적인 생성형 AI(GenAI) 기능의 혜택을 누리고 있습니다. 기계 학습 기반 탐지 규칙과 Attack Discovery를 자주 활용하는데, 이 두 가지 모두 보안 워크플로우를 자동화하는 능력을 향상하면서 저와 제 팀이 안심 할 수 있게 해 주었습니다. 

저희 조직에서 이 문제를 해결하려면 어떻게 해야 하나요?
우려 사항: GenAI는 공격자에게 이점을 제공합니다. 

반박: GenAI는 고급 분석을 통해 위협을 해결하고 빠르고 신뢰할 수 있는 AI 지침을 제공함으로써 방어자에게 긍정적인 영향을 미치는 것으로 널리 관찰되었습니다.

보안 전문가로서 우리는 위협 환경에 대한 최신 정보를 파악해야 합니다. 2024년 Elastic 글로벌 위협 보고서를 읽어 보면 여러분과 여러분의 정보 보안 팀을 위한 많은 중요한 정보를 얻으실 수 있습니다. 

이 보고서를 읽으면 새로운 트렌드를 파악할 수 있을 뿐만 아니라 보안 전략에 대한 정보에 입각한 결정을 내리는 데 필요한 지식을 또한 얻을 수 있습니다. 다가오는 웨비나 위협 환경 공개에서 연구원들과 함께 이러한 인사이트에 대한 심층적인 논의를 진행해 보세요.