익스플로잇 시간 단축은 위협입니다 - 대응 방법
사이버 보안 목표를 달성할 수 있는 기회가 필요합니다. 이 시간이 촉박할수록 사이버 보안 업무를 수행하기가 더 어려워집니다. 따라서 익스플로잇할 수 있는 시간이 점점 줄어들고 있다는 최근의 보고는 좋은 소식이 아닙니다.
이 글에서는 취약점 식별과 익스플로잇 사이의 간격이 어떻게 줄어들었는지, 이것이 사이버 보안에 어떤 의미가 있는지, 그리고 이에 대해 무엇을 할 수 있는지에 대해 간략하게 설명합니다.
아직 창이 있습니다...
기존 소프트웨어 코드에는 연구자나 위협 행위자가 결함을 발견하기 전까지는 아무도 모르는 보안 결함(취약점)이 많이 있습니다. 실제로 2011년 7월에 코드에 도입되었지만 2021년에야 발견되어 수정된 Sudo 취약점처럼 눈에 잘 띄지 않는 곳에 숨어 있는 결함이 발견되기까지 10년이 걸릴 수도 있습니다. 하지만 2021년에야 발견되어 수정된.
대부분의 경우 취약점은 그보다 훨씬 빨리 발견됩니다, 이후 문서화되고 CVE가 지정됩니다.. 취약점이 문서화되면 취약점은 완전히 공개됩니다. 이제 사용자는 스스로를 보호할 수 있지만, 위협 행위자는 보호되지 않는 시스템의 취약점을 악용할 수 있습니다.
따라서 취약점이 발견되어 문서화되는 시점과 위협 행위자가 취약점을 악용하는 첫 번째 사례가 발생하는 시점 사이에는 시간 차이가 있습니다. 제로데이 익스플로잇의 경우 이 차이는 0이 될 수도 있습니다. 제로데이 익스플로잇.
취약점이 얼마나 쉽게 익스플로잇할 수 있는지, 위협 행위자가 취약점을 통해 얻을 수 있는 것이 무엇인지, 얼마나 널리 퍼져 있는지에 따라 며칠에서 몇 주 또는 몇 달까지 걸리는 경우가 많습니다.
... 하지만 통계는 놀랍습니다
그리고 Rapid7 2022 취약점 인텔리전스 보고서 는 취약점 공개와 익스플로잇 사이의 시간이 줄어들고 있는 우려스러운 추세를 강조합니다. 이 보고서에 따르면 취약점의 56%가 공개 후 7일 이내에 익스플로잇된 것으로 나타났습니다. 이는 공개 후 일주일 이내에 익스플로잇되는 취약점의 대다수를 차지하는 수치입니다.
물론 우려스러운 수치이지만 변화율도 마찬가지입니다: 56%는 2021년보다 12% 증가한 수치이며, 2021년은 2020년보다 더 큰 폭(87%)으로 증가했습니다. 다른 것이 없다면 상승 추세입니다.
취약점을 분류하고 해결하기 위한 리소스가 제한되어 있기 때문에 보안 팀은 유입되는 취약점을 따라잡는 데 어려움을 겪고 있습니다. 대부분의 취약점이 7일 이내에 악용되는 상황에서 기업들은 얼마나 빠르게 패치를 적용하고 있을까요?
설문조사마다 다릅니다. 예를 들어 2022년 Edgescan 설문조사 에 따르면 약 2개월이라고 합니다. 그리고 인포섹 연구소는 "보안 팀이 패치를 푸시하는 데 최소 38일이 걸린다"며 60일에서 150일 사이라고 제안합니다.
패치에 걸리는 시간은 취약점의 심각성과 언론의 관심도에 따라 어느 정도 달라질 수 있지만, 어느 쪽이든 "수단"에는 분명 차이가 있습니다. 패치에 걸리는 평균 시간은 익스플로잇에 걸리는 평균 시간보다 훨씬 더 깁니다.
익스플로잇 창이 닫히는 이유는 무엇인가요?
오랜 시간이 걸리고 느리게 구축되었지만 시대가 바뀌었습니다. 수십 년 전에는 취약점이 익스플로잇되는 데 몇 달이 걸리기도 했고, 익스플로잇이 가능하더라도 내부 접근이 필요한 경우가 대부분이었습니다.
인터넷은 기업, 개인, 정부 모두에게 전례 없는 기회를 가져다주었습니다. 하지만 인터넷의 발전과 함께 사이버 공격의 위협도 급격히 증가했습니다. 해커들은 이제 새로 발견된 취약점을 훨씬 더 빠르게 악용할 수 있습니다. 왜 그럴까요?
- 연결성과 정보 공유가 증가하면서 해커가 취약점을 빠르게 악용하기가 더 쉬워졌습니다.
- 해커와 해킹 그룹의 수가 증가하면서 상황은 더욱 악화되었습니다. 취약점을 찾는 공격자가 너무 많기 때문에 취약점이 훨씬 더 빨리 발견되는 것은 당연한 일입니다.
- 또한 수천 개의 시스템을 자동으로 스캔하여 취약점을 찾아내는 기능을 포함하여 해킹 도구와 기법도 점점 더 정교해지고 있습니다.
- 디바이스 연결성 향상(예: IoT) 또한 취약점을 악용하는 데 걸리는 시간을 단축하는 데 기여합니다.
전반적으로 더 많은 공격자가 더 넓은 공격 표면에서 활동한다는 의미입니다. 그 결과 해커가 취약점을 찾아내고 이를 빠르게 익스플로잇하기가 더 쉬워졌습니다.
이것이 실제로 의미하는 것
결과적으로 조직은 시스템을 보호하기 위해 더 빠르고 더 열심히 행동해야 합니다. 항상 우선순위와 리소스 간의 경쟁이 벌어지는데, 익스플로잇에 사용할 수 있는 시간이 줄어들면서 그 압박은 훨씬 더 커졌습니다.
이론적으로 적어도 조직은 취약점을 패치할 수 있는 충분한 시간이 있어야 합니다. 하지만 악의적인 위협 행위자에게는 수정 사항이 없거나 사용자가 수정하지 않은 취약점이 큰 매력으로 다가옵니다. 예를 들어, 가장 크고 잘 알려진 사이버 공격 중 일부는 발견과 수정 사이의 격차에 의존했습니다:
- 스턱스넷 웜: 2010년에 이란의 핵 프로그램을 표적으로 삼아 방해하기 위해 고안된 스턱스넷 웜이 발견되었습니다. 이 웜은 마이크로소프트 윈도우의 제로데이 취약점을 이용해 시스템을 감염시키고 네트워크를 통해 확산되었습니다.
- 에퀴팩스 데이터 유출: 2017년, 미국 최대 신용 조사 기관 중 하나인 Equifax는 1억 4,700만 명 이상의 사람들에게 영향을 미치는 대규모 데이터 유출 사고를 겪었습니다. 해커들은 apache 스트럿츠의 제로데이 취약점을 이용해 에퀴팩스의 시스템에 액세스했습니다.
- 페가수스 스파이웨어: 2021년에는 페가수스 스파이웨어가 언론인, 활동가, 정치인을 표적으로 삼는 데 사용되는 것으로 밝혀졌습니다. 이 스파이웨어는 Apple iMessage의 제로데이 취약점을 사용하여 기기를 감염시키고 민감한 정보를 훔쳤습니다.
위협 행위자들이 점점 더 빠르게 취약점을 악용하고 있기 때문에 조직이 더 빠르게 대응하지 않으면 공격이 점점 더 많이 성공할 가능성이 높습니다.
강화된 윈도우에 대응하기
더 많은 리소스를 투입하고, 더 빠르게 대응하고, 더 효율적으로 대응하세요. 이렇게 간단하지만 우리 모두가 알고 있듯이 사이버 보안 이론과 실행은 별개의 문제입니다.
래피드 7 보고서는 보안팀이 최신의 가장 과장된 취약점에만 집중하기보다는 잠재적인 영향과 악용 가능성을 기준으로 취약점의 우선순위를 정할 필요가 있다고 제안합니다.
또한 보안팀의 업무량을 줄이기 위해 취약성 스캔 및 패치를 자동화할 수 있는 기술에 투자할 것을 권장합니다. 항상 그렇듯이, 가능한 한 많은 올바른 지점을 최대한 철저하게 공략하는 것은 공동의 노력입니다:
- 지속적인 모니터링: 위협에 대해 알지 못했거나 위협을 완화할 수 없었다면 최소한 나쁜 일이 발생하지 않도록 주의하세요. 위협 행위자의 활동을 지속적으로 스캔하는 연중무휴 모니터링을 설정하여 이상 징후나 의심스러운 활동이 발생하는 즉시 탐지하고 이를 완화하기 위한 사전 조치를 취할 수 있도록 하세요.
- 취약점 우선순위 지정: 모든 취약점이 동일한 것은 아니기 때문에 CVE 점수가 존재합니다. 사이버 보안 언론에서 우려할 만한 수준이라고 한다면, 귀중한 시간을 낭비하지 않도록 스스로 숙제를 하세요. 덜 위협적인 취약점을 수정하는 데 시간을 낭비하지 마세요.
- 체계적으로 관리하세요: 기업은 보안 업데이트와 패치가 제공되는 즉시 신속하게 배포할 수 있는 강력하고 체계적인 패치 관리 프로그램을 마련해야 합니다. 일관성과 지속성은 취약성을 완화하고 MTTE 기간을 줄이는 데 도움이 될 수 있습니다.
- 사용 가능한 최고의 도구 사용: 보안 정보 및 이벤트 관리(SIEM) 도구부터 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼에 이르기까지 보안 자동화가 핵심입니다. 패치 적용도 마찬가지입니다. 가능한 경우 자동화하세요, 그리고 라이브 패치와 호환되는 모든 시스템에 라이브 패치를 적용하세요..
직원 교육은 언제나 중요한 도구이며 앞으로도 그럴 것입니다. 제로데이 익스플로잇도 때때로 조직 내부의 누군가의 '작은 도움'이 필요합니다. 사용자에게 일반적인 소셜 엔지니어링 사기에 대해 교육하는 것은 매우 효과적일 수 있습니다.
철저함과 철저함의 조화
해커들이 취약점을 악용하는 데 걸리는 시간이 줄어들고 있는 이유는 그들이 하는 일이 더 철저해졌기 때문입니다. 조직은 예전보다 훨씬 더 빠르게 취약점을 수정하여 철저하게 대응해야 합니다. 다행히도 도구가 나와 있습니다.
자동화는 큰 도움이 되며 틈새 도구도 마찬가지입니다. 예를 들어, TuxCare의 라이브 패치 기술은 인력의 부담을 줄이고 패치와 관련된 계획 및 중단을 최소화하기 때문에 보다 일관된 패치를 보장합니다. 또한 릴리스된 모든 패치가 다운타임 없이 백그라운드에서 자동으로 적용되므로 기업은 패치할 취약점의 우선 순위를 정할 필요가 없습니다.
다음을 수행할 수 있습니다. 라이브 패치 서비스에 대해 자세히 알아보세요..