2023년 Elastic 글로벌 위협 보고서: 최고의 사이버 보안 예측 및 추천

By

Santosh Krishnan

gtr-forecast-blog.jpg

10억 개가 넘는 데이터 요소를 종합적으로 분석한 2023년 Elastic 글로벌 위협 보고서의 출시를 발표하게 되어 기쁘게 생각합니다. 이 보고서는 방어자의 관점에서 위협 행위자의 방법, 기술 및 추세에 대한 인사이트를 제공하여 고객, 파트너 및 보안 팀이 보안 태세의 우선순위를 정하고 개선할 수 있도록 돕습니다.

보고서의 관찰 내용은 익명화된 Elastic 원격 측정과 자발적으로 제출된 퍼블릭 및 서드파티 데이터를 기반으로 합니다. Elastic의 목표는 Elastic의 고유한 관점이 보안 기술 개발자와 실무자에게 어떻게 힘을 실어주는지 보여주는 것입니다.

Elastic Security 예측 및 추천 주요 내용

글로벌 위협 보고서는 2024년에 직면할 수 있는 사이버 위협에 대한 귀중한 인사이트를 제공합니다. 이는 위협 행위자가 어떻게 더욱 정교해지고 은밀해지고 있는지, 그리고 어떻게 공개 도구와 리소스를 활용하여 공격을 수행하는지를 보여줍니다. 또한 이러한 공격으로부터 자신과 데이터를 보호하는 방법에 대한 지침과 모범 사례를 제공합니다. 보고서의 주요 예측 및 추천 몇 가지를 소개하면 다음과 같습니다.

icon-quote

공격자들은 임플란트, 도구, 인프라를 위한 오픈 소스 커뮤니티에 점점 더 의존하게 될 것입니다.

사이버 공격자들은 다양한 플랫폼에서 시스템을 침해하기 위해 상용 및 오픈 소스 도구를 점점 더 많이 사용하고 있습니다. Metasploit, Cobalt Strike 및 Sliver 프레임워크와 같은 도구는 일반적으로 위협 그룹에서 Windows, Linux 및 macOS 장치를 표적으로 삼는 데 사용됩니다. 또한 이러한 도구를 사용하여 공격을 시작하는 서비스형Malware(Malware-as-a-Service) 및 랜섬웨어 캠페인이 증가하는 추세입니다. 공격자는 운영 비용을 줄이기 위해 오픈 소스 도구를 사용할 수도 있습니다.

예측 1추천
공격자들은 임플란트, 도구, 인프라를 위한 오픈 소스 커뮤니티에 점점 더 의존하게 될 것입니다.
  • 위협 행위자들은 공격에서 오픈 소스의 코드를 사용하고 있습니다.
  • 여기에는 OneDriveAPI와 같은 합법적인 라이브러리, SharpShares와 같은 도구, Sliver와 같은 임플란트가 포함됩니다.
  • 공격자들은 공개적으로 노출된 프로젝트를 계속해서 이용할 것입니다.
조직은 코드 공유 웹사이트에서 직접 다운로드하는 것을 면밀히 조사하고 액세스 제한을 고려해야 합니다. 이는 위협 행위자가 재사용하는 코드에는 영향을 미치지 않지만, 미리 컴파일된 바이너리 또는 이식 가능한 스크립트로 인해 침해가 용이해지는 것을 방지할 수 있습니다. 기업은 새로운 적대적 프레임워크에 대한 가시성을 평가해야 합니다.

icon-quote

클라우드 자격 증명 노출은 데이터 노출 사고의 주요 원인이 될 것입니다.

공격자는 종종 자격 증명 액세스 기술을 사용하여 데이터나 시스템에 액세스합니다. 자격 증명 액세스는 비밀번호, 토큰 및 기타 인증 방법을 포함하는 광범위한 용어입니다. 우리는 모든 엔드포인트 동작 신호의 약 7%가 이 전술과 관련되어 있으며 그 중 79%는 기본 제공 도구나 기능을 사용하여 운영 체제에서 자격 증명을 덤프하는 것과 관련되어 있음을 관찰했습니다.

클라우드 서비스 제공자(CSP)의 경우, 자격 증명 액세스가 전체 탐지 신호의 약 45%를 차지했습니다. AWS의 경우, 이러한 신호에는 주로 Secrets Manager의 비밀 값, 로컬 EC2 호스트의 환경 변수 및 자격 증명 파일에 액세스하려는 비정상적인 시도가 포함되었습니다. 코드가 제대로 검토되거나 깨끗하게 정리되지 않으면, GitHub와 같은 코드 저장소를 통해 자격 증명이 유출될 수도 있습니다.

예측 2추천
클라우드 자격 증명 노출은 데이터 노출 사고의 주요 원인이 될 것입니다.
  • 공격자들은 데이터를 도용하고 Malware를 준비하기 위해 클라우드 자격 증명을 표적으로 삼고 있습니다.
  • 클라우드 저장 공간은 대규모 조직에서 분할되지 않는 경우가 많기 때문에, 공격자들이 도용한 자격 증명을 사용하여 쉽게 액세스할 수 있습니다.
  • 클라우드 컴퓨팅 자격 증명이 노출되면 코인 채굴자 및 기타 Malware의 확산이 증가할 수 있습니다.
합리적인 데이터 분할에 의존할 수 있는 솔루션인 사용자 개체 행동을 모니터링하여 최소 권한 계정과 강력한 인증 메커니즘을 강화할 수 있습니다.

icon-quote

방어 회피는 여전히 최고의 투자로서의 위치를 유지할 것이며, 템퍼링이 마스커레이딩을 대체할 것입니다.

방어 회피 기술의 보급률이 높다는 것은 공격자들이 모니터링 도구와 보안 솔루션을 잘 알고 있으며 이를 해결하기 위한 전략을 개발하고 있음을 시사합니다. 이는 공격자들이 적대적인 환경에 적응하고 있으며 악의적인 활동이 감시당하지 않도록 하기 위해 시간과 리소스를 투자하고 있다는 분명한 신호입니다.

예측 3추천
방어 회피가 여전히 최우선 투자가 될 것이며, 템퍼링이 마스커레이딩을 대체할 것입니다.
  • 보안 산업 역학으로 인해 강력한 엔드포인트 방지 기능이 개발되었지만, 공격자들은 목표를 달성하려면 이러한 기능을 우회하는 것이 중요하다는 것을 알고 있습니다.
  • 이러한 추세는 마스커레이딩 공격의 감소로 이어질 것으로 예상됩니다.
  • 실제 증거가 이러한 변화를 뒷받침하고 있으며, Bring Your Own Vulnerable Driver(BYOVD)와 같은 전술을 예로 들 수 있습니다.
기업은 엔드포인트 보안 센서의 템퍼링 방지 특성을 평가하고 보안 기술을 비활성화하는 데 사용되는 많은 취약한 장치 드라이버를 추적하는 리빙 오프 더 랜드(Living-off-the-land, LoL) 드라이버와 같은 모니터링 프로젝트를 고려해야 합니다.

Elastic Security로 공격자보다 앞서 나가세요

이러한 예측은 내년에 발생할 것으로 예상되는 위협, 공격자, 방어에 대한 간략한 개요를 제공합니다. 또한 Elastic Security를 개선하고 향후 계획을 알리기 위해 이 지식을 어떻게 사용하는지 보여줍니다. 보안 환경과 보안 방향에 대한 더 자세한 개요를 보려면, 전체 2023년 Elastic 글로벌 위협 보고서를 확인하세요.

이 게시물에 설명된 기능의 릴리즈 및 시기는 Elastic의 단독 재량에 따릅니다. 현재 이용할 수 없는 기능은 정시에 또는 전혀 제공되지 않을 수 있습니다.

Elastic Cloud 무료 체험판 등록하기

선택하신 클라우드 서비스 제공자에서 완전히 로드된 배포를 이용하세요. Elasticsearch 개발사로서 클라우드에 있는 사용자의 Elastic 클러스터에 기능과 지원을 제공해드립니다.

무료 체험판 사용 시작