Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

세상의 모든 IT 리서치 자료 - 넘버스 Numbers

침투 테스트 중 과잉 권한 획득에 성공한 비율
99
%
넘버스
자료 제목 :
2022년 엑스포스 클라우드 위협 전망 보고서
2022 X-Force Cloud Threat Landscape Report
자료 출처 :
IBM Security X-Force
원본자료 다운로드
발행 날짜 :
2022년 09월 14일
CSO / 랜섬웨어 / 보안 / 악성코드

'과잉권한이 여전히 만성질환' IBM, 클라우드 침투 테스트 결과 공개

Jon Gold | CSO 2022.09.15
IBM X-포스 레드 클라우드 침투 테스팅 팀이 14일 (현지 시각) 발간한 클라우드 보안 보고서에서 과잉 접근 권한이 흔한 취약점으로 나타났다. 팀이 시행한 보안 테스트 중 99% 이상에서 과잉 권한이 부여됐다. 
 
ⓒDepositphotos

IBM X-포스 레드 클라우드 침투 테스팅 팀이 14일 (현지 시각) 발간한 클라우드 보안 보고서에서 과잉 접근 권한이 큰 취약점으로 나타났다. 팀이 시행한 보안 테스트 중 99% 이상에서 과잉 권한이 부여됐다. 

사용자와 관리 계정 모두 일관적으로 필요 이상의 접근 권한 및 특권을 부여받았다고 팀은 보고했다. 과잉 권한은가장 단순하지만 가장 위험하다. 계정이 탈취당하는 순간 클라우드 시스템의 온갖 보안 방책이 무력화되는 셈이다.   
그 밖에도 클라우드 분야의 보안 성과는 좋지 않았다. 해킹을 당해 다크웹이 판매되는 계정의 수가 2배나 증가했으며, 모든 클라우드 취약점의 평균 심각도가 악화했다. 구체적으로 CVSS를 기준으로 하는 취약점 수준은 10년 전 15에서 18로 증가했다. 
 

클라우드 취약점, 고양이에 생선 주는 격 

밝혀진 클라우드 취약점의 총 규모도 작년 대비 28%나 늘어났다고 보고서는 밝혔다. 취약한 클라우드 시스템에 침투한 맬웨어 중 가장 흔한 유형은 크립토재킹(cryptojacking)과 랜섬웨어로 나타났다. 데이터 탈취 공격도 무시할 수 없는 비중을 차지했다. 

크립토재킹은 암호화폐 채굴로 해킹을 하는 방식으로 최근 해커들의 관심을 한 몸에 받고 있는 기법 중 하나다. 채굴 비용을 피해자에게 떠넘길 수 있다는 것이 가장 고유한 특징이다. 하지만 이 외에도 온프레미스 시스템에 비해 클라우드 서비스를 이용하는 기업의 안전 불감증이 심한 편이며 이미 알려진 취약점이 많다는 낮은 진입 장벽도 큰 몫을 한다고 보고서는 설명했다. 
 
구성 설정 오류는 여전히 가장 흔한 취약점으로 나타났으며, 그 밖에 로그4j, 그리고 리눅스 기반의 암호화폐 채굴 맬웨어가 2가지 주요 취약점으로 두드러졌다. ciokr@idg.co.kr
 Tags 과잉권한 클라우드계정 권한 계정 계정권한 맬웨어 크립토재킹

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.