2013.11.25

표적 공격과 싸우는 법… 빠른 감지와 대응

George V. Hulme | CSO
표적 공격은 침입하는 새로운 방법을 끊임없이 찾고 있으며 기업들은 증가하는 위협에 신속하게 감지하고 대응하는 새로운 방법을 구하고 있다.

보안 전문가는 자사의 네트워크에 대해 얼마나 높고, 깊고 긴 IT 방벽을 쌓더라도 공격자들은 이 벽 위로 넘나들거나, 땅을 파거나, 혹은 뚫는 방법들을 발견한다.

최근 버라이즌 데이터 유출 조사 보고서(Verizon Data Breach Investigations Report)는 데이터가 유출됐다는 것을 감지하는 데 수개월에서 수년이라는 시간이 걸렸던 일부 해킹 형태가 모든 유출 사고의 50% 이상이었다는 것을 발견했다.

이런 통계는 대부분의 기업이 최선의 노력을 했음에도 불구하고 유출이 일어난다는 것을 인식을 하고 있으며, 경험칙상 얼마나 빨리 유출을 인지하고 침입한 흔적을 제거하는 것이 중요하다는 것을 알려준다.

중요한 것은 빠른 감지와 대응을 할 수 있어야 한다는 것이다.

본국법 및 생명과학 전문 법률 사무소 펜윅 앤 웨스트 LLP의 IT 이사 케빈 무어는 이런 공격에 대해 잘 알고 있다.

무어는 "다른 조직과 마찬가지로 우리 또한 많은 보안 장비를 갖고 있다. 네트워크 방화벽에서 애플리케이션 방화벽, 모니터링 시스템, 웹 게이트웨이, 안티 악성코드 애플리케이션에 이르기까지 우리 시스템을 보호하기 위한 체계를 갖추고 있다. 그러나 점점더 진화하는 위협은 모든 공격을 막아내는 일이 점점더 어려워지고 있다"고 말했다.

사실, 지난 몇년 간 FBI에서도 해커들이 표적 기업의 민감한 정보를 획득할 방법 가운데 하나로 법률 사무소를 공격하는 일이 증가하고 있다고 수차례나 경고한 바 있다.

이로 인해 무어는 "침입 발견과 감염된 시스템을 깨끗이 하는 데 시간을 줄이고 자동화하는 방법을 찾고 있으며 이 가운데 하나가 바로 자동화 악성코드 포렌식 시스템인 파이어아이(FireEye)를 도입하게 됐다.

하지만 펜윅의 IT 보안 팀 자체는 규모가 작기 때문에 잠재적 침입에 대한 대응에 대해 수동적일 수 밖에 없으며, 시간을 많이 소모할 수 없다.

무어는 "파이어아이 혹은 우리 웹 게이터웨이로부터 악성코드 경고가 울릴 때마다 우리는 문제의 머신을 격리시키고자 했다. 사용자가 누구인지 파악하고 그들이 어디 있는지 알아낸 뒤 신속히 그 머신을 격리시키기 위한 서비스 데스크 에이전트를 보냈다"고 설명했다.

무어는 "이는 좀더 확실한 방법이며, 대부분의 조직보다 좀더 빠른 사전 대책이다. 그러나 데이터가 유출되는 속도를 감안한다면 아직 느리며 좀더 신속하게 움직일 수 있어야 한다는 것을 알았다"고 말했다.

우리가 최대한 빨리 대응할 수 있도록 악성코드가 통신을 시도하는 C&C 서버를 알려주는 파이어아이 측으로부터 데이터를 얻었다.

그러나 서비스 데스크 에이전트와 다른 이들은 보안 이외에도 다른 책무가 있다. 그래서 우리는 좀더 자동화할 수 있는 방법이 필요하다.
무어는 매번 이 싸움을 하느라 점점더 많은 시간을 소모하고 있기 때문에 이 시간을 줄이고자 위협 관리 및 보안 분석 개발업체 넷시타델(NetCitadel)을 검토하고 있다.

넷시타델은 네트워크 방화벽, 애플리케이션 방화벽, 안티 악성코드, 포렌식 등 다른 애플리케이션으로부터 데이터를 통합해 실시간 데이터를 기반으로 공격 경고와 방어를 할 수 있다.

무어는 "예를 들어 나는 효율적으로 위협을 중지시켰다. C&C 서버에서 빠져나가는 통신
우리는 시간을 샀다. 우리는 여전히 빠른 대응이 필요하지만 우리는 빨리 대응할 수 있었기 때문에 추가적인 시간을 벌 수 있었다.

무어는 "오늘날의 좋은 보안은 감지만해서는 안된다. 감지와 함께 신속한 대응이 관건"이라고 말했다. editor@itworld.co.kr


2013.11.25

표적 공격과 싸우는 법… 빠른 감지와 대응

George V. Hulme | CSO
표적 공격은 침입하는 새로운 방법을 끊임없이 찾고 있으며 기업들은 증가하는 위협에 신속하게 감지하고 대응하는 새로운 방법을 구하고 있다.

보안 전문가는 자사의 네트워크에 대해 얼마나 높고, 깊고 긴 IT 방벽을 쌓더라도 공격자들은 이 벽 위로 넘나들거나, 땅을 파거나, 혹은 뚫는 방법들을 발견한다.

최근 버라이즌 데이터 유출 조사 보고서(Verizon Data Breach Investigations Report)는 데이터가 유출됐다는 것을 감지하는 데 수개월에서 수년이라는 시간이 걸렸던 일부 해킹 형태가 모든 유출 사고의 50% 이상이었다는 것을 발견했다.

이런 통계는 대부분의 기업이 최선의 노력을 했음에도 불구하고 유출이 일어난다는 것을 인식을 하고 있으며, 경험칙상 얼마나 빨리 유출을 인지하고 침입한 흔적을 제거하는 것이 중요하다는 것을 알려준다.

중요한 것은 빠른 감지와 대응을 할 수 있어야 한다는 것이다.

본국법 및 생명과학 전문 법률 사무소 펜윅 앤 웨스트 LLP의 IT 이사 케빈 무어는 이런 공격에 대해 잘 알고 있다.

무어는 "다른 조직과 마찬가지로 우리 또한 많은 보안 장비를 갖고 있다. 네트워크 방화벽에서 애플리케이션 방화벽, 모니터링 시스템, 웹 게이트웨이, 안티 악성코드 애플리케이션에 이르기까지 우리 시스템을 보호하기 위한 체계를 갖추고 있다. 그러나 점점더 진화하는 위협은 모든 공격을 막아내는 일이 점점더 어려워지고 있다"고 말했다.

사실, 지난 몇년 간 FBI에서도 해커들이 표적 기업의 민감한 정보를 획득할 방법 가운데 하나로 법률 사무소를 공격하는 일이 증가하고 있다고 수차례나 경고한 바 있다.

이로 인해 무어는 "침입 발견과 감염된 시스템을 깨끗이 하는 데 시간을 줄이고 자동화하는 방법을 찾고 있으며 이 가운데 하나가 바로 자동화 악성코드 포렌식 시스템인 파이어아이(FireEye)를 도입하게 됐다.

하지만 펜윅의 IT 보안 팀 자체는 규모가 작기 때문에 잠재적 침입에 대한 대응에 대해 수동적일 수 밖에 없으며, 시간을 많이 소모할 수 없다.

무어는 "파이어아이 혹은 우리 웹 게이터웨이로부터 악성코드 경고가 울릴 때마다 우리는 문제의 머신을 격리시키고자 했다. 사용자가 누구인지 파악하고 그들이 어디 있는지 알아낸 뒤 신속히 그 머신을 격리시키기 위한 서비스 데스크 에이전트를 보냈다"고 설명했다.

무어는 "이는 좀더 확실한 방법이며, 대부분의 조직보다 좀더 빠른 사전 대책이다. 그러나 데이터가 유출되는 속도를 감안한다면 아직 느리며 좀더 신속하게 움직일 수 있어야 한다는 것을 알았다"고 말했다.

우리가 최대한 빨리 대응할 수 있도록 악성코드가 통신을 시도하는 C&C 서버를 알려주는 파이어아이 측으로부터 데이터를 얻었다.

그러나 서비스 데스크 에이전트와 다른 이들은 보안 이외에도 다른 책무가 있다. 그래서 우리는 좀더 자동화할 수 있는 방법이 필요하다.
무어는 매번 이 싸움을 하느라 점점더 많은 시간을 소모하고 있기 때문에 이 시간을 줄이고자 위협 관리 및 보안 분석 개발업체 넷시타델(NetCitadel)을 검토하고 있다.

넷시타델은 네트워크 방화벽, 애플리케이션 방화벽, 안티 악성코드, 포렌식 등 다른 애플리케이션으로부터 데이터를 통합해 실시간 데이터를 기반으로 공격 경고와 방어를 할 수 있다.

무어는 "예를 들어 나는 효율적으로 위협을 중지시켰다. C&C 서버에서 빠져나가는 통신
우리는 시간을 샀다. 우리는 여전히 빠른 대응이 필요하지만 우리는 빨리 대응할 수 있었기 때문에 추가적인 시간을 벌 수 있었다.

무어는 "오늘날의 좋은 보안은 감지만해서는 안된다. 감지와 함께 신속한 대응이 관건"이라고 말했다. editor@itworld.co.kr


X