지능형 지속 위협이란 무엇입니까?
게시 됨: 2021-06-10지능형 지속적 위협은 해커나 권한이 없는 사용자가 상당한 시간 동안 시스템이나 네트워크에 강제로 접근한 후 아무도 눈치채지 못하는 사이에 머무르는 공격 유형입니다.
APT(Advanced Persistent Threat)는 특히 기업에 매우 위험합니다. 이러한 해커는 기밀 회사 데이터에 지속적으로 액세스할 수 있기 때문입니다. 지능형 지속적 위협의 주요 목표는 로컬 시스템이나 네트워크에 손상을 입히는 것이 아니라 데이터 도난과 관련된 것입니다.
- APT 작동 방식
- 단계는 APT(Advanced Persistent Threat) 공격의 진화입니다.
- 지능형 지속 위협을 식별하는 방법
- 지능형 지속적 위협 사례
- APT 보안 조치
- 네트워크 보안 모범 사례
지능형 지속 위협 단계는 무엇이며 어떻게 작동합니까?
지능형 지속적 위협은 일반적으로 네트워크 해킹으로 시작하여 해킹 탐지를 피하는 단계적 방식으로 수행됩니다. 또한 해커는 공격 계획을 수립하여 회사 데이터를 매핑하여 비율에 가장 쉽게 액세스할 수 있는 위치를 찾습니다. 마지막으로 이 민감한 데이터를 수집하여 사이펀합니다.
이러한 위협으로 인해 많은 데이터 침해가 발생하여 막대한 재정적 영향을 미치는 것으로 나타났습니다. 일부 기존 보안 조치에 의해 탐지되지 않는 능력이 기업의 우려 사항입니다. 그리고 기업의 우려를 더하기 위해 해커는 목표를 달성하기 위해 보다 정교한 방법을 만들고 있으며 지능형 지속 위협이 만연하게 증가하고 있습니다.
지능형 지속 위협은 다양한 방법을 사용하여 네트워크에 대한 초기 액세스 권한을 얻습니다. 경우에 따라 공격자는 인터넷을 사용하여 맬웨어를 푸시하고 액세스 권한을 얻을 수 있습니다. 때로는 물리적 맬웨어 감염이나 외부 악용을 유도하여 보호된 네트워크에 침입할 수도 있습니다.
매번 동일한 동작을 일관되게 보여주는 바이러스 및 맬웨어와 같은 많은 기존 위협과 비교할 때 지능형 지속 위협은 방식이 다릅니다. 지능형 지속 위협에는 광범위하거나 일반적인 접근 방식이 없습니다.
오히려 특정 조직을 표적으로 삼는 명확한 목표를 가지고 치밀하고 세심하게 계획된 위협입니다. 따라서 지능형 지속적 위협은 회사의 기존 보안 조치를 피하기 위해 극도로 사용자 정의되고 매우 정교하게 설계되었습니다.
더 자주, 해커는 초기 항목을 얻기 위해 신뢰할 수 있는 연결을 사용했습니다. 즉, 해커는 직원이나 비즈니스 파트너의 자격 증명을 통해 액세스 권한을 얻을 수 있으며, 이 자격 증명은 피싱 공격을 통해 다시 액세스됩니다. 이러한 자격 증명을 사용하여 공격자는 조직의 시스템과 데이터를 매핑하고 회사 데이터를 빼내기 위한 공격 계획을 준비하기에 충분할 만큼 오랫동안 시스템에서 탐지되지 않은 상태로 있을 수 있습니다.
지능형 지속적 위협의 성공이라는 관점에서 볼 때 맬웨어는 중요한 구성 요소입니다. 특정 네트워크가 침해되면 맬웨어는 일부 표준 탐색 시스템에서 쉽게 숨어서 한 시스템에서 다른 시스템으로 이동하고 데이터 수집을 시작하고 네트워크 활동을 모니터링할 수 있습니다.
또 다른 주요 측면은 이러한 해커가 원격으로 작업하고 이러한 지능형 지속적 위협을 원격으로 제어할 수 있는 능력입니다. 이를 통해 해커는 회사의 네트워크 검색을 통해 중요한 데이터를 탐색하고 정보에 액세스한 다음 해당 데이터를 빼낼 수 있습니다.
진화하는 지능형 지속 공격의 5단계
지능형 지속적 위협에 대한 공격은 다음과 같은 5가지 단계로 수행할 수 있습니다.
1단계: 액세스 권한 얻기
여기에서 해커 또는 핵티비스트가 세 가지 방법 중 하나로 네트워크에 대한 초기 액세스 권한을 얻습니다. 웹 기반 시스템, 네트워크 또는 인간 사용자를 통해. 그들은 애플리케이션 취약점을 찾고 악성 파일을 업로드합니다.
2단계: 발판 마련
초기 액세스 권한이 부여되면 해커는 백도어 트로이 목마를 생성하여 침입한 시스템을 손상시키며 이는 합법적인 소프트웨어처럼 보이도록 마스킹됩니다. 이렇게 하면 원격으로 입력된 시스템을 제어하는 네트워크에 액세스할 수 있습니다.
3단계: 접근성 강화
기반을 구축한 후 공격자는 네트워크에 대한 추가 정보를 수집합니다. 그들은 강력하게 공격을 시도하고 네트워크의 취약점을 찾아 더 깊이 액세스하여 추가 시스템을 제어할 수 있습니다.
4단계: 옆으로 이동
일단 네트워크 깊숙이 침투하면 이러한 공격자는 추가 백도어 채널을 만들어 네트워크를 가로질러 이동하고 필요할 때 데이터에 액세스할 수 있는 기회를 제공합니다.
5단계: 보고, 배우고, 남다
네트워크를 가로질러 이동하기 시작하면 데이터 수집을 시작하고 시스템 외부로 전송할 준비를 합니다. 이를 반출이라고 합니다. 공격자는 데이터를 빼내는 동안 DDoS 공격의 형태로 편차를 생성합니다. APT 공격이 감지되지 않으면 공격자는 네트워크 내에 남아 계속해서 다른 공격의 기회를 찾습니다.
( 또한 읽기 : 클라우드 보안이란 무엇입니까? )
지능형 지속 위협을 탐지하는 방법은 무엇입니까?
지능형 지속 위협은 특성 때문에 쉽게 탐지되지 않습니다. 사실, 이러한 위협은 작업을 수행하기 위해 눈에 띄지 않게 유지하는 능력에 달려 있습니다. 그러나 회사에서 경험할 수 있는 몇 가지 지표가 있으며 이는 조기 경고 신호로 처리될 수 있습니다.
- 심야 또는 직원이 네트워크에 액세스하지 않을 때 로그인 횟수가 증가합니다.
- 대규모 백도어 트로이 목마를 발견했을 때. 이들은 일반적으로 지능형 지속적 위협을 사용하여 네트워크에 대한 액세스를 유지할 수 있도록 하는 해커가 사용합니다.
- 내부 출처에서 내부 및 외부 시스템에 이르기까지 갑작스럽고 큰 데이터 흐름을 찾아야 합니다.
- 데이터 번들을 확인하십시오. 이것은 일반적으로 해커가 데이터를 네트워크 외부로 이동하기 전에 네트워크 내부의 데이터를 집계하여 지능형 지속적 위협을 계획하는 공격자가 사용합니다.
- pass-the-hash-attack 식별. 이들은 일반적으로 pass-hash 저장소 또는 암호 데이터가 보관되는 메모리를 대상으로 합니다. 여기에 액세스하면 새 인증 세션을 만들 수 있습니다. 모든 경우에 지능형 지속 위협이 아닐 수도 있지만 그러한 상태를 식별한 경우 추가 조사가 필요합니다.
이전에는 대규모 조직의 표적으로만 여겨졌던 지능형 지속적 위협은 중소기업에도 침투하지 않습니다. 이러한 해커는 정교한 공격 방법을 사용하기 때문에 조직의 규모에 관계없이 조직은 이를 해결하기 위해 강력한 보안 조치를 구현해야 합니다.
지능형 지속적 위협의 예는 무엇입니까?
Crowdstrike(1)와 같은 사이버 보안 회사는 전 세계적으로 150개 이상의 불리한 상황을 추적하고 있습니다. 여기에는 해킹 활동가와 eCriminals가 포함됩니다. 실제로 지역과 관련된 배우와 동물의 이름을 사용하는 방법이 있습니다.
예를 들어 BEAR는 러시아, PANDA는 중국, KITTEN은 이란, SPIDER는 지역에 국한되지 않는 eCrime입니다. 다음은 Crowdstrike에서 탐지한 지능형 지속 위협의 몇 가지 예입니다.
APT 27 (고블린 판다)
이는 2013년 해커가 여러 부문에서 사업을 운영하는 대규모 기술 회사의 네트워크를 공격했을 때 처음 감지되었습니다.
APT28(팬시베어)
이 특정 지능형 지속적 위협은 실제로 합법적인 것과 유사한 웹사이트 스푸핑 및 피싱 메시지를 사용하여 컴퓨터 및 휴대폰과 같은 장치에 액세스합니다.
APT32(오션 버팔로)
이것은 베트남에 기반을 둔 적이며 2012년부터 활동했습니다. 이 지능형 지속적 위협은 SWC라고도 하는 Strategic Web Compromise를 통한 멀웨어 배포와 함께 기성 도구의 조합을 사용합니다.
Crowstrike에서 탐지한 위에서 언급한 것 외에도 다음과 같은 지능형 지속적 위협의 다른 예가 있습니다.
- 고스트넷: 악성코드가 포함된 피싱 이메일을 통해 공격을 계획하고 실행한 중국에 기반을 두고 있습니다. 이 그룹은 실제로 100개 이상의 국가에서 장치를 대상으로 했습니다.
- Stuxnet: SCADA 시스템(중공업 응용 프로그램)을 주로 대상으로 하는 멀웨어로, 이란 핵 프로그램에 사용되는 기계에 침투하는 데 성공했음을 알 수 있습니다.
- Sykipot: 스마트 카드를 주로 공격하는 악성 코드 유형입니다.
APT 보안 조치
지능형 지속적 위협은 다면적인 공격이며 도구와 기술의 형태로 여러 보안 조치를 취해야 합니다.
- 트래픽 모니터링: 이를 통해 기업은 침투, 모든 종류의 측면 이동 및 데이터 유출을 식별할 수 있습니다.
- 애플리케이션 및 도메인 허용 목록: 알려져 있고 신뢰할 수 있는 도메인 및 애플리케이션이 허용 목록에 포함되어 있는지 확인합니다.
- 액세스 제어: 강력한 인증 프로토콜을 설정하고 사용자 계정을 관리해야 합니다. 권한 있는 계정이 있는 경우 특별히 집중해야 합니다.
네트워크를 보호할 때 취해야 할 모범 사례 조치입니다.
지능형 지속적 위협에 대한 가혹한 현실은 100% 효과적인 단일 솔루션이 없다는 것입니다. 따라서 APT 보호에 대한 몇 가지 모범 사례를 살펴보겠습니다.
방화벽 설치:
지능형 지속적 위협에 대한 첫 번째 방어 계층으로 작동할 올바른 방화벽 구조를 선택하는 것이 중요합니다.
웹 애플리케이션 방화벽 활성화:
이것은 특히 HTTP 트래픽을 사용하는 인터넷/웹 애플리케이션에서 오는 공격을 방지하기 때문에 유용할 수 있습니다.
바이러스 백신:
맬웨어, 트로이 목마 및 바이러스와 같은 프로그램을 탐지하고 방지할 수 있는 최신 바이러스 백신을 보유하십시오.
침입 방지 시스템:
침입 방지 시스템(IPS)은 네트워크에 악성 코드가 있는지 모니터링하고 즉시 알려주는 보안 서비스로 작동하기 때문에 중요합니다.
샌드박스 환경:
이것은 라이브 시스템을 손상시키지 않고 의심스러운 스크립트나 코드를 테스트하는 데 유용합니다.
VPN 설정:
이렇게 하면 APT 해커가 네트워크에 쉽게 액세스할 수 없습니다.
이메일 보호 설정:
이메일은 가장 일반적으로 사용되는 애플리케이션 중 하나이기 때문에 취약합니다. 따라서 이메일에 대한 스팸 및 맬웨어 보호를 활성화하십시오.
마지막 생각들
지능형 지속적 위협은 지속적으로 문을 두드리고 있으며 대규모 피해를 생성하기 위해 네트워크에 작은 구멍 하나만 있으면 됩니다. 예, 이러한 공격은 감지할 수 없지만 적절한 조치를 취하면 기업은 이러한 공격으로 인한 역경을 피하기 위해 주의를 기울일 수 있습니다. 모범 사례를 따르고 보안 조치를 설정하면 그러한 공격을 효과적으로 방지할 수 있습니다.
기타 유용한 리소스:
사이버 위협을 피하기 위한 5가지 팁과 전략
내부자 위협을 방지하는 10가지 방법
2021년에 대처할 사이버 위협
비즈니스에서 사이버 보안의 중요성