공격자가 네트워크를 침투하는 방법

오늘날의 사이버 공격은 기존의 사이버 보안 시스템을 우회하도록 설계되었습니다

오늘날의 사이버 공격은 변화하고 있습니다. 장난 삼아 설계한 광범위하고 무차별적인 공격은 피해조직의 가치있는 데이터를 수집하는 데 중점을 두는 지능형 지속적 위협으로 대체되었습니다. 이러한 사이버 공격은 보통 다수의 경로와 단계를 통해서 수행되고, 네트워크에 침입하고, 침해된 네트워크 외부로 신호를 보내고, 가치있는 자산을 유출시키는 사전에 계획된 단계들을 사용합니다.

차세대 방화벽, 안티바이러스(AV), 웹 게이트웨이와 같은 기존의 심층 방어 시스템들, 그리고 새로운 샌드박스 기술까지도 최초의 움직임인 인바운드 공격만을 탐색합니다. 그리고 이러한 모든 시스템들은 시그니처와 패턴에 의존하여 사이버 위협을 식별합니다. 나쁜 소식은 오늘날의 사이버 공격이 특히 이러한 방어를 우회하도록 설계되었다는 것입니다.

 

 

사이버 공격은 네트워크 보안의 취약점을 악용합니다

새로운 세대의 사이버 공격은 특히 개인과 조직들을 표적으로 삼아 데이터를 절도하도록 설계되었습니다. 이러한 공격은 웹, 이메일, 악성 파일을 포함하는 다수의 경로를 사용하고, 공격 목표를 정하고, 사용할 때마다 변경하고, 제로데이뿐만 아니라 여러 네트워크 보안 취약점을 악용합니다.

이러한 공격은 다단계로 수행되고, 천천히 진행되며, 사전에 계획된 단계를 사용하여 침입합니다. 사이버 범죄자들은 지능형 악성코드, 제로데이 익스플로잇 뿐만아니라 다른 표적 지능형 지속적 위협(APT)을 매일 성공적으로 사용하여 조직들을 침해하고 피해를 줍니다.

사이버 공격이 이 단계에서 성공한 이유는 안티바이러스 또는 차세대 방화벽 같은 대부분의 기존 심층 방어 사이버 보안 시스템들이 시그니처와 패턴 기반의 기법을 사용하여 위협을 탐지하기 때문입니다. 이러한 기법에 대한 의존은 조직들의 네트워크 보안 시스템에 큰 허점을 남깁니다

콜백과 데이터 유출

그러나 사이버 공격은 여기에서 멈추지 않습니다. 이러한 APT는 시스템 내부로 침입한 후에 호스트의 방어 시스템에 잠복하고, 그 시스템을 복제 및 무력화합니다.  그 다음에, 명령 및 제어(CnC) 서버로 콜백하여 추가 지시를 받습니다. 공격자들은 이때에 사이버 공격을 시작하여 다음과 같은 활동을 합니다.

  • 데이터를 유출 및 절도
  • 다른 엔드포인트를 감염시켜 추가 데이터를 찾고 절도
  • 조직의 네트워크를 정찰하여 추가 취약점을 발견
  • 위협 범죄자가 공격할 준비가 될 때까지 잠복

이러한 공격이 이 통신 단계에서 성공한 이유는 안티바이러스 또는 차세대 방화벽 같은 기존의 심층 방어 사이버 보안 시스템이 악성코드가 CnC 서버로 콜백하는 것을 거의 모니터하지 않기 때문입니다.

이 시점에서 FireEye가 개입합니다. 사이버 공격이 일반적인 바이러스, 트로이 목마 바이러스, 스파이웨어, 루트킷, 스피어 피싱 공격, 악성 이메일 첨부 파일, 또는 드라이브바이 다운로드의 형태로 수행되는 것에 상관없이, FireEye는 전달, 콜백, 정찰, 데이터 유출을 포함하는 사이버 공격의 전체 라이프사이클을 모니터하여 지능형 악성코드를 방어합니다. FireEye는 회사들이 이러한 공격을 탐지, 분석 및 대응하는 것을 지원하고, 오늘날의 사이버 공격에 직면한 조직들을 방어하는 사이버 보안을 고려하는 방법을 재정립했습니다.