눈에 잘 띄지 않는 곳에 숨기: SolarWinds 공격이 악의적인 사이버 위험보다 더 많은 것을 드러낸 이유
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면 이는 엄청난 데이터 유출로 미국 정부에 영향을 미치는 사상 최대 규모의 사이버 스파이 사건이 될 것으로 예상됩니다.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
목차
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드시작하는 데 도움이 되는 리소스
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
