블로그

이제 눈앞에서 위협 캠페인을 볼 수 있습니다

Navpreet Gill 썸네일
나브프리트 길
2022년 9월 8일 게시


아래 그림 1의 F5 애플리케이션 전략 보고서 에서 지적한 바와 같이, 오늘날 대부분의 기업 조직은 평균적으로 200~1,000개의 애플리케이션을 사용합니다. 이러한 앱은 여러 개의 퍼블릭/프라이빗 클라우드와 데이터 센터에 걸쳐 있을 가능성이 높으므로 이를 가용성과 보안을 유지하는 것이 어렵습니다.

그림 1 : F5 응용 프로그램 보고서 2022년 현황
그림 1 : F5 응용 프로그램 보고서 2022년 현황

작년에만 해도 Log4jSpring4Shell 과 같은 광범위하고 악용되기 쉬운 취약점을 경험했습니다. 보안팀은 기존 앱의 취약점을 찾아 완화하기 위해 주 7일, 낮과 밤을 가리지 않고 작업하는 한편, 악용을 차단하고 피해를 최소화하기 위해 필사적으로 노력했습니다. 그리고 불행히도, 모든 취약점이 보고되고 분류되지 않았기 때문에 주요 취약점에 대해서만 알 수 있습니다. NIST.gov에서는 2021년 총 25,646개의 취약점 중 약 28%가 보고되지 않았다고 지적했습니다. 

많은 조직에서는 성숙한 취약성 관리 프로그램을 도입하여 최소한 한 달에 한 번은 프로덕션 시스템에 패치를 적용하는 것이 일상화되어 있습니다. 하지만 가장 큰 문제는 F5 Labs의 조사에 따르면 심각한 취약점이 9~12시간마다 공개된다는 것입니다. 또한 매일 거의 3개의 심각한 취약점이 공개된다고 합니다. 취약한 코드가 악용되는 것에 대한 우려는 DevOps 및 SecOps 전문가를 위한 표준 인식 리소스인 OWASP Top 10에서도 다루어집니다. "취약하고 오래된 구성 요소"는 최신 OWASP Top 10 목록(2021)에서 지적되었으며 이전 목록(2017)보다 심각도 순위가 상승했습니다.

종종, 타깃형 위협 캠페인에서는 알려지고 사용된 취약점을 이용해 악용하고 조직적인 위협 캠페인을 실행합니다. 이런 위협 캠페인은 정교해서 감지하기가 매우 어려울 수 있습니다. 그리고 이러한 사례 중 일부에서 조직은 공격과 위협 캠페인을 차단하기 위해 매우 제한적인 보안 정책을 채택하여 '과도한 전환'을 할 수 있으며, 합법적인 사용자조차도 일상 업무에 필요한 리소스에 접근하지 못할 위험이 있습니다. 특히 규모가 작거나 인력이 부족한 보안팀에게는 이는 매우 시급한 문제가 될 수 있습니다.

하지만 선택지는 있습니다. 취약한 코드를 통해 애플리케이션과 API를 조직적으로 악용하는 것을 완화할 수 있는 훌륭한 방법 중 하나는 웹 애플리케이션 방화벽(WAF)을 구축하는 것입니다. 조직에서 알려진 취약점을 패치하는 데 시간이 오래 걸리더라도 WAF는 조직적인 위협 캠페인의 공격과 악용으로부터 가장 중요한 앱과 API를 보호할 수 있습니다. 물론, 위협 캠페인을 감행하는 악당과 범죄자는 특별히 교활하고 교활하며, 가장 잘 조정된 WAF에서도 위협 캠페인을 숨길 수 있는 방법을 가지고 있습니다. 그렇다면 WAF는 실제 사용자를 차단하거나 업무 경험에 부정적인 영향을 미치지 않으면서 이러한 첨단 위협의 타겟형 공격에 가장 잘 대처할 수 있는 방법은 무엇일까요?

F5는 F5 위협 캠페인을 포함한 지능형 보안 위협 서비스를 제공합니다. F5 Threat Campaign은 F5 BIG-IP Advanced WAF에 대한 구독형 추가 기능이며, F5 Distributed Cloud WAF 및 NGINX App Protect WAF에 포함되어 있습니다. F5 위협 캠페인은 보안 분석과 고급 머신 러닝, 허니팟을 활용하여 조직에 흔한 위협과 악용으로부터 보호 기능을 제공합니다. F5 위협 캠페인은 활성 위협 캠페인의 특성과 목적에 대한 통찰력을 제공합니다. 오늘날의 조직에서는 WAF를 비롯한 기존 보안 제어의 효율성을 향상시키고 활성 위협 캠페인을 자동으로 감지하고 차단하는 제어 기능을 갖춘 실시간 및 실행 가능한 위협 인텔리전스가 필요합니다. F5 위협 캠페인이 하는 일이 바로 그것입니다. 

F5 위협 캠페인과 F5 WAF 솔루션을 사용하면 SecOps 팀은 조직, 앱, API를 보호하는 세부적으로 제어되는 보안 정책을 설정할 수 있습니다. 이 서비스는 공격을 사전에 탐지하고 차단하여 정교한 위협 캠페인으로부터 앱과 IT 인프라를 보호하는 데 도움이 됩니다. F5 위협 캠페인은 머신 러닝을 사용하여 처음에는 별개로 보일 수 있는 위협 피드를 가져와 이를 상관관계로 파악하고, 다양한 공격과 악용 간의 공통점을 찾아내며, 결국 조정된 위협 캠페인 네트워크의 그림이 명확하고 분명해질 때까지 진행합니다. 이를 통해 보안팀은 기존 취약점을 악용하는 공격과 악용 사례를 찾아내 완화할 수 있습니다. 

F5 위협 캠페인 무기고의 최신 기능인 F5 위협 캠페인 세계 지도 (아래 그림 2)가 며칠 전에 출시되었습니다. F5.com에서 누구나 보고 사용할 수 있도록 공개적으로 제공되어 사이버 공격 캠페인에 대한 통찰력과 원격 분석을 함께 제공하여 가시성을 높이는 데 도움이 됩니다. 이 지도는 확대해서 볼 수 있어서 시청자는 진행 중인 위협 캠페인을 세부적으로 살펴볼 수 있습니다.

그림 2: F5 위협 캠페인 맵
그림 2: F5 위협 캠페인 맵

새로운 F5 위협 캠페인 맵 외에도 F5 위협 캠페인에는 다음이 포함됩니다.

  • F5의 실행 가능한 위협 인텔리전스를 통한 라이브 업데이트
  • 거의 0에 가까운 거짓 양성률로 향상된 웹 애플리케이션 보안
  • 비용 효율적인 모델을 통한 확실한 위험 완화
  • 더 이상 위협 사냥은 없습니다
  • 정확하고 관련성 있는 위협 피드에 대한 가시성

F5는 Log4j 익스플로잇에 대한 대응과 최종적인 완화를 준비하면서 여러 보호 조치, 규칙, 정책 업데이트를 발표하고 고객과 대중과 활발하게 자주 소통했습니다. F5는 같은 주에 활성 Log4j 악용에 대처하기 위해 F5 위협 캠페인도 발표했습니다. F5 위협 캠페인 고객은 위협 피드에서 Spring4Shell 취약점을 악용하는 공격을 감지하여 위협을 차단하고 완화할 수도 있었습니다(아래 그림 3).

그림 3: F5 위협 캠페인 피드는 Spring4Shell과 같은 악용 가능한 취약점을 감지합니다.
그림 3: F5 위협 캠페인 피드는 Spring4Shell과 같은 악용 가능한 취약점을 감지합니다.

Log4j 및 Spring4Shell과 같은 취약성을 활용한 조정된 캠페인, 공격 및 악용에 대한 라이브 피드가 탑재된 새로 출시된 F5 위협 캠페인 맵에 액세스하면 귀하도 F5 인텔리전스 서비스(F5 위협 캠페인 포함)를 통해 WAF가 표적 공격을 완화하고 해결하도록 강화할 수 있습니다.

F5 Threat Campaign 구독을 BIG-IP Advanced WAF에 추가하는 방법이나 오늘 F5 Distributed Cloud WAF 또는 NGINX App Protect WAF 솔루션에서 F5 Threat Campaign을 사용하는 방법에 대한 자세한 내용은 채널 파트너나 F5 계정 관리자에게 문의하세요 .