공격을 저지하고 다른 사람에게 전달하세요: F5의 보안 사고 대응이 집에 있습니다.
대부분의 공격자는 당신을 노리지 않습니다. 적어도 처음에는 그렇지 않았습니다. 그들은 일반적으로 악용하려는 특정 취약점을 보여주는 조직을 표적으로 삼기 전에 매우 광범위한 접근 방식을 채택합니다. 당신이 특별히 높은 가치의 타깃이 아니라면(금융, 대형 유통, 정부 등), 그것은 당신과 관련이 없습니다. 당신은 아마도 흔히 찾는 약점을 가지고 있을 겁니다. 사실, 공격을 받을 때는 그다지 위안이 되지 않습니다.
그러면 멀리서 보면, 공격자들은 일반적으로 전반적으로 동일한 종류의 것을 노리므로 이론적으로는 지식을 공유하는 것이 매우 유익합니다. 그러나 대부분의 조직에서는 a) 업계의 이전 보안 사건에서 얻은 교훈을 통합하거나 b) 다른 사람들이 같은 실수를 피할 수 있도록 익명으로 경험을 알리는 메커니즘이 없기 때문에 실무에서는 이러한 방식이 통하지 않는 경우가 많습니다. 이에 따라 새로운(또는 알려진) 취약점을 악용하는 현재 공격 캠페인에 대한 정보가 충분히 전달되지 않고 있으며, 동일한 기본 취약점과 악용에서 비롯된 침해 관련 헤드라인을 꾸준히 보게 됩니다. 예를 들어, 2017년에 WannaCry 피해자 중 몇 명이 널리 문제가 있다는 사실이 문서화된 EOL/지원되지 않는 소프트웨어를 사용했나요? 답: 아주 많습니다 .
공평하게 말하면, 이 중 많은 부분은 맥락상 이해가 가능합니다. 공격을 받고, 침해를 당하고, 비상 사고 대응의 압박을 받는 동안, 그리고 사실이 확인될 때까지 사고와 관련된 정보를 억제하기 위해 최선을 다하는 법무부의 감시를 받는 동안, 대규모 커뮤니티에 정보를 제공하는 것은 보안 전문가의 마음에 떠오르는 첫 번째 일이 아닙니다. 당신이 엄청난 스트레스를 받지 않고 여전히 충분히 이타적인 기분을 느낀다면, 주변 산업에 도움이 될 만한 일을 실제로 할 수 있을까요? 발견된 파일을 VirusTotal 에 공유하는 것도 한 가지 방법이 될 수 있지만, 조직을 보호하는 더 시급한 작업(그리고 아마도 더 절실하게는 본인의 직업)으로 돌아가기 전까지는 그냥 놔두는 것 외에는 할 수 있는 일이 별로 없을 것입니다. 이상적으로는 위기 상황에 신속하게 대응하여 지원할 수 있는 숙련된 지원군을 준비하고 싶어할 것입니다. 정보를 분석하고, 즉각적인 완화 지침을 제공하고, 여러분(및 다른 네티즌들)이 향후 모든 공격을 방어하기 위해 네트워크를 더 잘 준비할 수 있도록 돕는 전담 전문가입니다.
사업으로 돌아가기
F5를 누르세요. 고객이신 경우, 무료 긴급 사고 대응 지원이 지원 계약에 포함되어 제공됩니다. 이는 가장 중요한 순간에 필요한 도움을 받을 수 있도록 도와줄 뿐만 아니라, 여러 조직의 경험을 분석, 집계, 추상화하여 더 큰 그룹의 발전을 위한 길을 제공합니다. 급박한 위협에 직면한 경우 F5 기술 지원팀에 전화하여 보안 사건이 발생했다고 설명하면 F5 보안 사고 대응팀(SIRT)으로 바로 연결됩니다. 이 글로벌 팀은 광범위한 사고 대응 경험을 보유한 보안 엔지니어(12개 이상의 언어 지원)로 구성되어 있으며, 24시간 연중무휴 운영됩니다. F5 SIRT의 주요 목표는 미래의 사건에 더 잘 대비하기 위해 관련된 보다 광범위한 보안 주제로 돌아올 것이지만, 출혈을 멈추고 귀사의 비즈니스에 대한 장기적인 완화 솔루션을 개발할 시간을 주는 것입니다.
F5 SIRT 글로벌 인력은 고객 환경에서 F5 제품이나 제공 서비스에서 가능한 광범위한 완화 옵션(예: 고급 WAF (Proactive Bot Defense, CAPTCHA 등), AFM , IP Intelligence(IPI), GeoIP, 다양한 무차별 대입 공격 보호 옵션 및 기타 여러 옵션)을 활용할 수도 있습니다. 또한 필요한 경우 F5의 Silverline 팀에 문의하거나 추가적인 클라우드 기반 DDoS 또는 WAF 보호 기능을 권장할 수도 있습니다. 해당되는 경우, 이러한 솔루션 및 기타 솔루션은 F5 Sales를 통해 제공됩니다.
SIRT 팀은 교통 흐름을 수정하기 위해 신속하게 개발 및 배포되는 F5의 프로그래밍 가능한 iRules를 사용하는 데 특히 능숙합니다. 얼마나 빨리? 문제의 복잡성은 항상 문제가 되겠지만, 맞춤형 iRules은 몇 분 내에 준비하고 고객이 몇 시간 내에 배포할 수 있습니다(물론 적절한 비상 변경 제어 절차를 거친 후에 말입니다).
간단한 예를 살펴보겠습니다. F5 고객이 F5 장치를 전면에 배치한 RDP 서버에 대한 무차별 대입 공격을 경험하고 있었습니다. 서버는 인터넷에 공개되어 있어 비즈니스를 지원하기 위해 접근이 가능해야 했지만 특정 네트워크 범위에만 국한되었습니다. 공격을 완화하기 위해 F5 SIRT와 함께 iRule이 개발되었는데, 이는 데이터 그룹을 수단으로 사용하여 클라이언트 IP를 "알려지고 신뢰할 수 있는" 외부 네트워크 집합과 비교하고 해당 네트워크 중 하나에서 시작되지 않은 트래픽을 모두 삭제했습니다. 이를 통해 공격이 완전히 완화되고 고객의 보안 태세가 개선되었습니다. 더욱이 이 접근 방식은 신뢰할 수 있는 목록에서 네트워크를 추가하거나 제거하는 기능을 유지하며, 고객은 GUI에서 특정 데이터 그룹을 구성하여 향후 비슷한 공격을 차단할 수 있습니다.
커뮤니티로 돌아가기
사고 조사 과정에서 새로운 익스플로잇, 캠페인, 맬웨어 또는 이전에 본 적이 없거나 잘 이해되지 않은 취약점과 같은 관련 세부 정보가 발견되는 경우 F5 SIRT는 회사 전체의 팀 네트워크에 액세스하여 추가적인 관점을 얻을 수 있습니다. 이러한 접근 방식은 F5의 위협 연구원, 보안 제품 개발자 및 기타 전문가의 지식을 효과적으로 모아 결과를 분석하고 향후 향상된 해결책을 제공합니다. 특정 요소가 더 광범위한 산업에 이롭게 공개되는 것이 적합한 경우, 특정 고객이나 특정 사건에 대한 세부 정보는 공개되지 않습니다. 자세한 내용은 PyCryptoMiner 의 경우와 마찬가지로 특정 위협의 발견 및 동작과 적용되는 일반 지침으로 제한됩니다.
F5 전문가 팀이 지원을 기다리고 있다는 사실을 알면 인프라를 보다 잘 보호하고 관리할 수 있으며, 공격을 받을 경우 도움을 받기까지 엄청난 양의 번거로운 절차와 서류 작업이 필요하지 않습니다. 이 외에도 다른 고객이 같은 운명을 겪지 않아도 된다는 이점이 있으며, 귀중한 지식을 공유하는 이러한 접근 방식 덕분에 귀하의 조직도 시간이 지남에 따라 더 안전해질 것입니다.
그렇다면 F5에는 어떤 이점이 있을까요? 당연히 우리는 회사가 성공적으로, 그리고 안전하게 사업을 운영하도록 만들고 싶습니다. 고객의 성공은 F5의 성공을 뒷받침합니다. 게다가 우리는 보안 사고가 대상 기업에만 영향을 미치는 것이 아니라, 해당 기업의 고객과 파트너에게까지 파장을 일으키고 때로는 그보다 훨씬 큰 영향을 미칠 수도 있다는 사실을 알고 있습니다. (예를 들어, 사용자는 종종 여러 사이트에 동일하거나 비슷한 비밀번호를 사용하여 보안 사고의 범위가 크게 증가합니다. 예를 들어 Sony와 Yahoo 사용자는 두 계정 모두에 동일한 비밀번호를 사용하는 비율이 59%로 나타났습니다 .) 과장은 아니지만 이러한 파장 효과는 인터넷에서 사업을 하는 모든 사람에게 영향을 미칠 수 있습니다. (또 다른 덧붙여: 조사에 따르면 오늘날 온라인에 접속한 사용자 한 명당 평균 3개의 기록이 손상된 것으로 나타났습니다.)
우리(업계 전체)는 관련 공격 세부 정보와 주요 학습 내용을 공유할 수 있는 기회를 만들어 시스템을 취약하게 만드는 근본적인 문제를 더 잘 처리할 수 있습니다. F5 SIRT를 사용하면 고객이 더 큰 이익에 유리하게 기여할 수 있는 위치를 확보하는 동시에 자신의 입지도 개선할 수 있습니다.
자세한 내용을 보거나 F5 보안 사고 대응팀(SIRT)에 문의하려면 해당 웹페이지를 방문하세요.