2021년은 모든 것이 고조된 한 해였습니다 . 팬데믹은 더 많은 분리, 더 많은 고립, 그리고 선과 악을 분별하는 우리의 능력에 대한 전반적인 불안을 야기했습니다. 사이버 보안에서 우리는 랜섬웨어 경제의 물결을 타고 있는 위협 행위자의 수가 급격히 증가하는 것을 보았으며 더 많은 정부가 국가 정치에 영향을 미치기 위해 사이버 공간을 사용하였으며 확실히 더 많은 소프트웨어 취약점이 발견되었습니다. 이들의 결합된 효과로 인해 침해는 더 쉬워지고 보안은 더 어려워졌습니다.
그렇다면 2022년은 우리를 어디로 이끌어 갈까요? 작년 에 우리의 예측 은 크게 빗나가지 않았습니다. 사이버 보안의 불황에서 달라질 해를 기대하며 SentinelOne의 최고의 연구원과 사상가를 다시 한 번 모아 다가올 2022년의 중심 모티브를 예측해 봅니다.
우리는 아직 ‘랜섬웨어 정점‘에 도달하지 않았다
랜섬웨어 운영자는 지난 한 해 동안 계속해서 느슨한 태도를 보여왔습니다. 2021년의 수많은 세간의 이목을 끄는 공격 은 이러한 행위자들이 이익을 얻을 기회를 얻을 것임을 보여주었습니다. 2022년에는 수많은 환경을 노출하는 동시에 공격자의 툴셋을 크게 향상시킨 log4j 와 같은 매우 중요한 취약점이 여러 번 화제가 될 것으로 예상됩니다.
또한 작년 한해에는 Rust 및 Go 프로그래밍 언어로 작성된멀웨어가 더 광범위하고 가속화 있었습니다. 이 방법의 주요 이점 중 하나는 당연히 플랫폼 간 호환성입니다. 이에 대한 몇 가지 최근 예에는 BlackCat/AlphaVM 랜섬웨어, RansomEXX 랜섬웨어 및 ElectroRAT가 있습니다. 우리는 이러한 위협의 대부분이 외부에서 멀티플랫폼이 되는 경향이 있습니다. 2022년으로 접어들면서 더 많은 수의 새로운 교차 플랫폼 멀웨어 제품군이 나타날 것으로 예상됩니다 .
의료 기관(병원, 의료 연구 시설, 개인 진료소)을 표적으로 삼는 것은 계속해서 중요한 문제가 될 것입니다. 표면적으로는 많은 위협 운영자가 의료 중심의 표적 공격을 피한다고 주장하지만 현실과는 거리가 있습니다. 우리 는 랜섬웨가 이러한 환경을 감염시키고 때로는 생명을 앗아가는 것을 계속 목격하고 있습니다 . 2022년에는 공공 안전에 미치는 영향에 관계없이 조직을 대상으로 하는 공격적이고 파렴치한 랜섬웨어 작업이 중단되지 않을 것으로 예상됩니다.
우리는 또한 이러한 작업의 정체성은 계속해서 모호해지며, 다양한 그룹 공개되지 않은 채 숨어서 작업의 잦은 브랜드 변경을 통해 새로운 처벌이나 제재를 (Jim Walter , SentinelLabs 수석 위협 연구원)
사이버 공격에서 벗어나기 위해서 돈을 쓰거나 랜섬웨어 갱단을 체포하는 것만으로는 벗어날 수 없다
기업이 수백만 달러를 지출하고 있음에도 불구하고 랜섬웨어 공격의 수는 꾸준히 증가하고 있습니다. 미국 정부가 랜섬웨어 태스크포스를 구성한 것은 좋은 의도에서 이루어졌지만, REvil 랜섬웨어 갱단의 일원으로 의심되는 사이버 범죄자를 체포하는 것만으로는 충분하지 않다는 것이 입증되었습니다.
최근 미 국무부는 “DarkSide 랜섬웨어 변종 초국가적 조직범죄 그룹에서 주요 리더 직책을 맡고 있는 사람의 신원이나 위치를 알 수 있는 정보”에 대해 최대 1천만 달러의 포상금을 제공했습니다. 반면 공식적으로 러시아 연방과 연결되어 있지는 않지만 DarkSide는 정부의 명백한 묵시적 승인 하에 러시아 내에서 활동할 수 있었습니다. 미 국무부의 자금 사용은 외교 및 기타 수단을 사용하여 초국가적 조직 범죄 행위자를 식별하고 사법 처리 하는 등의 군사적 선택을 유보하려는 요구를 강조하고 있습니다.
2022년 내내 계속되는 랜섬웨어 활동은 우리가 사이버 공격에서 벗어나기 위해 돈을 쓰거나 체포로 안된다는 것을 증명할 것입니다 . 그 대신 사고 방식을 바꿔야 합니다. 문제는 문제가 아니라 문제에 대해 생각하는 방식입니다. 그리고 그것이 중요한 것이 아니라 우리의 적들이 문제에 대해 생각하는 방식이 정말 중요합니다.
우리는 사이버 범죄자들을 이기기 위해 해결하려는 문제에 대해 비판적으로 생각할 필요가 있습니다. 이제는 틀에서 벗어나서 기계와 싸워야 할 때입니다. (Morgan Wright , SentinelOne 최고 보안 고문)
소프트웨어 종속성은 가장 약한 연결 고리다
SolarWinds 를 사용한 작년 말부터 Log4j2 를 사용한 올해 말까지 소프트웨어 의존성이 거대한 사각지대이자 공급망 공격의 주요 매개체라는 경종을 울리고 있습니다.
널리 사용되는 소프트웨어 구성 요소가 기본적으로 안전할 가능성은 낮습니다. 아무리 좋은 의도를 가지고 있어도 유용한 모듈, 플러그인, 패키지 및 기타 유틸리티 코드를 만들고 공유하는 사람들의 사고 방식은 보안에 중점을 두는 경우가 거의 없습니다. 게다가, 기업이 네트워크에 들어오는 모든 소프트웨어를 테스트하고 평가할 수 있는 능력은 연방 정부를 포함한 대부분의 기업에게 제한되어 있습니다.
2022년은 기회이자 위협입니다. 즉, 우리는 전체 사이버 자산에 대해 기술 과 가시성을 통해 문제를 해결할 수 도 있고, Sunburst와 같은 잘 만들어진 국가공격이나 Log4j2와 같은 “범용 취약점”을 기다리며 지금까지 해온 대로 계속할 수도 있습니다. 업무량이 많은 SOC 팀과 관리자는 기권할 수 있습니다.(Migo Kedem , SentinelOne, SentinelLabs의 성장 부사장이자 설립자)
APT 사업 시작
사이버 보안 연구소에서 일하면서 화려하고 혁신적인 작업에 쉽게 빠져들게 됩니다. ‘APT’가 전 세계 대다수 국가 기관에 잘 자리 잡은 정보 수집 운영자 계층을 완곡하게 표현한 것이라는 것을 잊기 쉽습니다. 결국, 더 주목할만한 APT 중 일부는 거의 25년 동안 존재해 왔습니다.
그들은 교활한 해커들의 불량한 복장으로 미화하는 대신, 이러한 많은 민족국가의 적들은 관료주의에 사로잡혀 있고 달성해야 할 목표가 있으며, 대중적인 연구원의 믿음과 달리 그들의 주요 목표는 우리에게 감동을 주는 것이 아닙니다.
지난 해, 민족국가의 적들은 인상적이지 않고 지극히 평범한 것이 (적어도 운영의 초기 단계에서는) 투자 수익을 불가피하게 증가시킨다는 검증된 공식을 배웠습니다. 즉, 감염 벡터가 Cobalt Strike 또는 Metasploit용 JavaScript 로더($0)가 포함된 이메일($0)인 경우 피해자를 확인하고, 보안 솔루션을 찾고, 기본 수집을 시작하고, 피해자가 있는 위치에 2단계 툴를 배포할 수 있습니다. 제거되지 않을 경우 지속성 및 수집이 달성되는 높은 ROI를 나타냅니다.
게다가, 제로데이 잇스플로잇, 맞춤형 툴 또는 주목할 만한 것 없이 지적 재산권 절도를 하는 또 다른 ATP인 경우 ‘평소와 다름 없는 비즈니즈’에 더 쉽게 섞일 수 있습니다.
2022년이 우리를 사이버 스파이 활동의 보다 일상적인 측면으로 더 밀어넣을 것 같아 두렵 습니다. 우리가 본질적으로 익숙해져 왔던 모든 면에서 만연하지만 수준은 낮고 지속적이지만 눈에 띄지 않는 수집 노력의 맹공격으로서 우리가 본질적으로 익숙해져 온 모든 면에서 말입니다. (Juan Andres Guerrero-Saade , SentinelLabs 수석 위협 연구원)
민간 스파이 사업은 계속 번창할 것입니다
민간 스파이 사업은 지난 한 해 동안관심 증가로 인해 많은 어려움을 겪을 것이지만, 그렇다고 해서 수익성 있고 수요가 많은 거래의 성장을 저지하거나 막지는 못할 것입니다. 우리는 연구원들이 실제 영향을 거의 고려하지 않고 전 세계적으로 고용 감시 기술 및 리소스를 판매하는 새롭고 덜 보고된 비즈니스를 발견할 것으로 기대할 수 있습니다 .
러시아의 Positive Technologies, 싱가포르의 Computer Security Initiative Consultancy, 이스라엘의 Candiru 그리고 아마도 가장 유명한 NSO Group과 같은 일부 잘 알려진 회사가 2021년에 심각한 정부 제재 또는 부정적인 언론 보도를 경험했지만 우리는 이러한 회사와 다른 회사가 이익을 염두에 두고 리브랜드, 분할, 또는 일반적으로 발전하기를 기대할 수 있습니다. 이러한 유형의 비즈니스는 2022년에 사라지지 않을 것입니다. (Tom Hegel , SentinelLabs 수석 위협 연구원)
엔터프라이즈 클라우드 종속성의 복잡성 보호
기업은 클라우드 네이티브 서버의 고객 데이터 프라이버시가 시험대에 오르기 때문에 클라우드 네이티브 보안 을 보다 신속하게 채택 하고 일선에서 이러한 위협에 대응해야 합니다. 클라우드 인증 도용은 계속될 것이며 약한 권한을 남용하고Azure 및 AWS API 자격 증명 도용으로클라우드 네이티브 랜섬웨어 가 구현되는 모습을 보게 될 것입니다 .
Azure Active Directory가 주요 기술 채택을 추진하는 동안 On-Premise Active Directory는 계속 사라집니다. Okta 및 JumpCloud와 같은 기업들이 추가 인수에 나서면서, 한 번에 수많은 피해자들에게 접근하려는 모든 해커의 관심이 증가 하기 시작할 것 입니다.
방어자 입장에서는 API 보안 솔루션은 필수가 될 것입니다. XDR 채택 은 위협 사냥꾼이 더 많은 자동화를 채택 하도록 강요하는 MSSP를 통해 증가할 것 입니다. 이는 새로운 데이터 소스에 대한 적용 범위를 제공하고 방어자가 새로운 전투 조건에 직면할 수 있도록 합니다. (Rafel Ivgi , SentinelLabs 수석 보안 기술자)
엔터프라이즈 Mac(및 주변의 다른 Apple 장치)에 대한 더 많은 표적 공격
작년 에 예측한 바와 같이 보안 연구원과 위협 행위자가 Apple 플랫폼에 대한 조사가 증가함에 따라 2021년에 macOS 및 iOS 취약점이 폭증했습니다. 2021년 동안 쇼를 훔친 것은 NSO의 Pegasus 제로 클릭 iMessage 익스플로잇 이었습니다. 이 익스플로잇 에서는 Apple의 Core Graphics 프레임워크의 제로 데이 취약점(CVE-2021-30860)이 전체 에뮬레이트된 컴퓨터 아키텍처를 구성하는 데 사용되었습니다.
한편, Mac이 대부분의 회사 네트워크 또는 서버 인프라의 핵심이 된 적은 없지만 Mac은 개발자와 C – 경영진 사이에서 매우 선호되는 제품이 되었습니다 .
동시에 기업을 포함하여 Apple 사용자는 iOS 및 macOS 보안 을 심각하게 오해하고 있습니다. Mac 사용자는 최소한 멀웨어에 대한 탐지 및 보호를 위해 타사 EDR 제품을 설치할 수 있지만 Apple의 강력한 “Mac은 설계상 안전합니다“ 마케팅 메시지에 설득되어 그렇게 하는 사람은 거의 없습니다. Mac의 레거시 AV 스캐너 XProtect 와 정기적으로 우회되는 Gatekeeper 및 Notarization 기술로 충분하다고 믿는 사용자는 자신과 조직을 공격에 취약하게 만듭니다. 사실 , 애플 도 올해 초 인정 했듯이 , 맥 의 내장 방어 는 충분 하지 않습니다 .
최근 역사는 가장 많은 자원을 가진 위협 행위자(민족 국가)가 반체제 인사, 언론인 및 정치적 반대자를 표적으로 삼는 데 기꺼이 그 자원을 사용한다는 것을 보여주었습니다. Pegasus와 같은 NSO 스파이웨어를 구입하든 macOS.Macma 와 같은 Mac 전용 백도어를 만들든 정부(또는 그 대리인)는 지금까지 Apple 플랫폼에 대한 표적 공격을 주로 했습니다. 그러나 민족 국가가 가는 곳은 곧 범죄자가 따라옵니다 .
Apple 기기 취약성에 대한 관심 증가, 기업에서 Mac의 사용 확대, Mac이 안전하고 제3자 보호가 필요하지 않다는 잘못된 보안 인식은 2022년 Apple 기기 사용자를 대상으로 한 더욱 높은 표적형 공격으로 이어질 것입니다 . (Phil Stokes , macOS 위협 연구원, SentinelLabs)
결론
올해 미국 정부가 사이버 보안의 오랜 과제를 해결하기 위해 용기 있는 노력을 기울였지만, 기업의 첫 번째이자 마지막 방어선인 동시에 성장과 상업적 확장에 초점을 맞추면서 모든 위협을 무릅쓰고 신뢰와 자본을 잃으면 안 됩니다.
2022년에 어떤 어려움이 닥치든 우리 모두는 강력한 예방 조치 , 명확한 사고 대응 및 재해 복구 계획과 같은 기본 사항을 처리하고 있는지 확인해야 하며 최전선에서 우리 사람들을 돌보는 것을 잊지 말아야 합니다! SentinelOne의 모든 직원은 행복하고 안전한 새해를 기원합니다
SentinelOne이 조직을 보호하는 방법을 알고 싶다면 당사에 연락 하거나 무료 데모 를 요청하십시오 .