이러한 노출을 파악하면 보안 팀이 공격 표면을 줄여 조직을 선제적으로 보호하는 데 도움이 됩니다. 다음 조사 결과는 Cortex Xpanse를 사용하여 12개월간 수집된 광범위한 노출 및 위협 데이터에서 수집한 인터넷으로 액세스할 수 있는 노출에 대한 인사이트를 제공합니다.
알려지지 않은 위협을 적극적으로 찾아 수정
Xpanse는 능동적 공격 표면 관리 플랫폼으로 조직이 인터넷 노출 시스템의 노출을 찾아 자동으로 수정하는 데 도움을 줍니다. Xpanse를 사용하여 조직은 인지한 것보다 30~40% 더 많은 자산을 환경에서 일상적으로 발견할 수 있습니다.
약한 보안으로 데이터 침해에 취약한 데이터베이스입니다. 예: MongoDB 인스턴스, 안전하지 않은 MySQL 서버 열기 등
빨간색 선
안전하지 않은 파일 공유 시스템
적절한 보안이 부족하며 침해 위험이 있는 파일 전송 시스템입니다. 예: 암호화되지 않은 FTP, 안전하지 않은 Telnet 등
빨간색 선
잘못 구성된 IT 및 보안 인프라
네트워크를 잘못 셋업하여 무단 액세스를 유발합니다. 예: 방화벽 관리자 페이지, 잘못 구성된 VPN 등.
빨간색 선
거짓
거짓
빨간색 선
노출된 원격 액세스 서비스
안전하지 않은 원격 액세스 포인트로, 무단 침입에 취약합니다. 예: RDP 포트, 약한 SSH 인증 열기 등
빨간색 선
거짓
거짓
빨간색 선
건물 관리 시스템
인프라 관리 시스템으로, 사이버 공격에 잠재적으로 취약합니다. 예: 취약한 HVAC 시스템 등
자동 해결된 문제 0개 입력 대기 중인 문제 5개
최신 IT 환경의 동적인 특성을 평가하기 위해 6개월 이상의 기간 동안 조직에서 사용 중인 다양한 클라우드 제공업체에서 실행되는 새로운 서비스 및 기존 서비스의 구성을 연구했습니다.
클라우드 공격 표면 변동
클라우드 변동성은 보안 제어에 부담
외부에서 액세스 가능한 클라우드 서비스의 평균 20% 이상이 매월 변동됩니다. 지속적인 가시성이 없을 경우 우발적인 구성 오류와 조직 내 섀도 IT의 꾸준한 확산의 추적을 놓치기 쉽습니다.
인사이트
20%
매월 변화하는 중요한 클라우드 기반 IT 인프라의 비율
45%
이 유동성으로 인해 매월 발생하는 새로운 리스크
공격 표면은 지속적으로 변화하기 때문에 조직은 이를 적극적으로 모니터링해야 하며, 지속적인 가시성이 없을 경우 공격자가 익스플로잇할 수 있는 알려지지 않은 일상적인 여러 노출이 발생합니다.”
Matt Kraning, Cortex Xpanse CTO
Unit 42®는 30개의 CVE(Common Vulnerabilities and Exposures)의 위협 인텔리전스를 분석하여 공격자들이 이를 얼마나 빠르게 익스플로잇하기 시작하는지 특성화했습니다.
기계 같은 빠른 속도의 공격자 움직임
공격자는 CVE가 발표된 후 몇 시간 내에 익스플로잇을 시작
특히 30개의 취약점 중 세 개는 CVE 공개 이후 몇 시간 내에 익스플로잇되었습니다. 30개 중 19개의 취약점은 공개 후 12주 이내에 익스플로잇되었으며, 불완전하고 일관성 없는 패칭 프로그램과 관련한 리스크를 시사하고 있습니다.
인사이트
3/30
의 CVE 관련 노출 이 공개 일주일 내에 표적화
19/30
의 CVE 관련 노출 이 12주 이내에 표적화
CVE가 대중에게서 잊혀지더라도 잠재적 위협 행위자는 계속 이와 관련되어 있다는 사실을 인식하는 것이 중요합니다. 따라서 기업은 노출을 끊임없이 찾고 수정하여 공격 표면을 줄여야 합니다."
Greg Heon, Cortex Xpanse 제품 부문 전무 이사
Unit 42는 랜섬웨어 공격자가 활발히 사용하는 15개의 원격 코드 실행(RCE) 취약점을 분석했습니다. 이러한 CVE는 공개 후 12개월 이내에 위협 행위자 그룹에 대한 인텔리전스 정보와 적극적인 익스플로잇을 기반으로 선정되었습니다.
랜섬웨어 전달
당일 랜섬웨어 전달
위협 행위자는 공개 후 몇 시간 이내에 이러한 중요한 RCE 취약점 중 3개를 표적화했습니다. 6개의 취약점은 공개 8주 이내에 익스플로잇되었습니다.
인사이트
3/15
의 CVE 관련 노출은 CVE 게시 후 몇 시간 내에 표적화됨
6/15
의 CVE 관련 노출은 CVE 게시 후 8주 이내에 해당 위협 행위자가 사용
방어자는 공격자가 중요한 공격 표면 노출을 찾기 전에 이를 먼저 찾아 수정할 수 있도록 자동 복구 기능을 활용해야 합니다.”
Marshall Kuypers, Cortex Xpanse 기술 지원 사업부 이사
2022년 Unit 42 인시던트 대응 보고서는 성공한 랜섬웨어 공격의 20%에 기여한 무차별 자격 증명 대입 공격을 공개했습니다. 미국 정부의 CISA와 NSA의 최근 권고에 따르면 사이버 범죄자는 RDP를 고도로 취약한 공격 벡터로 지속적으로 표적화합니다.
랜섬웨어 전달 프로토콜
랜섬웨어로 이어지는 원격 액세스 노출
이 보고서에서 분석한 조직의 85%는 한 달 동안 인터넷으로 액세스할 수 있는 RDP 인스턴스를 온라인으로 하나 이상 보유했습니다. 600개 이상의 인시던트 대응 사례 전반에서 2022년 Unit 42 인시던트 대응 보고서는 표적화된 조직의 50%는 주요 인터넷 연결 시스템에서 다단계 인증(MFA)이 부족한 것을 확인했습니다.
인사이트
85%
이 보고서에서 분석한 조직의 85%는 한 달 동안 인터넷으로 액세스할 수 있는 RDP 인스턴스를 온라인으로 하나 이상 보유했습니다.
RDP는 무차별 대입 공격이 쉽습니다. 조직은 환경의 RDP 노출을 식별하여 제거해야 합니다. 필요한 경우 RDP는 MFA를 활성화하고 다른 보상 제어 기능을 갖추지 않은 상태에서 사용해서는 안 됩니다.”
Ross Worden, Unit 42 수석 컨설팅 이사
전 세계의 조직은 여러 일상적인 구성 오류와 사고를 경험하고 있으며 이는 인터넷을 통해 조직을 침해할 수 있는 쉬운 경로를 제공합니다.
주요 공격 표면 노출
쉬운 액세스를 제공하는 일상적인 노출
웹 프레임워크 탈취 노출, 원격 액세스 서비스 노출, IT 및 보안 인프라 노출은 모두 글로벌 공격 표면의 모든 노출의 60% 이상을 차지합니다. 조직은 이를 매일 처리하고 제거하여 제어 기능을 높이고 공격 표면을 줄여야 합니다.
인사이트
23%
모든 노출의 23%는 웹 프레임워크 탈취 노출이며 공격자는 이를 통해 취약한 소프트웨어를 실행하는 웹사이트를 찾아 표적화합니다.
20%
모든 노출의 20%는 무차별 대입 공격에 취약한 원격 액세스 서비스입니다.
노출된 IT 및 보안 인프라는 조직에 엄청난 리스크를 초래합니다. 공격자는 이러한 시스템에 집중하여 조직에 대한 진입로를 확보하고 보안 수단을 침해하거나 무력화합니다. 지속적인 가시성과 자동화는 이러한 노출을 줄이는 데 도움이 됩니다.”
Dominique Kilman, Unit 42 컨설팅 담당 이사
2023년 Unit 42 공격 표면 위협 보고서
전 세계 다양한 산업 전반에서 공격 표면 노출이 어떻게 고유하고 지속적으로 발생하는지 알아보시기 바랍니다. 최신 ASM 보고서를 다운로드하세요.
