Offcanvas

���������������������������������������������

사명 변경한 파이어아이, ‘맨디언트’로 재출범··· "사이버 위협 대응 강화"

파이어아이가 사명을 맨디언트(Mandiant)로 변경 완료했다고 10월 6일 발표했다. 새로운 사명으로 재출범하는 맨디언트는 나스닥 종목 코드 티커 역시 10월 5일(현지시각) 화요일 거래 개시와 함께 기존 FEYE에서 MNDT로 변경됐다고 밝혔다. 이번 사명 변경은 맨디언트 어드밴티지 클라우드 플랫폼을 통해 특정 기술 솔루션에 의존성이 없는 보안 서비스에 집중하겠다는 맨디언트 전략에 기반한다고 회사 측은 전했다. 맨디언트는 지난 6월 2일, 이러한 전략의 일환으로 사모펀드 심포니 테크놀로지 그룹이 이끄는 컨소시엄에 파이어아이 제품 사업 및 파이어아이 사명을 매각한다고 밝힌 바 있다. 맨디언트 CEO 케빈 맨디아는 이번 재출범에 대해 “맨디언트 사명 변경은 모든 조직의 사이버 위협에 대응을 강화하겠다는 맨디언트 미션의 연장선으로 볼 수 있다”고 말했다. 맨디언트는 보안 전문 지식, 인텔리전스와 적응형 기술을 적절히 조합한 효과적인 보안 확보를 위해 지난 17년간 위협 인텔리전스를 제공해 왔다. 현재 맨디언트는 매년 1,000건 이상의 보안 침해 사고에 대응하고 있으며, 맨디언트 고유의 인사이트를 기반으로 맨디언트 어드밴티지(Mandiant Advantage) SaaS 플랫폼을 통해 사이버 방어 솔루션을 제공한다. 맨디언트 사장 및 최고운영책임자(COO) 존 와터스는 “맨디언트는 고객의 규모나 사용하는 보안 제어에 관계없이 결정적인 조치를 취하고 위험을 최소화할 수 있다”라며, “파이어아이 제품 사업부를 매각함으로써 맨디언트의 민첩성을 더욱 높이고 기업 성장을 촉진할 수 있을 것으로 기대한다”라고 밝혔다. ciokr@idg.co.kr

파이어아이 맨디언트

2021.10.06

파이어아이가 사명을 맨디언트(Mandiant)로 변경 완료했다고 10월 6일 발표했다. 새로운 사명으로 재출범하는 맨디언트는 나스닥 종목 코드 티커 역시 10월 5일(현지시각) 화요일 거래 개시와 함께 기존 FEYE에서 MNDT로 변경됐다고 밝혔다. 이번 사명 변경은 맨디언트 어드밴티지 클라우드 플랫폼을 통해 특정 기술 솔루션에 의존성이 없는 보안 서비스에 집중하겠다는 맨디언트 전략에 기반한다고 회사 측은 전했다. 맨디언트는 지난 6월 2일, 이러한 전략의 일환으로 사모펀드 심포니 테크놀로지 그룹이 이끄는 컨소시엄에 파이어아이 제품 사업 및 파이어아이 사명을 매각한다고 밝힌 바 있다. 맨디언트 CEO 케빈 맨디아는 이번 재출범에 대해 “맨디언트 사명 변경은 모든 조직의 사이버 위협에 대응을 강화하겠다는 맨디언트 미션의 연장선으로 볼 수 있다”고 말했다. 맨디언트는 보안 전문 지식, 인텔리전스와 적응형 기술을 적절히 조합한 효과적인 보안 확보를 위해 지난 17년간 위협 인텔리전스를 제공해 왔다. 현재 맨디언트는 매년 1,000건 이상의 보안 침해 사고에 대응하고 있으며, 맨디언트 고유의 인사이트를 기반으로 맨디언트 어드밴티지(Mandiant Advantage) SaaS 플랫폼을 통해 사이버 방어 솔루션을 제공한다. 맨디언트 사장 및 최고운영책임자(COO) 존 와터스는 “맨디언트는 고객의 규모나 사용하는 보안 제어에 관계없이 결정적인 조치를 취하고 위험을 최소화할 수 있다”라며, “파이어아이 제품 사업부를 매각함으로써 맨디언트의 민첩성을 더욱 높이고 기업 성장을 촉진할 수 있을 것으로 기대한다”라고 밝혔다. ciokr@idg.co.kr

2021.10.06

파이어아이 맨디언트, IoT 장치의 위협 취약점 공개

파이어아이 맨디언트가 미 연방 사이버보안국(Cybersecurity & Infrastructure Security Agency)과 대만 IoT 클라우드 서비스 기업 쓰루텍(ThroughTek)의 칼레이(Kalay) 플랫폼 네트워크를 사용하는 8,300만여 대의 IoT 기기에 대한 치명적인 위협 취약점을 공개했다. 이 취약점은 CVSS3.1 기본 점수 9.6 수준의 치명적이라고 업체 측은 밝혔다. 취약점에 노출된 제품에는 IoT 카메라, 스마트 베이비 모니터, 디지털 비디오 리코더 등이 포함된다. 공격자는 이 취약점을 통해 노출된 기기의 실시간 오디오 및 비디오 데이터에 접근할 수 있으며, 노출된 기기의 기능에 따라 원격 코드 실행을 포함한 추가적인 공격이 가능하도록 기기의 자격 증명을 손상시킬 수 있다고 업체 측은 설명했다. 특히, 공격자들은 추가적인 공격을 통해 기기들을 원격으로 조정할 수도 있다.  맨디언트는 IoT 기기 사용자들에게 최신 소프트웨어 및 애플리케이션으로 업데이트하고 관련 계정의 비밀번호를 바꿀 것을 추천했다.  특히, 칼레이 플랫폼 사용자의 경우, 가장 최신 SDK로 업그레이드하고 AuthKey 및 DTLS 기능을 활성화하는 것을 추천하며, 칼레이 고유 식별자(UID)를 반환하는 API 또는 기타 서비스에 대한 보안 제어를 검토할 것을 권고했다. ciokr@idg.co.kr

파이어아이

2021.08.24

파이어아이 맨디언트가 미 연방 사이버보안국(Cybersecurity & Infrastructure Security Agency)과 대만 IoT 클라우드 서비스 기업 쓰루텍(ThroughTek)의 칼레이(Kalay) 플랫폼 네트워크를 사용하는 8,300만여 대의 IoT 기기에 대한 치명적인 위협 취약점을 공개했다. 이 취약점은 CVSS3.1 기본 점수 9.6 수준의 치명적이라고 업체 측은 밝혔다. 취약점에 노출된 제품에는 IoT 카메라, 스마트 베이비 모니터, 디지털 비디오 리코더 등이 포함된다. 공격자는 이 취약점을 통해 노출된 기기의 실시간 오디오 및 비디오 데이터에 접근할 수 있으며, 노출된 기기의 기능에 따라 원격 코드 실행을 포함한 추가적인 공격이 가능하도록 기기의 자격 증명을 손상시킬 수 있다고 업체 측은 설명했다. 특히, 공격자들은 추가적인 공격을 통해 기기들을 원격으로 조정할 수도 있다.  맨디언트는 IoT 기기 사용자들에게 최신 소프트웨어 및 애플리케이션으로 업데이트하고 관련 계정의 비밀번호를 바꿀 것을 추천했다.  특히, 칼레이 플랫폼 사용자의 경우, 가장 최신 SDK로 업그레이드하고 AuthKey 및 DTLS 기능을 활성화하는 것을 추천하며, 칼레이 고유 식별자(UID)를 반환하는 API 또는 기타 서비스에 대한 보안 제어를 검토할 것을 권고했다. ciokr@idg.co.kr

2021.08.24

파이어아이 맨디언트, 공격 표면 취약점 관리 전문 기업 ‘인트리그’ 인수

파이어아이가 공격 표면 취약점 관리(Attack Surface Management; 이하 ASM) 전문 기업 ‘인트리그’를 인수한다고 밝혔다. 이번 인수로 인트리그의 ASM 기능은 맨디언트 어드밴티지(Mandiant Advantage) 플랫폼에 통합되며, 고객이 공격 표면적에 대한 위험을 탐지, 모니터링 및 관리할 수 있도록 지원한다. ASM은 기업의 컴퓨팅 환경이 내부망을 넘어 외부망으로 확장되며 공격 표면적이 확대됨에 따라 내외부를 아우르는 보안 가시성을 확보하고, 이를 바탕으로 취약성 관리, 위협 탐지 및 대응하는 능동적인 보안 운영 방식을 말한다.   이번 인트리그 인수는 기술을 통해 고객 사고 대응의 최전선에서 얻은 전문성과 인텔리전스를 확장하려는 맨디언트 전략의 연장선에서 이뤄졌다고 업체 측은 설명했다. 고객은 맨디언트 어드밴티지 플랫폼에 추가된 인트리그 기술을 통해 편리한 SaaS 플랫폼에서 최신 ASM 역량을 활용함으로써 치명적인 보안 프로그램 공백에 대비할 수 있다. 맨디언트의 인텔리전스와 인트리그의 공격 취약점 탐지 역량의 결합은 멀티 클라우드, 하이브리드 및 온프레미스 환경 전반에 걸친 리스크에 대해 보다 심도 있는 이해를 제공한다. 이러한 인사이트를 통해 고객은 조직의 리스크 프로파일과 최근 공격이 조직 및 전체 공급망에 미칠 수 있는 잠재적 영향에 대한 즉각적인 가시성을 확보할 수 있다.  맨디언트는 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence), 보안 효율성 평가(Security Validation) 및 오토메이티드 디펜스(Automated Defense)를 포함한 맨디언트 어드밴티지 플랫폼이 제공하는 타 모듈과 함께 SaaS 기능을 확장할 예정이다. 인트리그 ASM 모듈이 통합된 맨디언트 어드밴티지는 공격 표면적 전체에 걸친 가시성과 공격자가 악용하고 있는 취약점 정보를 결합함으로써 과도한 업무에 시달리는 보안 팀이 현재 가장 중요한 리스크 노출에 집중하도록 돕는다. 이를 통...

파이어아이

2021.08.19

파이어아이가 공격 표면 취약점 관리(Attack Surface Management; 이하 ASM) 전문 기업 ‘인트리그’를 인수한다고 밝혔다. 이번 인수로 인트리그의 ASM 기능은 맨디언트 어드밴티지(Mandiant Advantage) 플랫폼에 통합되며, 고객이 공격 표면적에 대한 위험을 탐지, 모니터링 및 관리할 수 있도록 지원한다. ASM은 기업의 컴퓨팅 환경이 내부망을 넘어 외부망으로 확장되며 공격 표면적이 확대됨에 따라 내외부를 아우르는 보안 가시성을 확보하고, 이를 바탕으로 취약성 관리, 위협 탐지 및 대응하는 능동적인 보안 운영 방식을 말한다.   이번 인트리그 인수는 기술을 통해 고객 사고 대응의 최전선에서 얻은 전문성과 인텔리전스를 확장하려는 맨디언트 전략의 연장선에서 이뤄졌다고 업체 측은 설명했다. 고객은 맨디언트 어드밴티지 플랫폼에 추가된 인트리그 기술을 통해 편리한 SaaS 플랫폼에서 최신 ASM 역량을 활용함으로써 치명적인 보안 프로그램 공백에 대비할 수 있다. 맨디언트의 인텔리전스와 인트리그의 공격 취약점 탐지 역량의 결합은 멀티 클라우드, 하이브리드 및 온프레미스 환경 전반에 걸친 리스크에 대해 보다 심도 있는 이해를 제공한다. 이러한 인사이트를 통해 고객은 조직의 리스크 프로파일과 최근 공격이 조직 및 전체 공급망에 미칠 수 있는 잠재적 영향에 대한 즉각적인 가시성을 확보할 수 있다.  맨디언트는 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence), 보안 효율성 평가(Security Validation) 및 오토메이티드 디펜스(Automated Defense)를 포함한 맨디언트 어드밴티지 플랫폼이 제공하는 타 모듈과 함께 SaaS 기능을 확장할 예정이다. 인트리그 ASM 모듈이 통합된 맨디언트 어드밴티지는 공격 표면적 전체에 걸친 가시성과 공격자가 악용하고 있는 취약점 정보를 결합함으로써 과도한 업무에 시달리는 보안 팀이 현재 가장 중요한 리스크 노출에 집중하도록 돕는다. 이를 통...

2021.08.19

최고의 SIEM를 선택하는 방법과 공급업체 TOP 9

기업은 SIEM(Security Information & Event Management)를 사용해 기업 전체의 이벤트 및 위협에 대한 명확하고 통합된 가시성을 확보한다. 기업마다의 고유한 요구사항에 따라 최고의 SIEM 솔루션을 선택하는 방법과 SIEM을 공급하는 최고의 업체 9개를 선정했다.    보안 위협으로부터 기업을 보호하려면 최대한의 가시성이 필요하다. 이는 SIEM이 갖고 있는 기본 개념으로, 대부분의 대기업과 중견기업의 보안 방어에 필수적인 요소로 자리잡았다.  SIEM은 다양한 네트워크 장비, 서버, 시스템 소프트웨어 및 기타 인프라에서 실시간으로 이벤트 및 로그 데이터를 집계해 패턴을 식별하고, 이상 징후를 표시하고, 잠재적 위협이 탐지되면 경고를 전송한다. SIEM은 사고 대응에서도 중요한 역할을 할 수 있다.  SIEM은 현재 온프레미스에서 클라우드로 전환하고, 위협 인텔리전스 시스템과 통합하고, 분석 기능이 축적되고, 머신러닝과 같은 다른 새로운 기능이 추가됨에 따라 빠르게 진화하고 있다. 자사에 적합한 SIEM을 선택하는 것은 중요한 결정이다. 투자는 매우 중요하며, 구성 프로세스는 한번만 수행해야 하기 때문이다.  SIEM의 11가지 주요 기능과 기업의 고려사항  - 클라우드인가, 온프레미스인가  대부분의 최신 SIEM 솔루션은 기능을 더 빠르게 추가하기 위해 SaaS 모델로 전환했다. 또한 클라우드의 무한 확장은 공급업체가 비정상적 행위를 식별하기 전에 많은 양의 참조 데이터를 필요로 하는 머신러닝 기능을 더 쉽게 통합할 수 있도록 한다. 전반적으로 SaaS가 SIEM을 더 좋게 만들었다는 데에는 의견이 일치한다.  그럼에도 불구하고 일부 기업은 SIEM을 온프레미스로 유지해야 한다. 로컬 인프라에 상주하는 로그 또는 관련 데이터 규정을 준수해야 하기 때문이다. 몇 가지 옵션을 통해 기업은 SIEM을 온프레미스에 배포할 수 있다.  -...

SIEM 엑사빔 Exabeam IBM 로그리듬 LogRhythm 마이크로소프트 레피드7 Rapid7 RSA 시큐로닉스 Securonix 스플렁크 Splunk 파이어아이 FireEye

2021.07.19

기업은 SIEM(Security Information & Event Management)를 사용해 기업 전체의 이벤트 및 위협에 대한 명확하고 통합된 가시성을 확보한다. 기업마다의 고유한 요구사항에 따라 최고의 SIEM 솔루션을 선택하는 방법과 SIEM을 공급하는 최고의 업체 9개를 선정했다.    보안 위협으로부터 기업을 보호하려면 최대한의 가시성이 필요하다. 이는 SIEM이 갖고 있는 기본 개념으로, 대부분의 대기업과 중견기업의 보안 방어에 필수적인 요소로 자리잡았다.  SIEM은 다양한 네트워크 장비, 서버, 시스템 소프트웨어 및 기타 인프라에서 실시간으로 이벤트 및 로그 데이터를 집계해 패턴을 식별하고, 이상 징후를 표시하고, 잠재적 위협이 탐지되면 경고를 전송한다. SIEM은 사고 대응에서도 중요한 역할을 할 수 있다.  SIEM은 현재 온프레미스에서 클라우드로 전환하고, 위협 인텔리전스 시스템과 통합하고, 분석 기능이 축적되고, 머신러닝과 같은 다른 새로운 기능이 추가됨에 따라 빠르게 진화하고 있다. 자사에 적합한 SIEM을 선택하는 것은 중요한 결정이다. 투자는 매우 중요하며, 구성 프로세스는 한번만 수행해야 하기 때문이다.  SIEM의 11가지 주요 기능과 기업의 고려사항  - 클라우드인가, 온프레미스인가  대부분의 최신 SIEM 솔루션은 기능을 더 빠르게 추가하기 위해 SaaS 모델로 전환했다. 또한 클라우드의 무한 확장은 공급업체가 비정상적 행위를 식별하기 전에 많은 양의 참조 데이터를 필요로 하는 머신러닝 기능을 더 쉽게 통합할 수 있도록 한다. 전반적으로 SaaS가 SIEM을 더 좋게 만들었다는 데에는 의견이 일치한다.  그럼에도 불구하고 일부 기업은 SIEM을 온프레미스로 유지해야 한다. 로컬 인프라에 상주하는 로그 또는 관련 데이터 규정을 준수해야 하기 때문이다. 몇 가지 옵션을 통해 기업은 SIEM을 온프레미스에 배포할 수 있다.  -...

2021.07.19

파이어아이, 심포니 테크놀로지 그룹에 ‘파이어아이 제품 사업부’ 매각

파이어아이가 ‘파이어아이’ 상호를 포함해 파이어아이 제품 사업부를 심포니 테크놀로지 그룹(이하 STG)이 이끄는 컨소시엄에 매각하는 최종 절차에 진입했다고 밝혔다. 이번 매각은 세금과 거래 관련 지출 포함하면 총 미화 12억 달러 규모로, 전액 현금으로 이뤄진다. 매각 절차는 관련 규정 및 체결 조건에 따라 2021년 4분기 내 마무리될 것으로 보인다. 이번 매각을 통해 파이어아이 네트워크, 이메일, 엔드포인트, 클라우드 보안 제품과 이와 관련된 보안 관리 및 오케스트레이션 플랫폼이 맨디언트(Mandiant) 솔루션 및 서비스로부터 분리될 예정이다.  이러한 분리를 통해 양측은 성장 투자를 가속화하고, 시장 진출 진로를 새롭게 개척하며, 각 조직의 솔루션 혁신에 집중할 계획이다. 매각 절차가 마무리되고 파이어아이 사업부가 STG 포트폴리오로 완전히 이적될 때까지는, 파이어아이 제품 사업과 맨디언트 솔루션을 하나의 체제로 계속 운영한다. 파이어아이는 STG와의 견고한 파트너십 구축 및 유지에 최선을 다하고 있으며, 매각 완료 시 양측 고객의 혜택을 극대화하기 위한 협력 단계로 넘어갈 예정이라고 밝혔다. 협력 내용으로는 리셀러 및 시장 협력, 전략적 협업 및 인수 서비스 협력 등이 포함된다. 양측이 기술, 텔레메트리(telemetry), 위협 인텔리전스 및 전문성을 공유하고 있는 만큼, 고객 및 파트너사들은 두 조직의 협력을 통한 모든 혜택을 누릴 수 있을 것으로 전망된다. 파이어아이 케빈 맨디아 CEO는 “파이어아이와 맨디언트를 분리함으로써 고성장 중인 맨디언트 솔루션 비즈니스 가치를 최대로 이끌어내 양측 고객에게 더 나은 서비스를 제공할 수 있을 것”이라며, “매각 이후, 맨디언트 어드벤티지 플랫폼을 통한 인텔리전스 및 최일선 전문성 확장에 더욱 집중할 것이며, 파이어아이 제품 사업은 클라우드-퍼스트 보안 제품 포트폴리오에 대한 투자를 우선순위에 둘 것”이라고 밝혔다. ciokr@idg.co.kr

파이어아이

2021.06.04

파이어아이가 ‘파이어아이’ 상호를 포함해 파이어아이 제품 사업부를 심포니 테크놀로지 그룹(이하 STG)이 이끄는 컨소시엄에 매각하는 최종 절차에 진입했다고 밝혔다. 이번 매각은 세금과 거래 관련 지출 포함하면 총 미화 12억 달러 규모로, 전액 현금으로 이뤄진다. 매각 절차는 관련 규정 및 체결 조건에 따라 2021년 4분기 내 마무리될 것으로 보인다. 이번 매각을 통해 파이어아이 네트워크, 이메일, 엔드포인트, 클라우드 보안 제품과 이와 관련된 보안 관리 및 오케스트레이션 플랫폼이 맨디언트(Mandiant) 솔루션 및 서비스로부터 분리될 예정이다.  이러한 분리를 통해 양측은 성장 투자를 가속화하고, 시장 진출 진로를 새롭게 개척하며, 각 조직의 솔루션 혁신에 집중할 계획이다. 매각 절차가 마무리되고 파이어아이 사업부가 STG 포트폴리오로 완전히 이적될 때까지는, 파이어아이 제품 사업과 맨디언트 솔루션을 하나의 체제로 계속 운영한다. 파이어아이는 STG와의 견고한 파트너십 구축 및 유지에 최선을 다하고 있으며, 매각 완료 시 양측 고객의 혜택을 극대화하기 위한 협력 단계로 넘어갈 예정이라고 밝혔다. 협력 내용으로는 리셀러 및 시장 협력, 전략적 협업 및 인수 서비스 협력 등이 포함된다. 양측이 기술, 텔레메트리(telemetry), 위협 인텔리전스 및 전문성을 공유하고 있는 만큼, 고객 및 파트너사들은 두 조직의 협력을 통한 모든 혜택을 누릴 수 있을 것으로 전망된다. 파이어아이 케빈 맨디아 CEO는 “파이어아이와 맨디언트를 분리함으로써 고성장 중인 맨디언트 솔루션 비즈니스 가치를 최대로 이끌어내 양측 고객에게 더 나은 서비스를 제공할 수 있을 것”이라며, “매각 이후, 맨디언트 어드벤티지 플랫폼을 통한 인텔리전스 및 최일선 전문성 확장에 더욱 집중할 것이며, 파이어아이 제품 사업은 클라우드-퍼스트 보안 제품 포트폴리오에 대한 투자를 우선순위에 둘 것”이라고 밝혔다. ciokr@idg.co.kr

2021.06.04

파이어아이, “정교함이 떨어지는 OT 공격의 증가”

파이어아이 맨디언트가 최근 연구를 통해 지난 몇 년간 인터넷으로 접근이 가능한 OT(Operational Technology) 자산을 노린 공격이 눈에 띄게 증가한 것을 발견했다고 밝혔다.  맨디언트는 최근에는 흔히 알려진 TTPs(tactics, techniques and procedures)와 상품(commodity) 툴을 이용해 인터넷에 노출된 자산에 액세스 및 상호 작용을 하거나 이를 통해 정보를 수집하는, 보다 정교함이 떨어지는 위협 활동이 관찰되고 있다고 밝혔다. 가장 일반적인 위협 활동은 노출된 OT 시스템으로 돈을 갈취하는 공격이지만, 맨디언트는 단순히 지식과 전문성을 공유하는 공격자들 또한 확인했다.  맨디언트는 다소 정교함이 떨어지지만 이러한 침해 사건을 무시하면 안 되는 이유를 ▲반복된 공격으로 쌓이는 노하우 ▲보안 수준이 높지 않을 경우 초래할 수 있는 프로세스 중단의 위험성 ▲공격 성공이 알려지며 증가할 수 있는 유사 공격으로 분석했다.  맨디언트는 이같은 위협을 막기 위해, 공용 네트워크에 노출된 OT 자산을 제거하고, 원격 액세스가 필요할 경우 제어 체계를 수립하고 비정상적인 활동을 모니터링해야한다고 권고했다.  또한 사용하지 않는 서비스는 비활성화하고, 자격 증명을 정기적으로 바꾸고, 자산 구성을 주기적으로 검토하고, 액세스 허용 목록 생성 같은 관리 기능을 엣지 장치에 적용한다고 덧붙였다. ciokr@idg.co.kr

파이어아이

2021.05.27

파이어아이 맨디언트가 최근 연구를 통해 지난 몇 년간 인터넷으로 접근이 가능한 OT(Operational Technology) 자산을 노린 공격이 눈에 띄게 증가한 것을 발견했다고 밝혔다.  맨디언트는 최근에는 흔히 알려진 TTPs(tactics, techniques and procedures)와 상품(commodity) 툴을 이용해 인터넷에 노출된 자산에 액세스 및 상호 작용을 하거나 이를 통해 정보를 수집하는, 보다 정교함이 떨어지는 위협 활동이 관찰되고 있다고 밝혔다. 가장 일반적인 위협 활동은 노출된 OT 시스템으로 돈을 갈취하는 공격이지만, 맨디언트는 단순히 지식과 전문성을 공유하는 공격자들 또한 확인했다.  맨디언트는 다소 정교함이 떨어지지만 이러한 침해 사건을 무시하면 안 되는 이유를 ▲반복된 공격으로 쌓이는 노하우 ▲보안 수준이 높지 않을 경우 초래할 수 있는 프로세스 중단의 위험성 ▲공격 성공이 알려지며 증가할 수 있는 유사 공격으로 분석했다.  맨디언트는 이같은 위협을 막기 위해, 공용 네트워크에 노출된 OT 자산을 제거하고, 원격 액세스가 필요할 경우 제어 체계를 수립하고 비정상적인 활동을 모니터링해야한다고 권고했다.  또한 사용하지 않는 서비스는 비활성화하고, 자격 증명을 정기적으로 바꾸고, 자산 구성을 주기적으로 검토하고, 액세스 허용 목록 생성 같은 관리 기능을 엣지 장치에 적용한다고 덧붙였다. ciokr@idg.co.kr

2021.05.27

기가몬, ‘파이어아이’와 협력 강화…“하이브리드 클라우드 전반의 제어 지원”

기가몬이 파이어아이와 협력을 강화해, 기가몬 호크(Gigamon Hawk)와 파이어아이 네트워크 보안(FireEye Network Security)의 통합 솔루션을 선보였다. 양사 통합 솔루션 사용자들은 하이브리드 클라우드 네트워크 전반의 성능, 보안 및 비용에 대한 가시성을 확보하고 효과적으로 제어할 수 있으며, 관리 및 리포팅 기능이 내장된 단일 인터페이스를 통해 하이브리드 인프라 전반에 대한 통합 뷰를 확보할 수 있게 되었다고 업체 측은 설명했다.  오랜 기간 파트너십 관계를 맺어온 양사는 하이브리드 클라우드 환경에서 실시간으로 발생하는 움직이는 데이터(Data in motion)를 분석해 통합 뷰로 제공하는 유연한 가시성 및 분석 패브릭 솔루션인 기가몬 호크와 파이어아이 네트워크 보안 솔루션의 기술 통합을 위해 협력한다.  기가몬 호크는 기존의 가시성 도구와 달리, 전체 하이브리드 인프라를 포괄하는 단일 아키텍처를 기반으로 구축되며, 탄력적인 확장을 통해 모든 클라우드에 대한 가시성을 제공한다. 이를 통해 IT 팀은 하이브리드 클라우드 네트워크의 성능, 보안 및 비용에 대한 가시성을 확보하고 효과적으로 제어할 수 있다고 업체는 설명했다.  변화하는 환경에 대한 민첩성의 중요성과 기업의 요구사항이 커지면서 디지털 인프라는 급속도로 진화해왔다. 이러한 환경을 최적화하고 보호하기 위해 IT 팀은 추가 애플리케이션과 관리 도구를 급속히 구현하게 되었고, 이로 인해 하이브리드 클라우드 네트워크 전반에 대한 완벽한 가시성을 확보하는데 근본적인 한계가 발생했다.  기가몬 호크는 파이어아이 네트워크 보안 솔루션과의 통합을 통해 이 같은 한계를 해소하고 하이브리드 클라우드 채택을 크게 단순화시킨다. 이번 통합으로 사용자들은 관리 및 리포팅 기능이 내장된 간편한 단일 인터페이스를 통해 하이브리드 인프라 전반에 대한 통합 뷰를 확보할 수 있게 되었다. 기가몬 마이클 딕맨 최고제품책임자(CPO)는 “기가몬 호크를 통해 고객들은 ...

기가몬 파이어아이

2021.05.21

기가몬이 파이어아이와 협력을 강화해, 기가몬 호크(Gigamon Hawk)와 파이어아이 네트워크 보안(FireEye Network Security)의 통합 솔루션을 선보였다. 양사 통합 솔루션 사용자들은 하이브리드 클라우드 네트워크 전반의 성능, 보안 및 비용에 대한 가시성을 확보하고 효과적으로 제어할 수 있으며, 관리 및 리포팅 기능이 내장된 단일 인터페이스를 통해 하이브리드 인프라 전반에 대한 통합 뷰를 확보할 수 있게 되었다고 업체 측은 설명했다.  오랜 기간 파트너십 관계를 맺어온 양사는 하이브리드 클라우드 환경에서 실시간으로 발생하는 움직이는 데이터(Data in motion)를 분석해 통합 뷰로 제공하는 유연한 가시성 및 분석 패브릭 솔루션인 기가몬 호크와 파이어아이 네트워크 보안 솔루션의 기술 통합을 위해 협력한다.  기가몬 호크는 기존의 가시성 도구와 달리, 전체 하이브리드 인프라를 포괄하는 단일 아키텍처를 기반으로 구축되며, 탄력적인 확장을 통해 모든 클라우드에 대한 가시성을 제공한다. 이를 통해 IT 팀은 하이브리드 클라우드 네트워크의 성능, 보안 및 비용에 대한 가시성을 확보하고 효과적으로 제어할 수 있다고 업체는 설명했다.  변화하는 환경에 대한 민첩성의 중요성과 기업의 요구사항이 커지면서 디지털 인프라는 급속도로 진화해왔다. 이러한 환경을 최적화하고 보호하기 위해 IT 팀은 추가 애플리케이션과 관리 도구를 급속히 구현하게 되었고, 이로 인해 하이브리드 클라우드 네트워크 전반에 대한 완벽한 가시성을 확보하는데 근본적인 한계가 발생했다.  기가몬 호크는 파이어아이 네트워크 보안 솔루션과의 통합을 통해 이 같은 한계를 해소하고 하이브리드 클라우드 채택을 크게 단순화시킨다. 이번 통합으로 사용자들은 관리 및 리포팅 기능이 내장된 간편한 단일 인터페이스를 통해 하이브리드 인프라 전반에 대한 통합 뷰를 확보할 수 있게 되었다. 기가몬 마이클 딕맨 최고제품책임자(CPO)는 “기가몬 호크를 통해 고객들은 ...

2021.05.21

강은성의 보안 아키텍트ㅣ공급 사슬 보안, 어떻게 할까?

2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다.  공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다.    2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다.  국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다.  공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점...

강은성의 보안 아키텍트 공급 사슬 공급 사슬 보안 보안 파이어아이 솔라윈즈 솔라윈즈 해킹

2021.05.17

2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다.  공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다.    2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다.  국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다.  공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점...

2021.05.17

파이어아이 맨디언트, 다크사이드 서비스형 랜섬웨어 보고서 발표

파이어아이가 다크사이드(DARKSIDE)의 랜섬웨어 운영에 관한 새로운 보고서를 발표했다.  다크사이드는 나스닥 및 타 주식시장에 상장된 조직을 표적으로 지목하는 보도자료를 배포하는 등 다른 공격 그룹과 차별화된 모습을 보여준다. 이에 파이어아이는 보고서를 통해 다크사이드의 고유한 랜섬웨어와 서비스형 랜섬웨어(Ransomware as a Service; 이하 RaaS)에 대해 이전에 알려지지 않았던 특징을 공개한다.  다크사이드는 2020년 8월부터 15개국 이상의 조직과 여러 산업 전반을 대상으로 공격을 진행했다. 다른 많은 랜섬웨어 해커와 마찬가지로, 다크사이드는 피해자들의 데이터를 탈취한 뒤 다크사이드 랜섬웨어를 배포하고, 도난당한 데이터를 블로그에 게시하겠다고 협박하는 등 다각적인 탈취를 감행해 피해자들이 몸값을 지불하도록 압박을 가했다.  다크사이드 랜섬웨어는 조직에 접근하고 랜섬웨어를 배포하는 운영자와 파트너, 및 제휴자(affliate)가 이익을 공유하는 형태의 서비스형 랜섬웨어다. 맨디언트는 현재 이 랜섬웨어를 구축한 여러 위협 클러스터를 추적하고 있으며, 이는 다크사이드를 이용하는 여러 계열 조직과 일치한다.  맨디언트는 사고 대응 작업 및 다크사이드 블로그의 보고서를 통해 다수의 다크사이드 랜섬웨어 피해 조직을 확인했다. 피해 조직의 대부분은 미국 기업이며, 금융, 법률 제조, 전문 서비스, 소매, 기술 등 여러 산업 전반에 걸쳐 있다. 2021년 1월, 연초 휴가 시즌을 맞아 피해자 수가 감소했던 시기를 제외하고는 다크사이드 블로그에 공개된 피해 조직은 2020년 8월 이후 전반적으로 계속 증가했다. 피해 조직 수의 전반적인 증가는 다크사이드 랜섬웨어를 사용하는 계열사가 점점 증가하고 있다는 것을 보여준다.  다크사이드는 2020년 11월부터 RaaS 랜섬웨어 제휴자를 모집하는 광고를 진행했다. 광고 내용에 따르면 50만 달러 미만의 랜섬웨어 몸값을 받는 데 성공할 경우 이중 25%를...

파이어아이

2021.05.13

파이어아이가 다크사이드(DARKSIDE)의 랜섬웨어 운영에 관한 새로운 보고서를 발표했다.  다크사이드는 나스닥 및 타 주식시장에 상장된 조직을 표적으로 지목하는 보도자료를 배포하는 등 다른 공격 그룹과 차별화된 모습을 보여준다. 이에 파이어아이는 보고서를 통해 다크사이드의 고유한 랜섬웨어와 서비스형 랜섬웨어(Ransomware as a Service; 이하 RaaS)에 대해 이전에 알려지지 않았던 특징을 공개한다.  다크사이드는 2020년 8월부터 15개국 이상의 조직과 여러 산업 전반을 대상으로 공격을 진행했다. 다른 많은 랜섬웨어 해커와 마찬가지로, 다크사이드는 피해자들의 데이터를 탈취한 뒤 다크사이드 랜섬웨어를 배포하고, 도난당한 데이터를 블로그에 게시하겠다고 협박하는 등 다각적인 탈취를 감행해 피해자들이 몸값을 지불하도록 압박을 가했다.  다크사이드 랜섬웨어는 조직에 접근하고 랜섬웨어를 배포하는 운영자와 파트너, 및 제휴자(affliate)가 이익을 공유하는 형태의 서비스형 랜섬웨어다. 맨디언트는 현재 이 랜섬웨어를 구축한 여러 위협 클러스터를 추적하고 있으며, 이는 다크사이드를 이용하는 여러 계열 조직과 일치한다.  맨디언트는 사고 대응 작업 및 다크사이드 블로그의 보고서를 통해 다수의 다크사이드 랜섬웨어 피해 조직을 확인했다. 피해 조직의 대부분은 미국 기업이며, 금융, 법률 제조, 전문 서비스, 소매, 기술 등 여러 산업 전반에 걸쳐 있다. 2021년 1월, 연초 휴가 시즌을 맞아 피해자 수가 감소했던 시기를 제외하고는 다크사이드 블로그에 공개된 피해 조직은 2020년 8월 이후 전반적으로 계속 증가했다. 피해 조직 수의 전반적인 증가는 다크사이드 랜섬웨어를 사용하는 계열사가 점점 증가하고 있다는 것을 보여준다.  다크사이드는 2020년 11월부터 RaaS 랜섬웨어 제휴자를 모집하는 광고를 진행했다. 광고 내용에 따르면 50만 달러 미만의 랜섬웨어 몸값을 받는 데 성공할 경우 이중 25%를...

2021.05.13

파이어아이, UNC2529그룹의 글로벌 피싱 캠페인에 활용된 새로운 멀웨어 공개

파이어아이가 UNC2529그룹의 2020년 12월 글로벌 피싱 캠페인에 대한 정보와 해당 캠페인에서 사용된 새로운 멀웨어 3종을 공개했다.  UNC2529 그룹은 상당한 인프라와 맞춤형 멀웨어를 동원해 정교한 침해 활동을 진행했고, 많은 경험과 자원을 보유한 공격자인 만큼 주의가 필요하다고 업체 측은 설명했다.  파이어아이는 UNC2529그룹의 전술과 세가지 멜웨어에 대해 이전에 알려지지 않았던 특징을 공개했다.  UNC2529그룹은 12월 피싱 캠페인에 상당한 양의 자원과 50여 개의 도메인을 다양한 단계의 위협에 사용했다. 또한, 난독화 및 파일 없는 멀웨어를 광범위하게 활용해 탐지를 어렵게 만들었다. 이 그룹은 맞춤형 피싱 도구 등 정교함을 바탕으로 한 전문적이고 자원이 풍부한 그룹으로 관찰됐으며, 피싱 캠페인의 가장 큰 동기는 금전적인 것으로 파악된다.  UNC2529는 2020년 12월 2일 1차 피싱 캠페인을 진행했으며, 2020년 12월 11일과 18일 사이에 2차 캠페인에 착수했다. 1차 캠페인에서는 28개 이상의 조직이 피싱 이메일을 받았다. 피싱 이메일에는 피해자가 파일을 다운로드하도록 유도하는 악성 URL 링크가 포함됐다. UNC2529는 1차 피싱 캠페인 이후 미국 냉난방 서비스 업체가 소유한 도메인을 탈취해 DNS 항목을 수정한 후, 이 인프라를 활용해 최소 22개 조직에 피싱 공격을 진행했다.  UNC2529는 타깃을 정하고 타깃별 맞춤형 피싱 공격을 진행했다. 전자 제품 회사, 금융 기관, 보험 회사, IT 서비스 조직 등 기업 별로 각기 다른 회신 또는 승인과 같은 미끼성 피싱 이메일 제목을 사용했다. 이들은 해당 기업이 현재 어떤 프로젝트를 추진 중인지 살피고, 이를 토대로 맞춤형 피싱을 진행했다. UNC2529의 피싱 캠페인은 전 세계 조직을 타깃으로 삼았다. 1차, 2차 캠페인 모두 주요 타겟은 미국이었으나, 유럽·중동·아프리카(이하 EMEA), 아시아, 호주도 주요 목표...

파이어아이

2021.05.10

파이어아이가 UNC2529그룹의 2020년 12월 글로벌 피싱 캠페인에 대한 정보와 해당 캠페인에서 사용된 새로운 멀웨어 3종을 공개했다.  UNC2529 그룹은 상당한 인프라와 맞춤형 멀웨어를 동원해 정교한 침해 활동을 진행했고, 많은 경험과 자원을 보유한 공격자인 만큼 주의가 필요하다고 업체 측은 설명했다.  파이어아이는 UNC2529그룹의 전술과 세가지 멜웨어에 대해 이전에 알려지지 않았던 특징을 공개했다.  UNC2529그룹은 12월 피싱 캠페인에 상당한 양의 자원과 50여 개의 도메인을 다양한 단계의 위협에 사용했다. 또한, 난독화 및 파일 없는 멀웨어를 광범위하게 활용해 탐지를 어렵게 만들었다. 이 그룹은 맞춤형 피싱 도구 등 정교함을 바탕으로 한 전문적이고 자원이 풍부한 그룹으로 관찰됐으며, 피싱 캠페인의 가장 큰 동기는 금전적인 것으로 파악된다.  UNC2529는 2020년 12월 2일 1차 피싱 캠페인을 진행했으며, 2020년 12월 11일과 18일 사이에 2차 캠페인에 착수했다. 1차 캠페인에서는 28개 이상의 조직이 피싱 이메일을 받았다. 피싱 이메일에는 피해자가 파일을 다운로드하도록 유도하는 악성 URL 링크가 포함됐다. UNC2529는 1차 피싱 캠페인 이후 미국 냉난방 서비스 업체가 소유한 도메인을 탈취해 DNS 항목을 수정한 후, 이 인프라를 활용해 최소 22개 조직에 피싱 공격을 진행했다.  UNC2529는 타깃을 정하고 타깃별 맞춤형 피싱 공격을 진행했다. 전자 제품 회사, 금융 기관, 보험 회사, IT 서비스 조직 등 기업 별로 각기 다른 회신 또는 승인과 같은 미끼성 피싱 이메일 제목을 사용했다. 이들은 해당 기업이 현재 어떤 프로젝트를 추진 중인지 살피고, 이를 토대로 맞춤형 피싱을 진행했다. UNC2529의 피싱 캠페인은 전 세계 조직을 타깃으로 삼았다. 1차, 2차 캠페인 모두 주요 타겟은 미국이었으나, 유럽·중동·아프리카(이하 EMEA), 아시아, 호주도 주요 목표...

2021.05.10

파이어아이, ‘맨디언트 어드밴티지’에 XDR 기능 추가…“SaaS 플랫폼 확장”

파이어아이가 강력한 멀티벤더 기반 XDR 기능을 추가해 맨디언트 어드밴티지(Mandiant Advantage) SaaS(서비스형 소프트웨어) 플랫폼을 확장하고, 최신 모듈인 ‘맨디언트 오토메이티드 디펜스(Mandiant Automated Defense)’를 출시한다고 밝혔다.  맨디언트 오토메이티드 디펜스는 맨디언트 어드밴티지 플랫폼에서 제공되는 최신 모듈로, 맨디언트 위협 인텔리전스 및 맨디언트 보안 효율성 평가(Security Validation) 모듈과 함께 통합된다. 많은 조직들의 보안운영센터(Security Operations Center; 이하 SOC)들이 매일 쏟아지는 수많은 경보를 지속적으로 빠르고 정확하게 판단 및 조사하는데 많은 노력을 투자하고 있다. 2021년 2월, 맨디언트 오토메이티드 디펜스는 고객이 한 달 동안 받은 520억 개 이상의 경보에 우선순위를 지정해 실제 조사를 진행해야 할 위협을 700건 미만으로 줄였다. AI 기반의 구 리스폰드 소프트웨어의 보안 분석 툴을 기반으로 하는 맨디언트 오토메이티드 디펜스는 맨디언트 고유의 사이버 보안 전문 지식과 인텔리전스를 결합, 적극 활용해 손쉽게 이용 가능한 SaaS 형태로 제공된다. 맨디언트 솔루션 부문 부사장 크리스 키는 “전문성 부족, 쏟아지는 수많은 경보, 잘못 구성된 툴은 최근 많은 SOC에서 겪는 문제점들의 원인이 될 수 있다”라며, “고객들은 맨디언트의 전문 지식과 인텔리전스를 기업 환경에 내재화할 수 있는 기술을 요구해왔는데, 맨디언트 오토메이티드 디펜스가 바로 그러한 요구를 충족하는 제품”이라고 설명했다. 회사에 따르면 맨디언트 오토메이티드 디펜스는 인력, 프로세스, 기술적인 문제 등 SOC 사이버 보안 담당자가 흔히 겪는 어려움을 해소한다. 보안 애널리스트들은 데이터 사이언스 및 머신러닝을 활용해 보안 스택에서 발생되는 대량의 경보를 신속하고 정확하게 분류할 수 있으며, 이러한 자동화 분류 프로세스는 보안 담당자가 가장 연관성 높은 위협에 우선순위를 두...

파이어아이 SaaS 보안

2021.04.29

파이어아이가 강력한 멀티벤더 기반 XDR 기능을 추가해 맨디언트 어드밴티지(Mandiant Advantage) SaaS(서비스형 소프트웨어) 플랫폼을 확장하고, 최신 모듈인 ‘맨디언트 오토메이티드 디펜스(Mandiant Automated Defense)’를 출시한다고 밝혔다.  맨디언트 오토메이티드 디펜스는 맨디언트 어드밴티지 플랫폼에서 제공되는 최신 모듈로, 맨디언트 위협 인텔리전스 및 맨디언트 보안 효율성 평가(Security Validation) 모듈과 함께 통합된다. 많은 조직들의 보안운영센터(Security Operations Center; 이하 SOC)들이 매일 쏟아지는 수많은 경보를 지속적으로 빠르고 정확하게 판단 및 조사하는데 많은 노력을 투자하고 있다. 2021년 2월, 맨디언트 오토메이티드 디펜스는 고객이 한 달 동안 받은 520억 개 이상의 경보에 우선순위를 지정해 실제 조사를 진행해야 할 위협을 700건 미만으로 줄였다. AI 기반의 구 리스폰드 소프트웨어의 보안 분석 툴을 기반으로 하는 맨디언트 오토메이티드 디펜스는 맨디언트 고유의 사이버 보안 전문 지식과 인텔리전스를 결합, 적극 활용해 손쉽게 이용 가능한 SaaS 형태로 제공된다. 맨디언트 솔루션 부문 부사장 크리스 키는 “전문성 부족, 쏟아지는 수많은 경보, 잘못 구성된 툴은 최근 많은 SOC에서 겪는 문제점들의 원인이 될 수 있다”라며, “고객들은 맨디언트의 전문 지식과 인텔리전스를 기업 환경에 내재화할 수 있는 기술을 요구해왔는데, 맨디언트 오토메이티드 디펜스가 바로 그러한 요구를 충족하는 제품”이라고 설명했다. 회사에 따르면 맨디언트 오토메이티드 디펜스는 인력, 프로세스, 기술적인 문제 등 SOC 사이버 보안 담당자가 흔히 겪는 어려움을 해소한다. 보안 애널리스트들은 데이터 사이언스 및 머신러닝을 활용해 보안 스택에서 발생되는 대량의 경보를 신속하고 정확하게 분류할 수 있으며, 이러한 자동화 분류 프로세스는 보안 담당자가 가장 연관성 높은 위협에 우선순위를 두...

2021.04.29

파이어아이, 연례 보고서 ‘맨디언트 M-트렌드’ 발표

파이어아이가 ‘2021 맨디언트 M-트렌드 보고서(M-Trends report)’를 공개했다.  파이어아이는 올해 보고서에서 ▲공격 전술과 멀웨어 동향 ▲다양한 탈취 공격 및 랜섬웨어의 확산 ▲향후 등장할 수 있는 UNC2452/선버스트(SUNBURST) 모방 공격자에 대한 대비 ▲증가하는 내부자 위협 ▲팬데믹 및 특정 산업을 표적한 공격 동향 등 중요한 세부 사항을 다뤘다. 지난 10년간 맨디언트는 공격 지속 시간, 즉 사이버 침해가 시작되는 순간부터 내부 보안 팀에 의해 공격이 확인될 때까지 걸리는 시간의 중앙값이, 전 세계적으로 감소하는 추세를 확인했다.  2011년 365일 이상을 기록했던 중앙값은 2020년 24일로 줄어들었다. 전년도 보고서에서 기록된 56일 대비 두 배 이상 낮은 수치였다. 탐지 및 대응 능력에 대한 조직의 지속적인 역량 개발 및 개선과 다양한 탈취 공격 및 랜섬웨어 급증이 맞물려 이러한 감소 추세가 나타났다고 맨디언트는 분석했다. 공격 지속 시간의 중앙값은 지역에 따라 차이를 보였다. 미주 지역은 감소 추세를 따랐다. 특히, 내부에서 탐지된 공격의 공격 지속 시간 중앙값의 경우, 32일에서 9일로 감소하는 등 가장 큰 감소폭을 보였다. 미주 지역에서 이와 같은 한자리 수의 중앙값을 기록한 것은 처음이다.  반면, 아시아태평양(이하 APAC)과 유럽·중동·아프리카(이하 EMEA)에서는 공격 지속 시간이 전반적으로 증가했다. 맨디언트 전문가들은 해당 지역에서 공격 지속 시간이 3년 이상인 장기 침입하는 사례가 미주 지역 대비 다수 발생한 결과라고 판단했다. 2020 보고서에서는 침입에 대한 내부 탐지하는 사례가 전년 대비 감소한 것으로 확인됐지만, 올해 맨디언트 전문가들은 조직이 대부분의 침해 사고를 자체적으로 탐지하는 역량을 회복한 것으로 관찰했다. 2020년에는 조직 내에서의 공격 탐지 사례가 2019년 대비 12포인트 상승한 59%를 기록했으며, 이러한 회복세는 지난 5년 동안 이어져 관찰된...

파이어아이

2021.04.14

파이어아이가 ‘2021 맨디언트 M-트렌드 보고서(M-Trends report)’를 공개했다.  파이어아이는 올해 보고서에서 ▲공격 전술과 멀웨어 동향 ▲다양한 탈취 공격 및 랜섬웨어의 확산 ▲향후 등장할 수 있는 UNC2452/선버스트(SUNBURST) 모방 공격자에 대한 대비 ▲증가하는 내부자 위협 ▲팬데믹 및 특정 산업을 표적한 공격 동향 등 중요한 세부 사항을 다뤘다. 지난 10년간 맨디언트는 공격 지속 시간, 즉 사이버 침해가 시작되는 순간부터 내부 보안 팀에 의해 공격이 확인될 때까지 걸리는 시간의 중앙값이, 전 세계적으로 감소하는 추세를 확인했다.  2011년 365일 이상을 기록했던 중앙값은 2020년 24일로 줄어들었다. 전년도 보고서에서 기록된 56일 대비 두 배 이상 낮은 수치였다. 탐지 및 대응 능력에 대한 조직의 지속적인 역량 개발 및 개선과 다양한 탈취 공격 및 랜섬웨어 급증이 맞물려 이러한 감소 추세가 나타났다고 맨디언트는 분석했다. 공격 지속 시간의 중앙값은 지역에 따라 차이를 보였다. 미주 지역은 감소 추세를 따랐다. 특히, 내부에서 탐지된 공격의 공격 지속 시간 중앙값의 경우, 32일에서 9일로 감소하는 등 가장 큰 감소폭을 보였다. 미주 지역에서 이와 같은 한자리 수의 중앙값을 기록한 것은 처음이다.  반면, 아시아태평양(이하 APAC)과 유럽·중동·아프리카(이하 EMEA)에서는 공격 지속 시간이 전반적으로 증가했다. 맨디언트 전문가들은 해당 지역에서 공격 지속 시간이 3년 이상인 장기 침입하는 사례가 미주 지역 대비 다수 발생한 결과라고 판단했다. 2020 보고서에서는 침입에 대한 내부 탐지하는 사례가 전년 대비 감소한 것으로 확인됐지만, 올해 맨디언트 전문가들은 조직이 대부분의 침해 사고를 자체적으로 탐지하는 역량을 회복한 것으로 관찰했다. 2020년에는 조직 내에서의 공격 탐지 사례가 2019년 대비 12포인트 상승한 59%를 기록했으며, 이러한 회복세는 지난 5년 동안 이어져 관찰된...

2021.04.14

파이어아이, 패치 미적용 MS 익스체인지 서버 노린 ‘신규 랜섬웨어’ 위협 발견

파이어아이가 해커들이 최근 ‘디어크라이(DearCry)’로 알려진 일련의 랜섬웨어를 사용해, 패치가 설치되지 않은 마이크로소프트 익스체인지 서버를 위협하고 있다고 밝혔다. 파이어아이 맨디언트 위협 인텔리전스의 분석 담당 부사장 존 헐퀴스트는 “MS 익스체인지 취약점에 대한 랜섬웨어 공격이 빠른 시일 내에 늘어날 것으로 예상된다”라며, “악의적인 랜섬웨어 작전은 조직을 붕괴하고, 심지어는 훔친 이메일을 공개함으로써 피해 조직을 갈취하는 등 조직에 더 큰 위협을 초래할 수 있다”라고 말했다.  업체에 따르면 최근 랜섬웨어 공격자들은 이메일을 암호화하거나 유출하겠다고 협박하면서 그들이 확보한 접근성을 금전 취득에 활용하고 있는 전술을 보이고 있다.   이 공격 벡터는 도메인 관리자 접근성을 취득하기에 효과적인 도구가 될 수 있다는 점에서 랜섬웨어 공격자에게 매력적으로 보일 수 있다고 업체는 전했다. 도메인 관리자 접근성을 확보하면 기업 전반에 걸쳐 암호화를 설치할 수 있다는 설명이다. 조직에서 아직 패치를 설치하지 않았다면, 공격자가 이러한 취약성을 이용해 목표에 더 빨리 도달할 수 있다. 파이어아이 맨디언트 위협 인텔리전스의 분석 담당 부사장 존 헐퀴스트는 “안타깝게도 여전히 취약한 상태인 조직은 중소규모 기업, 주정부와 지역정부, 학교일 것으로 짐작된다”라며, “이번에 발견된 공격이 확산됨에 따라 이를 활용하는 공격자가 많아지면, 조직들은 이를 처리하기 위해 더욱더 고군분투해야 할 것”이라고 강조했다. ciokr@idg.co.kr

파이어아이

2021.03.15

파이어아이가 해커들이 최근 ‘디어크라이(DearCry)’로 알려진 일련의 랜섬웨어를 사용해, 패치가 설치되지 않은 마이크로소프트 익스체인지 서버를 위협하고 있다고 밝혔다. 파이어아이 맨디언트 위협 인텔리전스의 분석 담당 부사장 존 헐퀴스트는 “MS 익스체인지 취약점에 대한 랜섬웨어 공격이 빠른 시일 내에 늘어날 것으로 예상된다”라며, “악의적인 랜섬웨어 작전은 조직을 붕괴하고, 심지어는 훔친 이메일을 공개함으로써 피해 조직을 갈취하는 등 조직에 더 큰 위협을 초래할 수 있다”라고 말했다.  업체에 따르면 최근 랜섬웨어 공격자들은 이메일을 암호화하거나 유출하겠다고 협박하면서 그들이 확보한 접근성을 금전 취득에 활용하고 있는 전술을 보이고 있다.   이 공격 벡터는 도메인 관리자 접근성을 취득하기에 효과적인 도구가 될 수 있다는 점에서 랜섬웨어 공격자에게 매력적으로 보일 수 있다고 업체는 전했다. 도메인 관리자 접근성을 확보하면 기업 전반에 걸쳐 암호화를 설치할 수 있다는 설명이다. 조직에서 아직 패치를 설치하지 않았다면, 공격자가 이러한 취약성을 이용해 목표에 더 빨리 도달할 수 있다. 파이어아이 맨디언트 위협 인텔리전스의 분석 담당 부사장 존 헐퀴스트는 “안타깝게도 여전히 취약한 상태인 조직은 중소규모 기업, 주정부와 지역정부, 학교일 것으로 짐작된다”라며, “이번에 발견된 공격이 확산됨에 따라 이를 활용하는 공격자가 많아지면, 조직들은 이를 처리하기 위해 더욱더 고군분투해야 할 것”이라고 강조했다. ciokr@idg.co.kr

2021.03.15

파이어아이, 2021년 보안 시장 전망 보고서 발간

파이어아이가 2021년 보안 시장 전망을 담은 2021년 예측 보고서를 공개했다. 파이어아이는 향후 공격자들은 공격 대상이 직면한 어려움에는 아랑곳하지 않고 공격을 이어갈 것이라고 전망했다. 이러한 공격자들은 TTP(Trusted Third Party)를 지속적으로 발전시키고 계속해서 스파이 활동과 금전적 이득을 취하기 위해 계속 활동하고 있다. 기업들이 계속 침해를 입고, 그 결과 비즈니스 운영 중단, 데이터 침해, 그리고 거의 예외 없이 재정적 손실을 겪게 될 것을 의미한다고 업체 측은 설명했다.   파이어아이는 인사이트와 전문지식, 미래에 대한 안목을 담아 2021년 사이버 보안 전망을 정리했다. ‘글로벌 리셋: 2021년 사이버 보안 전망(Global Reset: Cyber Security Predictions 2021)’ 보고서에서는 글로벌 팬데믹이 불러온 원격근무 및 다른 변화, 랜섬웨어, 국가차원의 활동, 클라우드 및 보안 검증 등의 주제를 다룬다. 파이어아이 2021년 보안 전망 보고서는 ▲글로벌 팬데믹으로 인한 원격근무 및 다른 변화 ▲랜섬웨어 사용 지속 및 성장 ▲국가 차원의 공격을 지속시키는 스파이 활동 ▲매우 중요해진 클라우드 보안 ▲방어 시스템과 예산 관리를 위한 보안 검증 등을 주요 내용으로 하고 있다.  최근 랜섬웨어 공격은 그 어느 때보다도 더욱 까다롭고 파괴적인 경향을 나타내고 있다. 심지어는 100만 달러(약 11억원) 이상을 대가로 요구하기까지 하며 더욱 심각해지고 있고, 향후 더욱 악화될 것으로 업체 측은 전망했다.  중국과 러시아 등 주요 공격 국가는 주로 스파이 행위를 위한 공격을 지속할 것으로 보인다. 다른 국가 역시 공격 활동을 수행할 것으로 예측된다.  파이어아이는 근무 방식이 급격하게 변화함에 따라 조직은 보안을 최적화하고 지출을 줄이기 위해 보안 검증에 의존하게 될 것으로 예상했다.  파이어아이 관계자는 “기업은 2021년에는 클라우드 보안을 보완하고 ...

파이어아이 보안

2021.01.20

파이어아이가 2021년 보안 시장 전망을 담은 2021년 예측 보고서를 공개했다. 파이어아이는 향후 공격자들은 공격 대상이 직면한 어려움에는 아랑곳하지 않고 공격을 이어갈 것이라고 전망했다. 이러한 공격자들은 TTP(Trusted Third Party)를 지속적으로 발전시키고 계속해서 스파이 활동과 금전적 이득을 취하기 위해 계속 활동하고 있다. 기업들이 계속 침해를 입고, 그 결과 비즈니스 운영 중단, 데이터 침해, 그리고 거의 예외 없이 재정적 손실을 겪게 될 것을 의미한다고 업체 측은 설명했다.   파이어아이는 인사이트와 전문지식, 미래에 대한 안목을 담아 2021년 사이버 보안 전망을 정리했다. ‘글로벌 리셋: 2021년 사이버 보안 전망(Global Reset: Cyber Security Predictions 2021)’ 보고서에서는 글로벌 팬데믹이 불러온 원격근무 및 다른 변화, 랜섬웨어, 국가차원의 활동, 클라우드 및 보안 검증 등의 주제를 다룬다. 파이어아이 2021년 보안 전망 보고서는 ▲글로벌 팬데믹으로 인한 원격근무 및 다른 변화 ▲랜섬웨어 사용 지속 및 성장 ▲국가 차원의 공격을 지속시키는 스파이 활동 ▲매우 중요해진 클라우드 보안 ▲방어 시스템과 예산 관리를 위한 보안 검증 등을 주요 내용으로 하고 있다.  최근 랜섬웨어 공격은 그 어느 때보다도 더욱 까다롭고 파괴적인 경향을 나타내고 있다. 심지어는 100만 달러(약 11억원) 이상을 대가로 요구하기까지 하며 더욱 심각해지고 있고, 향후 더욱 악화될 것으로 업체 측은 전망했다.  중국과 러시아 등 주요 공격 국가는 주로 스파이 행위를 위한 공격을 지속할 것으로 보인다. 다른 국가 역시 공격 활동을 수행할 것으로 예측된다.  파이어아이는 근무 방식이 급격하게 변화함에 따라 조직은 보안을 최적화하고 지출을 줄이기 위해 보안 검증에 의존하게 될 것으로 예상했다.  파이어아이 관계자는 “기업은 2021년에는 클라우드 보안을 보완하고 ...

2021.01.20

파이어아이-포네몬, 보안운영센터 환경변화에 따른 연구보고서 발표

파이어아이가 ‘보안운영센터(Security Operations Center; 이하 SOC) 운영: 효과적인 결과를 위한 실질적 비용’에 관한 두 번째 연례 연구 보고서를 발표했다.  연구 조사를 진행한 포네몬 연구소(Ponemon Institute)의 보고서에 따르면, 보안 관리 복잡성이 증가하고, 애널리스트 급여와 보안 엔지니어링 및 관리 아웃소싱 비용이 늘어나는 등 조직에서 광범위한 SOC 문제를 해결하기 위해 더 많은 비용을 지불하고 있지만, 여전히 만족스러운 결과를 얻지 못하고 있는 것으로 나타났다. 이러한 문제를 해결하기 위해 여러 기업이 XDR(Extended Detection and Response), 보안 자동화 같은 새로운 SOC 툴에 대한 투자를 늘리고 있다. 파이어아이 CS(Customer Success) 부사장 크리스 트리올로는 “포네몬 보고서를 통해 조직이 보안운영 비용 상승으로 어려움을 겪고 있음을 알 수 있지만, 투자비용을 늘림에도 불구하고 날로 증가하는 사이버 위협 대응 역량에 대해서는 여전히 불만족스러운 상황”이라고 말했다.  보고서에 따르면, 관리 복잡성이 증가하고 보안 엔지니어링 및 관리 아웃소싱 비용이 늘어나면서 SOC 투자수익률(ROI)은 낮아지고 있다는 것으로 나타났다. 조사에 참여한 응답자 절반 이상(51%)이 SOC에 대한 ROI가 감소하고 있다고 답했다. 2019년 44% 대비 7% 증가한 수치이다. 또한, 이용 중인 SOC가 매우 복잡하다고 평가한 응답자가 80% 이상으로, 2019년 조사 응답 결과(74%)보다 증가했다. 보안 모니터링을 위해 보안 관제 서비스 제공업체(Managed Security Services Provider; MSSP)에 지불하는 비용도 증가하며 ROI에 영향을 미친 것으로 보인다. 조사에 참여한 조직들이 아웃소싱에 지불하는 비용은 연평균 530만 7,250달러로 집계돼 2019년 444만 1,500달러보다 높았다. 이를 환산하면 연간 약 20%가 상승한 셈...

파이어아이 포네몬 보안

2021.01.15

파이어아이가 ‘보안운영센터(Security Operations Center; 이하 SOC) 운영: 효과적인 결과를 위한 실질적 비용’에 관한 두 번째 연례 연구 보고서를 발표했다.  연구 조사를 진행한 포네몬 연구소(Ponemon Institute)의 보고서에 따르면, 보안 관리 복잡성이 증가하고, 애널리스트 급여와 보안 엔지니어링 및 관리 아웃소싱 비용이 늘어나는 등 조직에서 광범위한 SOC 문제를 해결하기 위해 더 많은 비용을 지불하고 있지만, 여전히 만족스러운 결과를 얻지 못하고 있는 것으로 나타났다. 이러한 문제를 해결하기 위해 여러 기업이 XDR(Extended Detection and Response), 보안 자동화 같은 새로운 SOC 툴에 대한 투자를 늘리고 있다. 파이어아이 CS(Customer Success) 부사장 크리스 트리올로는 “포네몬 보고서를 통해 조직이 보안운영 비용 상승으로 어려움을 겪고 있음을 알 수 있지만, 투자비용을 늘림에도 불구하고 날로 증가하는 사이버 위협 대응 역량에 대해서는 여전히 불만족스러운 상황”이라고 말했다.  보고서에 따르면, 관리 복잡성이 증가하고 보안 엔지니어링 및 관리 아웃소싱 비용이 늘어나면서 SOC 투자수익률(ROI)은 낮아지고 있다는 것으로 나타났다. 조사에 참여한 응답자 절반 이상(51%)이 SOC에 대한 ROI가 감소하고 있다고 답했다. 2019년 44% 대비 7% 증가한 수치이다. 또한, 이용 중인 SOC가 매우 복잡하다고 평가한 응답자가 80% 이상으로, 2019년 조사 응답 결과(74%)보다 증가했다. 보안 모니터링을 위해 보안 관제 서비스 제공업체(Managed Security Services Provider; MSSP)에 지불하는 비용도 증가하며 ROI에 영향을 미친 것으로 보인다. 조사에 참여한 조직들이 아웃소싱에 지불하는 비용은 연평균 530만 7,250달러로 집계돼 2019년 444만 1,500달러보다 높았다. 이를 환산하면 연간 약 20%가 상승한 셈...

2021.01.15

강은성의 보안 아키텍트ㅣ연말이면 쏟아지는 사이버 위협 보고서, 그래서 어쩌라고?

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

강은성 보안 아키텍트 사이버 위협 맥아피 카스퍼스키 파이어아이 소닉월 포티넷 보안기업 위협 인텔리전스 표적 피싱 원격 CISO CSO

2020.12.21

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

2020.12.21

공급망 공격을 탐지하기 어려운 이유, '솔라윈드' 사건이 보여준다

러시아의 코지 베어(Cozy Bear)라 여겨지는 공격 그룹은 솔라윈드(SolarWinds)의 오리온(Orion) 소프트웨어의 해킹된 업데이트를 통해 정부 및 기업 시스템에 접근할 수 있었다. 대부분의 기관과 기업은 이런 유형의 소프트웨어 공급망 공격에 대비하지 못하고 있다.       최근 국가 후원의 공격자에 의한 주요 사이버보안업체 파이어아이 해킹 사건은 인기있는 네트워크 모니터링 제품에 대한 악의적인 업데이트를 통해 수행된, 주요 정부 기관과 기업에 영향을 미치는 훨씬 더 큰 공격의 일부였다. 이 사건은 소프트웨어 공급망 공격이 미치는 심각한 영향과 대부분의 기업이 이런 위협을 예방하고 탐지할 준비가 되어 있지 않다는 불행한 사실을 보여준다.     러시아 정부와 연계된 것으로 추정되는 이 공격 그룹은 지난 3월 시작된 장기 캠페인으로, 미국 재무부와 상무부 등 미국 정보 부처의 컴퓨터 시스템에 접속했다. 이 소식은 12월 12일 미국 국가 안정보장회의의 긴급회의를 촉발했다.    이 공격은 공격자가 오리온이라는 네트워크 및 애플리케이션 모니터링 플랫폼 개발업체인 솔라윈드의 인프라를 해킹한 다음, 해당 접근 권한을 사용해 소프트웨어 사용자에게 트로이목마화 된 업데이트를 생성하고 배포한 것으로 보인다. 솔라윈드는 뉴스가 나간 후, 웹 사이트에 있는 고객 명단 페이지를 삭제했다. 솔라윈드의 주요 고객은 미국 포춘지 선정 500대 기업 가운데 425개, 미국 상위 10대 통신업체, 미국 상위 5대 회계 법인, 미군, 미 국방부 및 국무부, 전 세계 수백 개의 대학 등 총 1만 8,000여 곳이다.  솔라윈드 소프트웨어 공급망 공격을 통해 공격자는 지난 주에 발표된 보안업체 파이어아이 네트워크에 접속할 수 있었다. 파이어아이 측은 공격자 집단의 이름을 특정하지 않았지만, 워싱턴포스트는 러시아의 외국 정보기관인 SVR의 해킹 부서인 코지 베어(Cozy Bear)라고 보도했다. ...

공급망공격 솔라윈드 코지베어 파이어아이

2020.12.18

러시아의 코지 베어(Cozy Bear)라 여겨지는 공격 그룹은 솔라윈드(SolarWinds)의 오리온(Orion) 소프트웨어의 해킹된 업데이트를 통해 정부 및 기업 시스템에 접근할 수 있었다. 대부분의 기관과 기업은 이런 유형의 소프트웨어 공급망 공격에 대비하지 못하고 있다.       최근 국가 후원의 공격자에 의한 주요 사이버보안업체 파이어아이 해킹 사건은 인기있는 네트워크 모니터링 제품에 대한 악의적인 업데이트를 통해 수행된, 주요 정부 기관과 기업에 영향을 미치는 훨씬 더 큰 공격의 일부였다. 이 사건은 소프트웨어 공급망 공격이 미치는 심각한 영향과 대부분의 기업이 이런 위협을 예방하고 탐지할 준비가 되어 있지 않다는 불행한 사실을 보여준다.     러시아 정부와 연계된 것으로 추정되는 이 공격 그룹은 지난 3월 시작된 장기 캠페인으로, 미국 재무부와 상무부 등 미국 정보 부처의 컴퓨터 시스템에 접속했다. 이 소식은 12월 12일 미국 국가 안정보장회의의 긴급회의를 촉발했다.    이 공격은 공격자가 오리온이라는 네트워크 및 애플리케이션 모니터링 플랫폼 개발업체인 솔라윈드의 인프라를 해킹한 다음, 해당 접근 권한을 사용해 소프트웨어 사용자에게 트로이목마화 된 업데이트를 생성하고 배포한 것으로 보인다. 솔라윈드는 뉴스가 나간 후, 웹 사이트에 있는 고객 명단 페이지를 삭제했다. 솔라윈드의 주요 고객은 미국 포춘지 선정 500대 기업 가운데 425개, 미국 상위 10대 통신업체, 미국 상위 5대 회계 법인, 미군, 미 국방부 및 국무부, 전 세계 수백 개의 대학 등 총 1만 8,000여 곳이다.  솔라윈드 소프트웨어 공급망 공격을 통해 공격자는 지난 주에 발표된 보안업체 파이어아이 네트워크에 접속할 수 있었다. 파이어아이 측은 공격자 집단의 이름을 특정하지 않았지만, 워싱턴포스트는 러시아의 외국 정보기관인 SVR의 해킹 부서인 코지 베어(Cozy Bear)라고 보도했다. ...

2020.12.18

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31