가용성은 전환이고 우리는 그것에 속고 있습니다
완벽하게 균형 잡힌 세상에서는 가용성과 보안성이 동등할 것입니다. 분명 애플리케이션 사용자는 데이터에 액세스하는 것만큼 데이터 보안에 대해서도 우려할 것입니다.
우리 모두가 알고 있듯이, 이 세상은 완벽하게 균형 잡혀 있지 않습니다. 사용자는 데이터 침해로 인해 앱을 삭제하고 브랜드를 떠날 가능성만큼이나 가용성 및 성능 문제로 인해 앱을 삭제하고 브랜드를 떠날 가능성도 높습니다.
아, 그들은 여전히 침해로 인해 소란을 피우고 있군요. 하지만 일반적으로 이는 전담 사용자에게 비용이 발생하는 대신 회사의 비용에 영향을 미칩니다.
그러한 이분법은 F5 Labs의 2018년 애플리케이션 보호 보고서 에서 보안 전문가들이 보고한 우선순위에 반영되어 있습니다. CISO가 가장 우려하는 것은 직함에서 짐작할 수 있듯이 보안이 아닙니다. CISO를 중심으로 진행된 이전 연구인 " CISO의 역할 변화와 기업에 미치는 중요성 "에 따르면, 대부분의 CISO는 가장 큰 관심사가 가용성이며, 애플리케이션 가동 중단을 방지하는 것이 조직의 가장 중요한 사명이라고 밝혔습니다.
이는 곧 발표될 네트워크 자동화 현황 보고서에도 반영되어 있습니다. 개인 및 팀 단위로 성공을 측정하는 데 어떤 지표를 사용하는지에 대한 질문에 보안 담당자의 59%가 "네트워크 가동 시간"을 가장 먼저 꼽았고, "애플리케이션 가동 시간"이 그 뒤를 이어 거의 절반(49%)이 뒤를 이었습니다.
가용성이라는 용어에는 성능이 포함됩니다. 속도는 가용성의 구성 요소로 간주되며, 결과를 생성하는 공격을 감지하는 데 있어서 보안은 종종 무시됩니다. 악성 코드와 데이터를 탐지하는 데 필수적인 데이터 검사는 비용이 많이 들고 지연 시간이 발생하기 때문에 이러한 관행은 종종 역효과를 낳는 것으로 간주됩니다.
가용성에 중점을 두는 것은 공격자에게 자산입니다. F5 랩 보고서는 공격자가 가용성을 우선시한다는 사실을 알고 있으며, " 공격자는 데이터 도난과 사기 공격을 은폐하기 위해 DDoS 공격을 기만 공격으로 간주하고 있으며, 관리자들이 주의가 산만해진 사이에 이를 실행하고 있다"고 언급했습니다 . 이 기술은 "연막막이"로 알려져 있는데, 새로운 것은 아닙니다. 2017년에 언급했듯이 , 조직은 공격자의 진짜 의도를 숨기기 위해 대규모 DDoS 공격을 받는 경우가 점점 더 많아지고 있습니다.
그리고 소비자들이 그에 대한 대가를 치르고 있습니다.
전환으로서의 가용성
점점 더 많은 공격자들이 우리의 가용성에 대한 집중을 주의를 돌리는 수단으로 사용하고 있습니다. 이는 공격자들이 전략을 강화하고 도구 상자에 있는 모든 도구를 사용하여 네트워크, 인프라, 애플리케이션을 통해 문 너머에 있는 보물 창고인 데이터에 도달하는 경로를 찾아내고 있기 때문에 우려되는 상황입니다. 문제는 공격자가 자신과 목표 사이에 있는 사용자와 시스템만을 이용하는 것이 아니라는 것입니다. 오늘날에는 데이터 자체도 활용합니다.
F5 Labs의 2018년 애플리케이션 보호 보고서에서 연구원들은 다양한 출처의 침해 및 공격 데이터를 분석했습니다. 그 결과는 놀랍지 않지만 불안스럽습니다.
2018년 1분기에 분석된 침해 기록의 70%가 웹 주입 공격을 근본 원인으로 지적했습니다. 지금까지 따라오셨다면 놀랄 일이 아니겠죠. 지난 10년 동안 모든 침해 기록의 23%가 초기 공격 벡터가 SQL 주입인 것으로 나타났습니다. 2017년 OWASP Top 10에서 1위를 차지할 만큼 널리 퍼져있습니다.
실제로 PHP 기반 웹 앱에 대한 공격의 거의 절반(46%)이 주입 기반이었습니다. 보안 전문가는 PHP가 모든 곳에 있다는 사실을 알아야 합니다. 빌트위드닷컴인터넷을 구성하는 앱을 만드는 데 사용된 기술을 추적하는 기관인 에 따르면, 상위 100만 개 웹사이트 중 43%가 PHP로 만들어졌다고 합니다. 미국에는 이러한 사이트가 거의 1,800만 개나 있으며, 상위 10,000개 사이트 중 거의 절반(47%)이 해당 언어를 사용하고 있습니다.
공격자가 타겟을 선택할 수 있는 영역은 매우 넓습니다. 보고서에 따르면, 공격이 수행된 21,000개가 넘는 고유 네트워크 중 58%가 PHP 기반 사이트를 표적으로 삼았습니다.
데이터는 성장하는 (그리고 수익성 있는) 타겟입니다
사용된 언어를 비난하지 않기 위해 F5 Labs의 연구원들이 역직렬화 공격에도 주의하라고 경고하는 것도 중요합니다. 이러한 공격은 언어에 국한되지 않으며 데이터 자체에 초점을 맞춥니다. 보고서에서:
"직렬화는 앱이 데이터를 전송을 위한 형식(일반적으로 바이너리)으로 변환할 때 발생하는데, 일반적으로 이는 서버에서 웹 브라우저로, 웹 브라우저에서 서버로, 또는 API를 통한 기계 간에 전송됩니다."
데이터 스트림에 명령을 내장하거나 매개변수를 변조함으로써, 공격은 종종 필터링되지 않은 채 애플리케이션으로 바로 침투합니다. 데이터를 필터링하거나 정리하지 못하는 애플리케이션 또는 애플리케이션 구성 요소는 Apache Struts의 경우와 마찬가지로 취약점에 노출될 수 있습니다. 역직렬화 공격은 OWASP가 작년에 상위 10대 위협 목록에 추가할 만큼 심각한 위협으로 간주됩니다. 1억 4,800만 명의 미국인과 1,520만 명의 영국 시민이 이런 취약점으로 인해 피해를 입었다는 점을 고려하면, 역직렬화 공격은 실제 상황에서는 사용 빈도가 상대적으로 적기 때문에 현재 받고 있는 것보다 더 큰 관심이 필요합니다.
이 두 가지 위협에 대해 알 수 있는 점은 두 위협 모두 공통적인 주제를 따른다는 것입니다. 즉, 데이터도 신뢰할 수 없다는 것입니다. 의도적으로 수정했든 합법적인 요청에 편승했든, 공격은 점점 더 데이터 스트림 속에 숨겨지고 있습니다.
하지만 앱과 데이터에 너무 집중하다 보면, 스택의 나머지 부분도 똑같이 취약하고 공격 대상이 될 가능성이 크다는 사실을 간과하게 됩니다. 폐기된 SSL 및 TLS 1.0과 같은 취약한 암호화에 계속해서 의존하는 것은 좌절의 원인입니다. 이러한 방법은 보안에 취약하고 공격자가 접근 권한을 얻기 위해 악용하기 쉬워서 더 이상 사용되지 않습니다.
보고서에서 언급된 바와 같이 " 새로 명명된 TLS 프로토콜 취약점은 약 1년에 두 번 공개됩니다. 그러나 Heartbleed를 제외하고 명명된 TLS 프로토콜 취약점의 대부분은 학술적인 성격을 띠고 있으며 실제 침해에 사용되는 경우는 거의 없습니다. 2014년 가장 큰 규모의 지역사회 건강 시스템(CHS) 참여 중 하나. 공격자가 Heartbleed 취약점을 악용해 CHS는 500만 개에 가까운 사회보장번호를 잃어버렸습니다 .
위협은 낮지만 위험성은 높음. 누구도 그렇게 드문 사례가 되고 싶어하지 않지만 결국 누군가는 그렇게 됩니다.
보안과 가용성은 모두 동등한 자리를 차지해야 합니다.
현실은 우리가 아무도 믿지 않는 것만으로는 충분하지 않은 시대에 접어들고 있다는 것입니다. 앱과 데이터를 보호하기 위해 마련된 보호 기능을 비활성화하고 회피하도록 설계된 공격을 찾아내려면 스택을 더욱 깊이 파헤쳐야 합니다. 애플리케이션 보호를 네트워크부터 인프라, 서비스에 이르기까지 전체 애플리케이션 스택의 상태를 지속적으로 평가하는 연속체로 여겨야 합니다. 즉, 우리는 데이터를 전달하는 속도만큼 데이터의 안전성도 중시한다는 의미입니다.
우리는 보안 규칙 0을 기억해야 합니다. 사용자 입력을 절대 믿지 마세요. 그리고 사용자 입력에는 데이터가 포함된다는 점도 기억해야 합니다. 즉, 수신 데이터를 검사하고 성능과 가용성에 미치는 잠재적 영향을 상쇄하는 방법을 찾는 등 보안을 강화하는 것을 의미합니다.
이는 가용성이 때로는 단지 주의를 돌리는 것에 불과하며, 그것에 속아서는 안 된다는 것을 인식하는 것을 의미합니다. 보안 분야도 가용성과 성능을 모두 갖춘 전문가로 평가받아야 합니다. CISO의 우선순위는 가용성이 아닌 보안이어야 합니다.
CISO가 보안을 위해 나서지 않는다면 누가 나서겠습니까?
F5 Labs의 2018 애플리케이션 보호 보고서 에서 더 많은 통찰력과 분석을 확인할 수 있으며, 여기에는 전체 애플리케이션 스택에서 존재하는 공격과 보호에 대한 유용한 지침이 포함되어 있습니다.