블로그

BlackNurse와 Cloudy Business 공격 거부

로리 맥비티 썸네일
로리 맥비티
2016년 11월 17일 게시

이번 주에 새로운 공격이 발생하고 있습니다. 제가 새로운(ish)이라고 말하는 이유는 공격 자체가 그렇게 독창적이지 않기 때문입니다. ICMP 공격은 90년대부터 있었습니다. 또한, 이 공격은 인터넷의 절반에 대한 접근을 방해하여 뉴스에 오르는 대규모 공격과는 극명하게 대조되기 때문에 '새로운' 공격이라고 표현했습니다. 이것은 잘 알려지고 널리 사용되는 방화벽을 대상으로 하는 DoS(D가 두 개가 아닌 하나만 있다는 점에 유의하세요) 공격으로, 별다른 노력 없이 기업을 무너뜨릴 수 있습니다.

이 ICMP(ping!) 공격은 BlackNurse 라고 명명되었는데(지금까지 본 바에 따르면 명확한 이유는 없지만) 이 공격이 어떻게 작동하는지에 대한 자세한 설명은 생략하겠습니다. 이 주제에 대한 자료와 해설이 이미 많이 나와 있습니다. 위협 게시물엘 레그TDC SOC, 또는 네트레섹우선, 제가 주의를 환기하고 싶었던 것은 이 공격이 기업, 특히 클라우드 기반 앱에 크게 의존하는 기업에 미칠 수 있는 파괴적인 혼란입니다. 

이것은 단순히 외부에서 앱에 대한 접근을 차단하는 것이 아니라, 내부 에서 앱에 대한 접근을 차단하는 것입니다. TDC SOC는 보고서에서 구체적으로 이를 언급합니다. "공격이 진행 중일 때 LAN 측 사용자는 더 이상 인터넷에서 트래픽을 송수신할 수 없습니다."

LAN 쪽. 방화벽의 비즈니스 측면이 바로 그것입니다.

우리는 방화벽을 공격자가 회사 네트워크에 침입하는 것을 막기 위한 전술적 대응책으로 보는 경향이 있습니다. 그들은 성 주변의 벽, 강변의 모래주머니, 맹위를 떨치는 화재를 멈추려고 애쓰는 황야의 방화선입니다. 그러나 방화벽은 오랫동안 기업에서 두 가지 목적을 위해 사용되었습니다. 즉, 내부에서 외부로의 접근을 제어하는 역할도 했습니다. 초기에는 청소년 인터넷에 대한 접근을 통제하는 데 사용되었으며, 내부 자산을 감염시키는 맬웨어와 바이러스의 "폰 홈" 시도에 대한 예방 조치를 가능하게 하는 메커니즘으로 계속 사용되고 있습니다.

 

 

4분기 2015-CARR-클라우드-사용-시간-추이-627

오늘날 클라우드 기반 생산성 앱이 널리 보급되면서 내부에서 외부로의 접근이 필요해졌습니다. 클라우드 기반 앱을 사용하려면 인터넷에 접속할 수 있어야 합니다. 세일즈포스닷컴. 동의합니다. Google 문서. 소셜 미디어. 기업 외부에 있지만 기업이 접근해야 하는 애플리케이션 목록은 계속해서 늘어나고 있습니다. Skyhigh Networks의 이 멋진 차트에서 보듯이, 비즈니스에서 클라우드 기반 애플리케이션 사용이 꾸준히 증가하고 있습니다. 실제로 2015년 4분기 보고서는 "평균적인 조직이 현재 1,154개의 클라우드 서비스를 사용하고 있다"고 언급했습니다.

기업이 클라우드에 의존하는 것은 의심의 여지가 없습니다.

즉, 해당 서비스에 대한 접근이 중단되면 생산성이 파괴적이게 되는데, 생산성은 모든 기업의 핵심 성과 지표 중 하나입니다.

따라서 BlackNurse와 같은 공격은 수행하기 비교적 쉽고 단 한 대의 노트북만 있으면 되므로, 비교적 간단 함에도 불구하고 엄청난 파괴력을 지닙니다. 이런 공격의 목적은 간단합니다. 자원을 소모하는 것입니다. 방화벽이나 웹 서버를 표적으로 삼는 저속 공격은 장치가 합법적인 요청에 응답할 수 없도록 리소스를 묶어두도록 설계되었습니다. 문제는 이런 공격은 체적 공격보다 감지하기가 더 어렵다는 것이다. 교통량이 많은 것이 눈에 띕니다. 그러면 경보가 울리고 빨간 불이 켜지며 사람들은 무슨 일이 일어나고 있는지 즉시 알게 됩니다. 우리는 지난 10년 동안 이런 공격에 대처하는 방법을 이해하는 데 많은 노력을 기울였으며 다행히도 그 능력이 점점 향상되고 있습니다.

하지만 느리고 낮은 공격은 감지하기 어렵습니다. CPU가 갑자기 100%로 고정되어 응답이 멈춥니다. 소프트웨어 문제일 수도 있습니다. 하드웨어 문제일 수도 있습니다. 여러 가지가 있을 수 있겠죠. 이런 종류의 공격을 대표하는 적은 양의 패킷을 찾기 위해 로그를 조사하는 것은 건초더미 속의 바늘을 찾는 것과도 같습니다. 연구원들에 따르면 BlackNurse 공격은 15~18Mbps에 불과하다고 합니다. 네, 맞게 읽으신 겁니다. 해당 마디에는 "G"가 없습니다. 이는 초당 약 4만~5만 개의 패킷으로, 현대 방화벽에 비하면 아무것도 아닙니다. 반대로 Dyn에 대해 기록된 DDoS 공격은 1Tbps 범위로 측정되었습니다. 그건 "T"인데, "G"보다 크고 "M"보다 훨씬 큽니다.

이러한 공격에 대한 답은 일반적으로 방화벽 서비스가 "제한된 리소스"와 같은 구식 개념에 의해 제약받지 않고 간편하고 자동으로 확장할 수 있는 클라우드로 앱을 이동하는 것입니다. 하지만 그렇지 않습니다. 회사 방화벽 뒤에 여전히 직원이 있어서 해당 앱(및 기타 앱)에 접근해야 하기 때문입니다. 그리고 표적이 기업 방화벽이고, 이 방화벽이 그들과 "클라우드" 사이에 있을 때 그들의 접근이 방해를 받습니다.

생산성이 저하됩니다.

기업은 인바운드 트래픽뿐만 아니라 아웃바운드 트래픽도 방해하는 공격으로 인해 발생할 수 있는 위험한 상황을 인식해야 합니다. BlackNurse는 이미 상당히 간단한 완화책을 가지고 있지만, 완화하기가 그렇게 간단하지 않은 다른 것들도 있을 가능성이 높습니다.  방화벽 내부의 앱과 방화벽 외부의 앱에 똑같이 의존하는 세상에서, 우리는 이러한 공격의 가능성을 자세히 살펴볼 필요가 있습니다.

아직 평가하지 않았다면 이제 기업이 "클라우드" 앱에 얼마나 의존하고 있는지(또는 의존하게 될 것인지) 평가하고, 기업의 일상 업무를 방해하기 위해 특별히 고안된 위협에 직면하여 앱에 대한 액세스를 가장 잘 보호하는 방법을 알아볼 때가 되었습니다.