전설에 따르면, 테르모필레 전투 에서 레오니다스와 그의 300명의 스파르타 군대가 패배한 것은 예상했던 정면 공격 때문이 아니었습니다. 아닙니다. 페르시아군이 스파르타군의 핫 게이트를 방어하는 방어선 뒤에 발판을 마련해 준 좁은 염소길을 이용해 몰래 숨어들어 측면을 공격했기 때문입니다.
아마도 염소길이라는 덜 눈에 띄는 공격 경로를 보호하지 않은 것은 전략적 실수였을 것입니다. 돌이켜보면 모든 잠재적 진입 지점을 보호하지 못하면 파멸적일 수 있다는 것을 알 수 있습니다.
그렇다면 우리는 역사로부터 교훈을 얻었는가, 아니면 역사를 반복할 운명인가?
2018년 애플리케이션 제공 현황 설문조사 결과를 바탕으로, 우리는 최선을 다해 반복 설문조사를 실시하고자 노력하고 있습니다.
이 차트가 보여주는 것은 조직의 2%가 WAF를 사용하여 아무것도 보호하지 않는다는 것입니다. 해당 기술로 보호되는 응용프로그램은 하나도 없습니다. 반대로, 조직의 13%는 모든 앱(100%)을 WAF로 보호하고 있습니다.
대부분의 조직은 이 둘 사이 어딘가에 위치하며, 34%가 애플리케이션의 4분의 1 이하(1-24%)를 보호하고 있습니다. 이러한 앱은 Hot Gates와 유사할 가능성이 높습니다. 가장 눈에 띄고, 홍보하고 광고하는 것들입니다. 이들은 가장 많은 트래픽을 받는 곳이며, 논리적으로 가장 공격 가능성이 높은 경로입니다.
나머지는 염소길이다. 데이터 센터로 이어지는 좁고 잡초가 우거진 길은 거의 사용되지 않으며 공격을 받을 가능성도 가장 낮습니다. 아니면 당신이 바라는 대로 되기를 바랍니다.
업계에서는 '중요한' 애플리케이션이라는 용어로 이야기하는 경향이 있습니다. 이러한 앱은 기업이 매일 매 순간 운영하는 데 필요합니다. CRM, SFA, 온라인 매장, 파트너가 귀사에 사업을 보내는 데 사용하는 API입니다. 우리가 경의를 표하는 것은 바로 이것들입니다. 공격으로부터 사용자를 보호하고, 수요에 맞춰 확장하고, 성능을 개선해야 합니다. 이렇게 하면 가장 까다로운 소비자라도 사용자 경험에 대한 사용자의 세심한 배려에 기뻐할 것입니다.
우리는 '중요하지 않은' 애플리케이션을 무시하는 경향이 있습니다. 때로는 데이터와 자격 증명을 안전하게 보관하는 데 필요한 보안 체크포인트를 설정하지 않고 퍼블릭 클라우드 어딘가에 밀어넣기도 합니다.
오늘 제가 말씀드리고자 하는 것은 스파르타의 방어선에 진입하기 위한 중요한 진입점이었던 염소길과 마찬가지로 다른 모든 애플리케이션도 마찬가지라는 것입니다. 만약 그들이 인터넷에 연결한다면(그리고 네트워크 에 연결된다는 것은 그럴 가능성이 높음을 의미함) 그들은 공격자의 잠재적인 진입점이 됩니다. 이들이 '중요한' 앱과 동일한 플랫폼과 프로토콜을 악용한다면(그리고 그럴 가능성이 높음) 동일한 취약점을 공유하기 때문에 모든 애플리케이션에 위험이 됩니다.
모든 애플리케이션을 통해 네트워크에 침투하는 좁은 경로가 하나만 있어도 조직(사업) 전체가 위험에 처하게 됩니다. 하나의 애플리케이션이나 서버에 발판을 마련하면 공격자가 탐색할 수 있는 수많은 길이 열립니다. 자격 증명에서 연결까지, 데이터 센터(퍼블릭 클라우드든 온프레미스든) 내부의 단일 공격 지점은 우리가 생각하는 것보다 더 큰 위협입니다.
보안과 관련해 '중요하지 않은' 애플리케이션을 무시할 이유는 없습니다. 사실, 이러한 애플리케이션에 주의를 기울이고 WAF가 제공하는 보호를 제공해야 할 충분한 이유가 수백, 아마도 수천 가지가 있습니다. 직원 자격증. 개인정보 다른 더욱 유용한 애플리케이션과 서비스로 가는 경로.
보안 측면에서 중요하지 않은 앱이란 없습니다.
핫 게이츠를 위해 염소 길을 무시하지 마세요.
*그렇죠, 페르시아인들은 어차피 이겼을 가능성이 크지만, 이제 우리는 결코 알 수 없겠죠?