IBM Security Daily News Briefing

한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면
? [
뉴스레터 구독하기]를 클릭해 주세요.

 

[ 주요 기사 ]

해커 타깃 병원···코드블루보다 무서운 '코드화이트'

“짝퉁 시스코 스위치 경보” 성능 넘어 기업 네트워크 보안까지 위험
‘줌’ 해커 타깃 이유 있었다…“줌 정보 50만 달러”

[단독]롯데·현대부터 KISTI까지 국내 290여곳 '정보탈취' 악성코드 감염
17년된 심각한 윈도우 서버 보안취약점 발견…공격에 악용됐을 가능성 커

지난 주 트위터 해킹 사건, 현재까지 알려진 것들과 추론들
시높시스, ‘2020 오픈소스 보안과 리스크 분석’ 보고서 발간

보안이냐, 혁신이냐...마이데이터 망분리 갈등 해법은?

‘차세대 보안 비전 2020’, 오는 22일 개최…‘시큐리티 퍼스트’ 전략 공유

해킹·보안에 관심 있는 사람들, 다음달 18일 '이곳'으로 모여라

한국정보보호학회, ‘미래 융합보안기술 워크숍’ 개최

[기고] 기업에 반드시 필요한 ‘재해 복구’ 계획

 지난 기사보기: https://homephompi.tistory.com/

 

[ Threat Intelligence: IBM X-Force Exchange Advisory ]

Attacker Building Malicious Images Directly on Hosts

Although attackers targeting exposed Docker APIs typically download images from a public registry, Aqua Security has observed a new technique by which they build the images directly on the host.

 

[ IBM Korea 주요행사  이벤트 ]

IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공

 

[ Talk & Talk ] 내부자 보안위협과 대응방안

내부자 위협은 의도적이든 의도적이지 않든 회사의 자산에 불법적으로 접근하여 피해를 주는 것을 말합니다. 내부자는 현재 직원만을 의미하지 않으며, 퇴사자, 외주 인력, 파트너사 직원 등 회사의 시스템 또는 데이터에 접근할 수 있는 누구나를 의미합니다.

 

연구결과에 따르면, 내부자 위협은 기업의 데이터 침해사고의 약 60% 정도로 상당히 많은 부분을 차지하고 있으며, 그 비용 또한 외부자에 의한 피해비용 대비 높은 것으로 알려졌습니다. Ponemon의 ‘2018 Cost of Insider Threats’에 따르면, 연평균 내부자 위협의 비용은 $8.76백만달러로, 같은 기간 데이터 침해사고의 연평균 비용 $3.86백만 달러 대비 약 2.3배나 높게 나타났습니다.

 

내부자들은 이미 합법적인 내부 정보에 접근이 가능하며, 어디에 중요한 데이터가 있는지, 그리고 어떻게 권한상승을 하는지 등 오랜 기간의 관찰과 경험을 통해 잘 파악하고 있기 때문에, 내부자 위협을 사전에 발견하고 대응하는 일은 쉬운 일이 아닙니다. 보안전문가들에 따르면 내부자의 기본적인 행위에 대한 파악이 부족하고, 특권사용자에 대한 관리부족으로 인해 발생하고 있다고 말합니다. (2019, SANS report on advanced threats)

 

내부자 위협은 침해동기, 보안 인식, 접근 등급, 의도에 따라 분류될 수 있으며, 가트너는 위협을 제공하는 내부자를 졸개(Pawn), 저능아(Goof), 협력자(Collaborator), 단독범(lone wolf)으로 구분하였습니다.

  - 졸개: 스피어 피싱 또는 소셜 엔지니어링 등으로 인해 악성코드에 감염되어 내부 시스템 및 데이터로 침투경로를 제공하거나 인증정보인 크리덴셜을 탈취당해 2차적인 침해사고를 유발

  - 저능아: 조직의 보안정책에 관심이 없거나 종종 보안정책을 무시하여 편의적으로 시스템을 우회. 약 95%의 직원이 보안통제 우회를 시도하고, 내부자 침해사고의 90%가 이들에 의해 발생

  - 협력자: 경쟁사 또는 정부지원 해커 등 외부 공격자와 협력하여, 외부에서 내부로 접속 할 수 있도록 경로를 개방하여 데이터 유출을 도와 주며, 주로 산업기밀 정보나 고객정보를 탈취

  - 단독범: 외부와의 협업 또는 간섭없이, 조직에 악의적 감정을 가지고 피해를 주기 위해 단독으로 범행을 수행하며, 특히 시스템 또는 DB 관리자 등과 같은 높은 등급의 계정사용자로 변심이 크게 작용

 

내부자 위협을 방어하기 위해서는 SIEM (Security Information and Event Management) 및  UEBA(User and Entity Behavior Analytics) 등의 솔루션을 통해 데이터 접근기록과 사용자의 행위를  모니터링하고 분석하여 이상행위를 탐지하고 대응합니다. 특히, 멀티 클라우드 및 하이브리드 클라우드 등 시스템의 복잡성이 증가하고 데이터 및 관리포인트가 분산됨에 따라, 데이터 접근에 대한 특권 사용자(API, 응용 프로그램, 계정 등)의 효율적 관리를 위해 IAM (Identity and Access Management) 솔루션을 활용합니다. IAM을 SIEM과 연동할 경우, 내부 사용자의 이상행위를 실시간으로 모니터링하고 즉각적인 대응을 수행합니다.

 

※ 원문: What Are Insider Threats and How Can You Mitigate Them?

 

※ IBM Security solution

  - Qradar: 가장 심각한 위협에 대한 인사이트를 제공하는 지능형 보안 분석 플랫폼 - 데이터 위치와 상관없이 클라우드 환경에서 구매 및 배포 가능한 SIEM 솔루션

  - Security Verify Access: , 권한 부여된 액세스 관리, ID 거버넌스 및 액세스 관리, 액세스 권한 부여, 싱글 사인온 제공, 다단계 인증 등의 기능을 수행하는 IAM 솔루션

 - Resilient: 기 구현된 보안 및 IT 기술을 쉽고 빠르게 통합하며, 중요한 인텔리전스 및 인시던트 컨텍스트 제공을 통해 복잡한 공격을 민첩하고 정확하게 차단하는 SOAR 플랫폼

IBM Security 대해  자세히 알고 싶다면?

 한국 IBM Security 공식  페이지

 (페이스북 커뮤니티) 한국 IBM 보안 비즈니스 그룹

 한국IBM 제품 사용자를 위한 한국 사이버보안 유저 그룹

+ Recent posts