피싱은 오랫동안 대상 조직에 대한 액세스 권한을 얻는 가장 좋은 방법 중 하나였습니다. 예전에는 이렇지 않았습니다. 컴퓨터 보안 초기에는 원격 코드 익스플로잇(RCE)이 사용자 상호 작용이 필요하지 않았기 때문에 액세스 권한을 얻는 데 선호되는 방법이었습니다. 실제로 사용자 상호 작용이 필요한 항목은 심각한 위협으로 간주되지 않았습니다. 더 나은 보안 관행이 자리를 잡기 시작했고 RCE 액세스 방법이 훨씬 더 어려워졌습니다. 그리고 사용자의 상호 작용이 그 어느 때보다 쉬워졌다는 것이 밝혀졌습니다.
온프레미스 대상에서도 동일한 주기가 반복되기 시작했습니다. 조직은 EDR(Endpoint Detection and Response)을 사용하여 내부 네트워크를 보호하는 데 발전을 이루기 시작했으며 다른 기술은 맬웨어 및 측면 이동을 더 잘 감지할 수 있습니다. 공격이 점점 어려워지고 있지만 아직 공격자에게 비효율적인 전략은 아닙니다. 랜섬웨어 및 기타 형태의 맬웨어 배포는 여전히 일반적인 결과입니다.
클라우드 인프라가 피싱 공격의 주요 대상인 이유
클라우드는 피셔에게 완전히 새로운 공격 영역을 제공했으며 매우 위험할 수 있음이 밝혀졌습니다. SaaS 환경은 피싱 공격의 잘 익은 대상이며 공격자에게 일부 이메일에 대한 액세스보다 더 많은 것을 제공할 수 있습니다. 피싱 공격과 같은 방법이 매우 효과적일 수 있는 기회의 창을 공격자에게 제공하는 이 환경에서 보안 도구는 여전히 성숙하고 있습니다.
개발자 및 소프트웨어 공급망을 대상으로 하는 피싱 공격
최근에 본 것처럼, Dropbox에 사건이 발생했습니다. 개발자에 대한 피싱 공격으로 인해. 그들은 속았다 Github 자격 증명 제공 그럼에도 불구하고 피싱 이메일과 가짜 웹사이트를 통해 공격자에게 다단계 인증 (MFA). 이것이 두려운 이유는 이 사용자가 단순히 영업이나 다른 비즈니스 부서의 무작위 사용자가 아니라 많은 Dropbox 데이터에 액세스할 수 있는 개발자라는 점입니다. 고맙게도 사건의 범위는 Dropbox의 가장 중요한 데이터에 영향을 미치지 않는 것으로 보입니다.
GitHub 및 CI/CD(지속적인 통합/지속적인 배포) 공간의 기타 플랫폼은 많은 회사의 새로운 "왕관 보석"입니다. 올바른 액세스를 통해 공격자는 지적 재산을 훔치고 소스 코드 및 기타 데이터를 유출하거나 다음을 수행할 수 있습니다. 공급망 공격. GitHub는 종종 공격자가 피벗할 수 있는 다른 플랫폼과 통합되기 때문에 훨씬 더 나아갑니다. 이 모든 것은 모두 SaaS(Software-as-a-Service)-to-SaaS이기 때문에 피해자의 온프레미스 네트워크 또는 조직이 획득한 다른 많은 보안 도구를 건드리지 않고도 발생할 수 있습니다.
이 시나리오의 보안은 어려울 수 있습니다. 모든 SaaS 공급자는 다르게 수행합니다. 이러한 플랫폼에서 일어나는 일에 대한 고객의 가시성은 종종 제한적입니다. 예를 들어 GitHub는 엔터프라이즈 계획에 따라 감사 로그 API에 대한 액세스만 제공합니다. 가시성을 확보하는 것은 극복해야 할 첫 번째 장애물일 뿐이며, 그 다음은 주변에 유용한 감지 콘텐츠를 만드는 것입니다. SaaS 공급자는 수행하는 작업과 제공하는 데이터가 상당히 다를 수 있습니다. 탐지를 수행하고 유지하려면 작동 방식에 대한 상황별 이해가 필요합니다. 조직에서 이러한 SaaS 플랫폼을 많이 사용하고 있을 수 있습니다.
클라우드에서 피싱과 관련된 위험을 어떻게 완화합니까?
Okta와 같은 ID 플랫폼은 위험을 완화하는 데 도움이 될 수 있습니다. 그러나 완전히는 아니다. 무단 로그인을 식별하는 것은 확실히 피싱 공격을 발견하고 이에 대응하는 가장 좋은 방법 중 하나입니다. 공격자가 자신의 존재를 감지하는 일반적인 방법을 파악했기 때문에 이것은 말처럼 쉽지 않습니다. 프록시 서버 또는 VPN은 국가 또는 불가능한 여행 감지를 무력화하기 위해 최소한 사용자와 동일한 일반 영역에서 온 것처럼 보이도록 쉽게 사용됩니다. 더 발전된 기계 학습 모델을 적용할 수 있지만 아직 널리 채택되거나 입증되지 않았습니다.
전통적인 위협 탐지는 SaaS 세계에도 적응하기 시작했습니다. 컨테이너 및 클라우드용으로 널리 사용되는 위협 탐지 도구인 Falco에는 거의 모든 플랫폼을 지원할 수 있는 플러그인 시스템이 있습니다. Falco 팀은 이미 Okta 및 GitHub 등에 대한 플러그인과 규칙을 출시했습니다. 예를 들어, GitHub 플러그인 커밋에 암호화 광부의 징후가 표시되면 트리거되는 규칙이 있습니다. 이러한 특수 목적 탐지를 활용하는 것은 이러한 플랫폼을 전체 위협 탐지 프로그램에 도입하는 좋은 방법입니다.
피싱은 여기에 있습니다
일반적으로 피싱과 사회 공학은 결코 뒤쳐지지 않을 것입니다. 수년 동안 효과적인 공격 방법이었으며 사람들이 의사 소통하는 한 계속 될 것입니다. 이러한 공격은 소유하거나 직접 관리하는 인프라에 국한되지 않는다는 점을 이해하는 것이 중요합니다. SaaS는 대부분의 조직이 해당 플랫폼에서 실제로 일어나는 일에 대한 가시성이 부족하기 때문에 특히 위험합니다. 단순한 이메일과 가짜 웹사이트만 있으면 이러한 리소스에 액세스할 수 있기 때문에 그들의 보안은 다른 사람의 문제로 간주될 수 없습니다.
