최근 아틀라시안 합류 원격 코드 실행 버그는 주요 인프라 공급자 내의 중요한 취약점을 노리는 제로데이 위협의 최신 사례입니다. 특정 위협인 OGNL(Object-Graph Navigation Language) 삽입은 수년 동안 존재해 왔지만 Atlassian 익스플로잇의 범위를 고려할 때 새로운 의미를 갖게 되었습니다. 그리고 OGNL 공격이 증가하고 있습니다.
악의적인 행위자가 이러한 취약점을 발견하면 개념 증명 익스플로잇이 문을 두드리기 시작하여 인증되지 않은 액세스를 찾아 새 관리자 계정을 만들고 원격 명령을 실행하고 서버를 장악합니다. Atlassian 사례에서 Akamai의 위협 연구 팀은 이러한 익스플로잇을 시도하는 고유 IP 주소의 수가 불과 200시간 내에 24개 이상으로 증가했음을 확인했습니다.
이러한 익스플로잇에 대한 방어는 007 영화에 버금가는 시간과의 경쟁이 됩니다. 시간은 촉박하고 패치를 구현하고 너무 늦기 전에 위협을 "완화"할 시간이 많지 않습니다. 하지만 먼저 익스플로잇이 진행 중인지 알아야 합니다. 이를 위해서는 제로 트러스트를 기반으로 하는 온라인 보안에 대한 능동적이고 다층적인 접근 방식이 필요합니다.
이 레이어는 어떻게 생겼습니까? 보안 팀과 타사 웹 애플리케이션 및 인프라 파트너가 알아야 할 다음 사례를 고려하십시오.
취약점 저장소 모니터링
Nuclei의 커뮤니티 기반 스캐너 또는 메타 스플로 잇 침투 테스트는 보안 팀에 널리 사용되는 도구입니다. 그들은 또한 갑옷의 균열을 조사하는 데 도움이 되는 개념 증명 익스플로잇 코드를 찾는 나쁜 행위자들 사이에서 인기가 있습니다. 잠재적인 악용 대상을 식별하도록 설계되었을 수 있는 새 템플릿에 대해 이러한 리포지토리를 모니터링하는 것은 잠재적인 위협에 대한 인식을 유지하고 검은 모자보다 한발 앞서 나가기 위한 중요한 단계입니다.
WAF 최대한 활용하기
일부는 다음을 가리킬 수 있습니다. 웹 애플리케이션 방화벽 (WAF)는 제로 데이 공격에 대해 비효율적이지만 여전히 위협을 완화하는 역할을 할 수 있습니다. 알려진 공격에 대한 트래픽 필터링 외에도 새로운 취약성이 식별되면 WAF를 사용하여 "가상 패치"를 신속하게 구현하여 제로데이 악용을 방지하고 작업하는 동안 약간의 여유를 제공하는 사용자 지정 규칙을 생성할 수 있습니다. 영구 패치를 구현합니다. 새로운 위협에 대응하기 위해 규칙이 확산됨에 따라 잠재적으로 성능에 영향을 미칠 수 있는 장기적인 솔루션으로서의 몇 가지 단점이 있습니다. 그러나 그것은 당신의 수비 무기고에 가질 가치가 있는 능력입니다.
클라이언트 평판 모니터링
제로 데이 이벤트를 포함한 공격을 분석할 때 개방형 프록시에서 보호 수준이 낮은 IoT 장치에 이르기까지 동일한 손상된 IP를 사용하여 페이로드를 전달하는 것이 일반적입니다. 이러한 소스에서 발생하는 의심스러운 트래픽을 차단하는 클라이언트 평판 방어 기능을 사용하면 제로 데이 공격으로부터 한 단계 더 방어할 수 있습니다. 클라이언트 평판 데이터베이스를 유지 관리하고 업데이트하는 것은 작은 작업이 아니지만 익스플로잇이 액세스할 위험을 크게 줄일 수 있습니다.
트래픽 속도 제어
트래픽으로 사용자를 방해하는 IP는 공격에 대한 제보일 수 있습니다. 이러한 IP를 필터링하는 것은 공격 표면을 줄이는 또 다른 방법입니다. 현명한 공격자는 탐지를 피하기 위해 다양한 IP에 악용을 배포할 수 있지만 속도 제어는 그러한 길이에 도달하지 않는 공격을 필터링하는 데 도움이 될 수 있습니다.
봇 조심
공격자는 웹사이트에 로그인하는 실제 사람을 가장하기 위해 스크립트, 브라우저 사칭 및 기타 속임수를 사용합니다. 비정상적인 요청 동작을 감지할 때 트리거되는 일종의 자동화된 봇 방어를 구현하면 위험을 완화하는 데 매우 유용할 수 있습니다.
아웃바운드 활동을 간과하지 마십시오
공격자가 시도하는 일반적인 시나리오 원격 코드 실행 (RCE) 침투 테스트는 대상 웹 서버에 대역 외 신호를 수행하여 공격자가 제어하는 비커닝 도메인으로 아웃바운드 DNS 호출을 수행하도록 명령을 보내는 것입니다. 서버가 전화를 걸면 빙고 — 그들은 취약점을 발견했습니다. 해당 트래픽을 생성하지 않아야 하는 시스템의 아웃바운드 트래픽을 모니터링하는 것은 위협을 발견하는 데 종종 간과되는 방법입니다. 이것은 또한 요청이 들어오는 트래픽으로 왔을 때 WAF가 놓친 이상 징후를 발견하는 데 도움이 될 수 있습니다.
시퀘스터 식별 공격 세션
제로 데이 공격은 일반적으로 "일단 완료" 제안이 아닙니다. 활성 공격 세션의 일부로 반복적으로 표적이 될 수 있습니다. 이러한 반복 공격을 발견하고 자동으로 격리하는 방법이 있으면 위험을 줄일 수 있을 뿐만 아니라 공격 세션의 감사 가능한 로그를 제공할 수도 있습니다. 이 "트랩 및 추적" 기능은 포렌식 분석에 정말 유용합니다.
폭발 반경 억제
다층 방어는 위험을 최소화하는 것입니다. 그러나 제로데이 익스플로잇이 침투할 가능성을 완전히 제거할 수는 없습니다. 이 경우 위협을 억제할 블록을 갖는 것이 중요합니다. 어떤 형태의 마이크로세그멘테이션을 구현하면 측면 이동을 방지하고 사이버 킬 체인을 방해하며 "폭발 반경"을 제한하고 공격의 영향을 완화하는 데 도움이 됩니다.
제로데이 공격을 방어하기 위한 단일 마법 공식은 없습니다. 그러나 다양한 방어 전략과 전술을 조정된(그리고 이상적으로는 자동화된) 방식으로 적용하면 위협 표면을 최소화하는 데 도움이 될 수 있습니다. 여기에 설명된 기지를 덮으면 방어를 강화하고 팀 사기를 떨어뜨리는 소방 훈련을 최소화하는 데 큰 도움이 될 수 있습니다.
