제로 데이 공격을 방지하는 방법

제로데이 공격이란?

제로 데이 공격은 사용할 수 있는 패치가 없는 최근에 발견된 취약점을 악용하는 공격입니다. 사이버 범죄자는 "제로"에 공격함으로써 조직이 적절하게 탐지하고 대응할 수 있는 가능성을 줄입니다.

많은 조직의 보안 모델은 탐지를 기반으로 하며, 이를 위해서는 공격을 악성으로 식별할 수 있는 기능이 필요합니다. 제로 데이 공격에 사용되는 새로운 익스플로잇으로 인해 필요한 서명이 아직 개발되지 않았기 때문에 서명 탐지를 기반으로 하는 보안은 완전히 비효율적입니다.

따라서 제로 데이 공격의 위험을 관리하려면 탐지뿐만 아니라 예방이 필요합니다.

제로 데이 공격을 방지하는 방법

제로 데이 공격을 방지하는 것은 다단계 프로세스입니다. 조직에는 잠재적인 캠페인을 식별하는 데 필요한 위협 인텔리전스, 이러한 인텔리전스를 기반으로 조치를 취하기 위한 도구, 신속하고 조정된 위협 대응을 지원하는 통합 플랫폼이 필요합니다.

• Threat Intelligence Platforms

현대의 사이버 공격은 광범위하고 자동화되어 있습니다. 제로 데이 공격은 취약성 발견과 패치 릴리스 사이의 좁은 기간을 이용하여 다양한 조직을 표적으로 삼습니다.

이러한 유형의 대규모 공격으로부터 보호하려면 고품질 위협 인텔리전스에 액세스해야 합니다. 한 조직이 공격을 경험하면 수집한 데이터는 공격을 탐지하고 차단하려는 다른 조직에 매우 중요할 수 있습니다. 그러나 최신 공격 캠페인의 속도와 규모로 인해 수동 위협 인텔리전스 공유가 너무 느려서 효과적이지 않습니다.

체크포인트의 ThreatCloud AI는 세계 최대 규모의 사이버 위협 인텔리전스 데이터베이스입니다. ThreatCloud AI는 인공 지능(AI)을 활용하여 제공된 데이터를 추출하여 잠재적인 공격 및 알려지지 않은 취약성에 대한 귀중한 인사이트를 제공합니다. 100,000명 이상의 체크 포인트 고객으로부터 매일 860억 건 이상의 트랜잭션을 분석하여 제로 데이 공격 캠페인을 식별하는 데 필요한 가시성을 제공합니다.

• 위협 차단 엔진

위협 인텔리전스는 제로 데이 공격을 효과적으로 탐지하는 데 필요한 정보를 제공합니다. 이들로부터 보호하려면 이 인텔리전스를 공격이 성공하지 못하도록 하는 조치로 변환할 수 있는 솔루션이 필요합니다.

체크 포인트는 제로 데이 방지를 위해 ThreatCloud AI의 위협 인텔리전스를 활용하는 60개 이상의 위협 차단 엔진을 개발했습니다. 몇 가지 주요 위협 차단 기능은 다음과 같습니다.

• CPU 레벨 검사: 사이버 공격자는 일반적으로 ROP(Return Oriented Programming)를 사용하여 CPU에 내장된 방어를 우회합니다. CPU 수준 검사는 실행 공간 보호 및 코드 서명을 극복하려는 시도를 식별하여 악성 코드가 다운로드 및 실행되기 전에 공격을 차단합니다.
• 위협 에뮬레이션 및 추출: 샌드박스 환경 내에서 의심스러운 콘텐츠를 분석하면 멀웨어가 대상 시스템에 전달되기 전에 탐지하는 데 도움이 될 수 있습니다. 이를 통해 멀웨어를 차단하거나 배달 전에 문서에서 악성 콘텐츠를 제거할 수 있습니다.
• 멀웨어 DNA 분석: 맬웨어 작성자는 일반적으로 기존 코드를 구축하고, 차용하고, 수정하여 새로운 공격 캠페인을 개발합니다. 즉, 새로운 익스플로잇에는 이전 캠페인의 동작과 코드가 포함되는 경우가 많으며, 이는 공격의 최신 변형을 탐지하는 데 사용될 수 있습니다.
• 안티봇 및 안티익스플로잇: 현대의 사이버 공격은 봇넷의 일부로 사용되는 손상된 시스템에 크게 의존하는 경우가 많습니다. 손상된 컴퓨터를 식별한 후 조직은 이를 격리하고 봇 관련 트래픽을 차단하여 멀웨어의 확산을 중지할 수 있습니다.
• 캠페인 헌팅: 멀웨어는 명령 및 제어를 위해 공격자의 백엔드 인프라에 의존합니다. 체크 포인트는 위협 에뮬레이션 및 추출을 사용하여 멀웨어에서 사용하는 새로운 명령 및 제어 도메인을 식별하고 이 정보를 활용하여 공격 캠페인의 다른 인스턴스를 탐지할 수 있습니다.
• ID 가드: 계정 탈취 공격은 서비스형 소프트웨어(SaaS) 애플리케이션의 사용이 증가함에 따라 점점 더 보편화되고 있습니다. 동작 분석 및 변칙 검색은 공격자가 올바른 자격 증명을 가지고 있더라도 시도된 공격을 식별하고 차단할 수 있습니다.

• Security Consolidation

많은 조직이 다양한 독립형 보안 솔루션과 단절된 보안 솔루션에 의존하고 있습니다. 이러한 솔루션은 특정 위협으로부터 보호하는 데는 효과적일 수 있지만, 데이터에 압도당하고 다양한 솔루션을 구성, 모니터링 및 관리해야 하므로 조직의 보안 팀의 효율성을 떨어뜨립니다. 그 결과 과중한 업무에 시달리는 보안 담당자가 중요한 경고를 간과하게 됩니다.

통합 보안 플랫폼은 제로데이 공격을 방지하는 데 필수적입니다. 조직의 전체 IT 에코시스템에 대한 가시성과 제어 기능을 갖춘 단일 솔루션은 분산된 사이버 공격을 식별하는 데 필요한 컨텍스트와 통찰력을 갖추고 있습니다. 또한 조직의 전체 인프라에서 조정되고 자동화된 대응을 수행하는 능력은 빠르게 진행되는 제로데이 공격 캠페인을 방지하는 데 필수적입니다.

체크 포인트로 제로 데이 공격으로부터 보호

체크 포인트의 예방 우선 접근 방식은 알려지지 않은 위협으로부터 효과적으로 보호할 수 있는 유일한 방법입니다. 인시던트 탐지 및 대응에 의존하는 레거시 솔루션은 새로운 공격을 놓치고 사이버 공격 캠페인의 피해를 최소화하기에는 너무 늦게 대응합니다.

사이버 공격을 예방하기 위한 중요한 첫 번째 단계는 네트워크 내의 취약점을 식별하는 것이므로 체크 포인트는 무료 보안 점검 서비스를 제공합니다. 인공 지능을 사용하여 새로운 사이버 공격을 방지하는 방법에 대해 자세히 알아보려면 이 백서를 확인하세요.