Zero Day 취약성 및 Zero Day Malware
제로 데이 취약점은 소프트웨어 제조업체가 패치를 릴리스하기 전이나 해당 패치가 널리 배포되기 전에 악용되는 취약점입니다. 패치 관리와 관련된 지연은 "제로"라고 하는 창을 남겨두며, 적절한 방어 체계에 액세스할 수 없는 조직에서 취약성을 악용할 수 있습니다.
제로데이 멀웨어는 이러한 제로데이 취약점을 이용하는 멀웨어입니다. 익스플로잇 개발자는 해당 패치를 개발 및 배포할 수 있는 것보다 더 빠르게 취약성에 대한 공격을 생성할 수 있습니다. 즉, 조직이 위협을 단속하기 전에 취약점을 악용하는 멀웨어가 널리 확산될 수 있습니다.
Zero Day 멀웨어의 예
제로데이 멀웨어가 존재하려면 제로데이 취약점도 존재해야 합니다. 불행히도 이러한 유형의 취약점은 매우 일반적입니다.
최근 예는 2021년 3월에 회사에서 패치한 Microsoft Exchange의 취약성 집합입니다. 이러한 취약성을 악용하여 공격자가 취약한 시스템에서 악성 코드(원격 코드 실행(RCE) 취약성)를 실행할 수 있으므로 제로 데이 멀웨어에 적합합니다. 그러나 취약성의 상당한 잠재적 영향에도 불구하고 패치 적용 속도는 느렸습니다.
이로 인해 취약점을 악용하는 다양한 제로 데이 멀웨어 변종이 생성되었습니다. 이러한 제로 데이 멀웨어 변종 중 하나를 하프늄(Hafnium)이라고 합니다. 하프늄(Hafnium)은 Microsoft Exchange 익스플로잇을 사용하여 취약한 Exchange 서버에 대한 액세스 권한을 얻는 정보 도용 멀웨어입니다. 거기에서 권한을 높이고 결과 액세스를 사용하여 이메일과 사용자 자격 증명을 훔칩니다.
기존의 사이버 보안 전략이 제로 데이 멀웨어에 효과적이지 않은 이유
제로데이 멀웨어는 기존의 많은 사이버 보안 전략이 이를 방지할 수 없기 때문에 매우 중요한 사이버 보안 문제입니다. 제로데이 멀웨어는 특정 취약점이 발견된 직후, 그리고 이에 대해 많이 알려지거나 패치가 개발되기 전에 출시되기 때문에 기존 방어 체계로는 이를 탐지하고 방어하는 데 어려움을 겪을 수 있습니다.
일부 사이버 보안 전략은 문제의 취약성 또는 익스플로잇에 대한 지식을 기반으로 하며, 이는 분명히 제로 데이 위협에 사용할 수 없습니다. 따라서 이러한 위협을 완화하기 위한 다음과 같은 특정 방법은 효과적이지 않습니다.
- 패치 관리: 특정 멀웨어 변종의 위협을 완화하는 가장 좋은 방법은 해당 변종이 의존하는 취약점을 패치하는 것입니다. 그러나 제로데이 멀웨어를 사용하면 패치를 사용할 수 없어 취약한 시스템에 적용할 수 없습니다.
- 서명 기반 검색: 기존의 많은 바이러스 백신 및 위협 탐지 시스템은 멀웨어 변종의 고유한 지문인 서명을 사용하여 작동합니다. 제로 데이 멀웨어로 인해 사이버 보안 연구원은 멀웨어를 연구하고 이러한 서명을 개발 및 배포할 기회가 없었습니다.
- 익스플로잇 탐지: 멀웨어 외에도 서명을 사용하여 취약점 악용을 탐지할 수도 있습니다. 그러나 멀웨어와 마찬가지로 제로 데이 취약성에는 작동하는 데 필요한 서명이 없습니다.
사이버 보안은 항상 사이버 방어자와 악용 개발자 간의 경쟁입니다. 제로 데이 취약점 및 멀웨어의 경우 조직이 위협 관리를 위해 기존 방법에 의존하는 경우 익스플로잇 개발자는 상당한 이점을 얻을 수 있습니다.
제로 데이 멀웨어를 방지하는 방법
제로 데이 멀웨어에 대해 효과적이지 않은 기존의 사이버 보안 전략은 탐지에 크게 의존합니다. 그러나 존재 여부도 모르는 위협을 정확하게 탐지하고 대응하기는 어렵습니다.
제로 데이 위협을 관리하는 더 나은 방법은 예방을 사용하는 것입니다. 체크 포인트의 예방 우선 접근 방식은 알려지지 않은 위협으로부터 효과적으로 보호할 수 있는 유일한 방법이며 다음과 같은 기능을 포함합니다.
- 위협 인텔리전스: ThreatCloud 는 AI를 사용하여 매일 860억 건의 트랜잭션을 검사하는 최대 규모의 사이버 위협 인텔리전스 데이터베이스입니다. 이를 통해 제로 데이 멀웨어 캠페인을 조기에 탐지하여 조직이 스스로를 보호할 수 있도록 지원합니다.
- 위협 차단 엔진: 멀웨어 변종은 크게 다를 수 있지만 목표를 달성하기 위해 유사한 기술을 사용하는 경우가 많습니다. 위협 차단 엔진은 ROP(Return Oriented Programming) 또는 알려진 멀웨어의 코드 사용과 같은 위험 신호를 모니터링하여 제로 데이 멀웨어를 탐지하고 차단합니다.
- 통합: 제로 데이 멀웨어 공격 중에는 인시던트의 영향과 비용을 최소화하기 위해 신속하고 조정된 대응이 필수적입니다. 체크 포인트 솔루션은 조직의 보안 아키텍처를 통합하여 빠르게 진화하는 위협에 대해 조정되고 자동화된 대응을 가능하게 합니다.
체크포인트의 인공 지능(AI) 사용은 예방에 중점을 둔 보안 전략에 매우 중요합니다. AI가 사이버 공격을 방지하는 데 어떻게 도움이 되는지 자세히 알아보려면 이 백서를 확인하세요.
제로 데이 방지 시작하기
조직의 현재 보안 태세를 명확하게 이해하는 것은 개선을 위해 필수적입니다. 제로데이 공격을 방지하기 위한 첫 번째 단계를 밟으려면 체크 포인트의 무료 보안 점검을 받아보세요.
또 다른 좋은 단계는 가장 취약한 자산에 보안 노력을 집중하는 것입니다. 많은 조직에서 이것은 이제 원격 인력입니다. 데모에 등록 하여 체크 포인트가 제로 데이 멀웨어 공격으로부터 원격 직원을 보호하는 데 어떻게 도움이 되는지 알아볼 수 있습니다.
피드백