정보보호 전문기업 두루안이 함께 합니다.
The Hackers News 발췌분
Effective Business Continuity Plans Require CISOs to Rethink WAN Connectivity (2020-05-14)
l CISO(Chief Information Security Officer)는 더 많은 기업이 원격, 모바일 및 임시 인력을 활용함에 따라 비즈니스 연속성 계획 요소(BCP)가 진화하고 있고, 보안과 프라이버시 환경을 고려하여 지속적인 WAN과 인터넷 연결이 효과적인 비즈니스 연속성 계획의 기초가 된다는 결론을 내리고 있습니다.
l VPN(Virtual Private Network)은 추가되는 VPN 사용자가 많을수록 더 많은 라이선스와 처리 능력이 필요한데, 이는 궁극적으로 예기치 못한 비용을 발생시키고, 네트워크 지연이 발생되므로 비즈니스 연속성에 어려움을 줄 수 있습니다. 또한 VPN은 해당 원격 사용자에게 부여된 인증 정보만큼만 신뢰할 수 있어 사용자가 암호와 로그인 정보를 다른 사람과 공유하거나 자신의 시스템을 침입이나 도용에 부주의하게 노출할 수 있는 한계점을 갖고 있습니다.
l ZTNA(zero trust network access)는 사용자에게 완전한 네트워크가 아니라 애플리케이션에 대한 액세스만을 허용하여 보안성이 강화되었으며, ZTNA 기반 솔루션은 VPN보다 훨씬 더 많은 정보, 이를테면 사용자 ID, 명명된 애플리케이션, 지연 시간, 위치 등을 캡처할 수 있어 관리자가 분석 및 보안을 계획하는 것에 도움을 줍니다. 다만 ZTNA 솔루션은 성능과 확장성 문제를 해결하지 못하며 failover 및 트래픽 자동 재라우팅과 같은 연속성의 핵심 구성요소가 부족할 수 있습니다.
l Gartner의 Neil MacDonald, Lawrence Orans, Joe Scorupa가 제안한 SASE(Secure Access Service Edge)의 최신 기술은 ZTNA와 VPN이 갖고 있는 보안, 연속성 및 규모의 한계를 극복하였습니다. SASE는 네이티브 클라우드 아키텍처를 사용하여 전세계적으로 분산되어 있는 네트워크 에지에서 안전한 연결을 지원하는 ID 기반 연결 플랫폼입니다.
l 뉴스보기
7 New Flaws Affect All Thunderbolt-equipped Computers Sold in the Last 9 Years (2020-05-11)
l A cybersecurity researcher의 Roytenberg에 의해 발견된 취약점 'ThunderSpy'는 Thunderbolt 또는 Thunderbolt 호환 USB-C 포트를 통해 지난 9년 동안 판매된 모든 데스크톱 및 랩톱에 영향을 미치며, 이 취약점들은 드라이브가 전체 디스크 암호화로 보호되는 경우에도 데이터를 훔칠 수 있고, 잠겨 있거나 절전 중인 컴퓨터의 모든 시스템 메모리를 읽고 쓸 수 있습니다.
l 다음 7개의 ‘Thunderspy’ 취약점 목록은 Thunderbolt 버전 1, 2, 3에 영향을 미치며, 임의의 Thunderbolt 장치 ID를 생성하여 사용자 인증 Thunderbolt 장치를 복제하고, 마지막으로 DMA 공격을 수행하기 위해 PCIe 연결을 얻는 데 이용될 수 있습니다.
ü 부적합한 펌웨어 검증 계획
ü 취약한 장치 인증 체계
ü 인증되지 않은 장치 메타데이터 사용
ü 이전 버전과의 호환성을 사용한 다운그레이드 공격
ü 인증되지 않은 컨트롤러 구성 사용
ü SPI 플래시 인터페이스 결함
ü Boot Camp에 Thunderbolt 보안이 없음
l DMA 공격을 막기 위해 인텔은 무단 Thunderbolt PCIe 기반 디바이스가 사용자 허가 없이 연결되지 않도록 하는 '연결 암호 인증'을 제공하는 등 일부 대응책을 내놓기도 했으나 공격자는 '보안 수준' 기능을 처음 3개의 취약점을 조합해 간단히 깨뜨릴 수 있는 것으로 파악되었고, 문제제기 전부터 자체적으로 일부 취약점을 파악했지만 대응책을 내놓지 않았던 것으로 알려졌습니다.
l 2019년 이후 시장에 출시되는 최신 시스템으로는 'Spycheck'이라고 불리는 취약성을 일부 완화하는 오픈 소스 툴이 있습니다. Thunderbolt 취약점을 막기 위해, 항상 시스템의 전원을 완전히 끄거나 절전 모드 대신 최대 절전 모드를 사용하십시오. 또한 Thunderbolt 주변 장치를 방치하거나 다른 사람에게 빌려주지 마십시오.
l 뉴스보기
This Asia-Pacific Cyber Espionage Campaign Went Undetected for 5 Years (2020-05-07)
l 최근 중국의 해커 집단 'Naikon APT' 이 호주, 인도네시아, 필리핀, 베트남, 태국, 미얀마, 브루나이 정부 기관을 대상으로 한 사이버 스파이 활동을 지속하고 있는 배후로 밝혀졌는데, 2015년부터 적어도 5년 동안 발견되지 않았으며 여전히 위협이 계속되고 있습니다.
l Aria-body backdoor는 악성 RTF 파일이 포함되어있는 Microsoft Word 문서 (The Indians Way.doc) 로 가장하였으며, 이메일을 통해 정부 부처 내 컴퓨터를 감염시키고 네트워크에서 특정 문서를 찾아 수집하는 것뿐만 아니라 탈착식 데이터 드라이브 추출, 스크린샷과 키로깅, 그리고 스파이 활동을 위해 도난 된 데이터를 수집하고 있습니다.
l "Aria-body-dllX86.dll"이라는 멀웨어 이름에 따라 명명된 Aria-body RAT는 일반적인 백도어에서 기대할 수 있는 모든 기능을 갖추고 있고 변형된 프로그램도 키 스트로크를 캡처할 수 있는 기능을 갖추고 있으며, 연구자당 다른 확장 기능도 탑재하고 있어, 백도어가 계속 개발 중에 있음을 시사합니다.
l 뉴스보기
KISA보안공지
Adobe 제품군 보안 업데이트 권고 (2020-05-14)
MS 5월 보안 위협에 따른 정기 보안 업데이트 권고 (2020-05-13)
긴급재난지원금 조회 및 안내 피싱 사이트 주의 안내 (2020-05-12)
기타 동향
미국 정부, 외국 해커들이 가장 좋아하는 취약점 목록 공개 (2020-05-14)
l 미국 CISA와 FBI, 외국 해커들이 주로 활용하는 취약점들을 민간에 전파.
l 마이크로소프트 제품이 해커들 손에 가장 많이 농락당하는 것으로 분석됨.
l 오래된 취약점이 여전히 잘 통한다는 건 사용자들의 패치가 충분치 않다는 것.
l 뉴스보기
대형 보험사 마젤란 헬스, 랜섬웨어에 당하고 정보도 빼앗기고 (2020-05-14)
l 대형 보험 회사인 마젤란 헬스, 랜섬웨어 공격에 당하고 데이터도 도난당함.
l 최근 랜섬웨어 공격자들, 피해자에게 확실히 돈을 뜯어내기 위해 데이터를 빼돌리기까지 함.
l 코로나 때문에 병원 공격 안 하겠다던 사이버 범죄자들, 역시나 퍽이나.
l 뉴스보기
MS의 깃허브 계정 해킹 당해 500GB 개발자 데이터 유출 (2020-05-12)
l 마이크로소프트의 깃허브 계정, 해커들에게 털린 듯.
l 자신들의 소행이라고 주장하는 건 샤이니 헌터스라는 조직으로 500GB 훔쳤다고 함.
l 현재 1GB의 데이터와 스크린샷을 다크웹 포럼과 언론 매체에 공개한 상태.
l 뉴스보기