1월 2주차, 주간 보안소식과 트렌드

IT의 쉐도우를 이용한 워너크라이 대응사례 😘

2023. 1. 11.

Vulnerability in this week

▶ Fortinet releases January 2023 Security Updates for Multiple Products

▶Apache Tomcat Servlet Engine Security Bypass Vulnerability

▶CentOS Web Panel Unauthenticated Remote Command Execution Vulnerability

▶ X-Force 취약점 대시보드

이 메일이 잘 안보이시나요?

Korean news Briefing

2023년에도에 IBM 보안소식과 함께해 주셔서 감사합니다. 새해를 맞이해서 보안뉴스 소식이 더욱 다양할 수 있도록 업데이트를 하고자 합니다. 정비하여 차주 부터는 좀 더 좋은 소식으로 여러분들에게 전달 드릴 예정입니다.

1년동안 진행되었던 보안뉴스를 한 번에 보고 싶으신 경우는, 아래에서 열람해 주시기 바라며, 더 빠른 보안소식으로 다시 인사 드리도록 하겠습니다.

▶ 보안뉴스 한번에 보기

Let's do intelligence Security

포괄적인 사건 대응이라는 것은, 사이버 공위협이 모든 보안의 제품들을 통과할 것이라고 가정하면서 대응계획을 계속을 세우고 테스트를 하는 것을 이야기 합니다. 보안도구를 지나쳐 들어오는 위협의 요소의 한 사례는 쉐도우 IT인데 이는 기업이 IT 또는 보안 지식 또는 권한이 없는 상태에서 운영되고 있는 하드웨어와 소프트웨어를 사용을 의미 합니다.

한 가지 예시로 네트워크 기반의 엔드포인트 경고에 대한 위협에 대해 고객을 지원한 적이 있는데, 네트워크 안에서 앤드포인트가 의심스러운 도메인으로 연결하려는 시도를 였습니다. X-Force 팀은 고객의 시설 들 중에, 윈도우 7이 패치되지 않았던 알지 못하였던 작은 시스템 하나에서 일어난 보안경고를 추적하게 되었습니다. 이 시스템들은 아예 보안팀의 시야 밖에서 운영이 되고 있었으며, 기업의 보안 툴 안에서 보호되지 않았습니다. X-Force 조사 과정에서, 이것은 악성 윈도우 시스템 중에 하나가 워너크라이 드로퍼를 다운받았으며 실행이 되자마자 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. 에 연결하려는 시도를 하였다는 것을 알게 되었습니다.

이 블로그에서, 우리는 공격이 일어나날 때 공격자들이 쉐도우 IT를 활용해서 기업을 공격하는 3가지 사건과 쉐도우 IT가 단순한 보안위협에서 실제 사이버 공격으로 바뀌는 과정을 이야기 하고자 합니다.

▶ IT의 쉐도우를 이용한 워너크라이 대응사례

SIEM은 기업에서 발생하는 대규모의 데이터를 빠르게 수집하고, 이를 사용자가 해당 툴 또는 시스템들에 대한 전문적인 지식이 부족하더라도 그 내용을 쉽게 알아 볼 수 있는 형태로 정규화를 하며, 이러한 대규모 데이터로부터 사용자가 반드시 알아야 하는 위협 상황들을 정리하여 알려줍니다. 또한 발생한 혹은 잠재적으로 발생 가능성이 있는 위협 상황들을 사용자가 인지하고 적절한 대응을 할 수 있도록 하는 데에 있어서, 비록 여러가지 보완이 필요한 도전들이 있으나 현재까지는 SIEM보다 월등히 앞선 기술을 찾기는 쉽지 않습니다. 지난 10년 이상 SIEM기술을 가지고 많은 고객들을 만나 실제로 경험하고 시장에서 논의된 사항들로부터 좋은 SIEM 기술을 선택하는 기준점들을 정리해 보았습니다.

▶ SIEM 기술선택 방법