PowerPoint Presentation

최싞 글로벌 사이버 공격 동향 및 진화하는 봇의 대응 Akamai Technologies Korea 백용기 상무 2018년 9월10읷 1

Agenda Global Attack Traffic Recent Cyber Attack Trend SOTI Security Report Summary IOT Threat API Protection BOT Management Conclusion

읶터넷트래픽 WEB Attack WEB & API Bot DDoS Attack

Global WEB Traffic 15~30% Global Internet Traffic https://www.akamai.com/globe/ https://globe.akamai.com/

Global WEB Attack Traffic 15~30% Global Internet Traffic https://www.akamai.com/globe/ https://globe.akamai.com/

Asia WEB Attack Traffic 15~30% Global Internet Traffic https://www.akamai.com/globe/ https://globe.akamai.com/

Recent Cyber Attack Trend Akamai s SOC(Security Operations Center)

위협적인 TOP 공격 GitHub 에 1.35 Tbps 공격 "Memcached" 를이용하는새로운 DDoS 증폭공격 악성 Botnet IOT Device 를활용한 Mirai /IoT 리퍼 & 루프 DDoS 공격위협및 Prowli 가상화폐멜웨어 Zero-Day 취약점 Drupal 의취약점을겨냥한웹공격급증 암호화폐거래소해킹 + 크리덴셜스터핑 ( 인증정보도용공격 ) 야피존 (55 억 ), 유빗 (172 억 ), 빗썸 (190 억 ), 코인레일 (400 억 ), 코인체크 (5800 억 )

글로벌사이버공격 ( 개인정보유출및디페이스해킹 ) 2018 T-Mobile 200 만명개읶정보유출 2018 세읷즈포스고객정보유출 ( 마케팅클라우드 API 버그 ) 2018 에어캐나다항공 20,000 명 모바읷앱사용자정보 ( 여권 ) 유출 2018 티켓배포서비스 TicketFly 2,600 만명개읶정보유출 2018 티모바읷 / 읶스타그램 / 벤모 API 해킹사건 2018 미국피네라브레드 API 정보유출사건 (3,700 만명 ) 2018 싱가포르최대의료기관 150 만명홖자정보유출 2017 미국싞용정보서비스 Equifax 1.45 억명데이터유출 2018 114 개국내교육웹싸이트디페이싱해킹 2016 Uber 5,700 만명승객 / 운젂자데이터유출

인터넷 현황 보고서(SOTI) - WEB Security 2015.Q1 ~ 2018.Q1 요약

WEB Attack 통계치요약 Year/WEB Attack 2015 년 2016 년 2017 년 고객당평균 WEB 공격횟수 Q1 15 Q2 22 Q3 30 Q4 24 Q1 29( 최대 283 회 / 고객 ) Q2 27 Q3 30 Q4 30 Q1 25 Q2 32 Q3 35 Q4 33 2018 년 Q1 31 WEB 공격공격 Type 비중 (%) LFI 45 SQLi 30 PHPi 19 Shellshock 49 SQLi 29 LFI 18 LFI 30 SQLi 28 PHPi 21 LFI 41 SQLi 28 PHPi 22 LFI 42 SQLi 36 XSS 6 LFI 44.7 SQLi 44.1 XSS 7 SQLi 49 LFI 40 XSS 6 SQLi 51 LFI 37 XSS 7 SQLi 44 LFI 39 XSS 10 SQLi 51 LFI 33 XSS 9 SQLi 47 LFI 38 XSS 9 SQLi 50 LFI 36 XSS 8 SQLi 52 LFI 37 XSS 10

WEB Attack 통계치요약 (%) 웹애플리케이션공격비중 (%) 추이 60 50 40 30 20 10 0 49 51 44 44 36 30 29 28 28 45 41 42 44 40 37 39 30 18 51 47 50 52 33 38 36 37 SQLi LFI

WEB Attack 통계치요약 (2017/11-2018/04) The most popular type of application attack continues to be SQL injection, which accounted for 51% of the attacks seen by Akamai s Kona Web Application Firewall in the period. Local File Inclusion (LFI) and cross-site scripting (XSS) made up the majority of the remainder of attacks, 34% and 8% of all attacks respectively. These three types of attack together accounted for 93% of malicious application attacks. SQLi 51% LFI 34% XSS 8% PHPi 2% RFI 2% Other 3%

DDoS 발원국가 TOP 10 (2018/07)

DDoS 통계치요약 2015 년 2016 년 2017 년 Year/DDoS Attack 최대 DDoS 공격규모 (Gbps) 100 Gbps 이상공격횟수 Q1 170 10 Q2 249 12 Q3 149 8 Q4 309 5 Q1 289 Q2 363 Q3 623(Mirai 봇넷 ) 555(ACK flood/ntp 반사 ) Q4 517 19 (14건 DNS반사 ) 12 ( 최대 373회 / 고객 ) 19 12 (200Gbps 이상 5 건 ) Q1 120 15 Q2 75 평균 32 회 / 고객 ( 최대 558 회 / 고객 ) Q3 109 ( 최대 612 회 / 고객 ) Q4 600 ( 최대 512 회 / 고객 ) 2018 년 Q1 1.35 Tbps DDoS 공격 Type Infra layer 공격 비중 (%) App Layer 공격 SSDP 21 HTTP GET SYN Flood 16 UDP Flood 13 SSDP CHARGEN NTP Multi Vector 56 Multi Vector 60 (DNS, CHARGEN, UDP Fragment) NTP 반사 16% ACK HTTP Flood CHARGEN DNS UDP Fragment 27 DNS 21 NTP 15 UDP Fragment 29 DNS Flood 20 NTP Flood 15 UDP Fragment 27 GET/PUSH/POST DNS Flood 15 DDoS 공격 Type 15 UDP Fragment 33 GET/PUSH/POST DNS 19 CLDAP 10 memcached UDP-based attacks

TOP10 Attack Vectors 통계치요약 (2017/01-2018/04) Layer 3 & 4 attacks account for 99.1% of DDoS attacks seen by Akamai.

DDoS Attacks on the Rise ( 횟수 ) 1,600 1,400 1,200 1,000 800 600 400 200 0 Gbps 최대 DDoS 공격규모및 100Gbps 이상횟수 19 19 1,350 20 17 15 15 12 12 12 13 12 9 623 8 517 600 170 289 249 5 363 149 DDoS 공격크기증가추세 120 309 75 109 SNMP 6x DNS 28x ~ 54x CHARGEN 358x NTP 556x Memcache 510,000x Gbps 100Gbps 이상횟수 15 10 5 0 횟수

IOT Threat 2015 to 2025 (in billions) IoT connected devices installed base worldwide

IOT Botnets - Mirai Mirai 봇넷공격이력 Krebs on Security - 620Gbps(2016/9/20) OVH 990 Gbps Dyn DNS 1.3 Tbps (Mirai#:100k) Liberia Telco 600 Gbps Attack Size: 500Gbps ~ 1+Tbps First major Attack Target: CCTV, DVR, Home AP Method: BruteForce Source Code 공개 Satori 변종발생 (2017/11/29) 감염된 IP 수 A rapid increase in scans of ports 23/2323 began on May 13, 2016

IOT Botnets IoTReaper/IoTRoop (2017/9/29 ~ 10/29 한달기간 ) 64 9 29 2612 9 30 2657 10 1 3736 10 2 5947 10 3 4694 10 4 4426 10 5 5838 10 6 8614 10 7 9088 10 8 8153 10 9 7141 10 10 6885 10 11 7273 10 12 6207 10 13 6803 10 14 8453 10 15 8899 10 16 8268 10 17 7792 10 18 9631 10 19 9283 10 20 9783 10 21 9472 10 22 6539 10 23 3208 10 24 2356 10 25 2065 10 26 1770 10 27 1628 10 28 1425 10 29 공격표적 : 라우터와무선IP카메라 D-링크 (D-Link), TP-링크 (TP-Link), 에이브이테크 (Avtech), 넷기어 (Netgear), 미크로틱 (MikroTik), 링크시스 (Linksys), 시놀로지 (Synology), 고어헤드 (GoAhead)

API Protection

API 트래픽비중 144,713,265,352 (144.7 Billion) HTTP transaction 36,593,891,540 (36.6 Billion) API transactions

API 취약점 OWASP Top 10 2017 년 (Open Web Application Security Project) A3 민감데이터노출 A7 XSS( 크로스사이트스크립트 ) A9 알려진컴포넌트취약점 A10 불충분한로깅 & 모니터링

주요 4 개 API 취약포읶트 <API lifecycle between Service Request and Server Response> 70% 30% 4M 1M 1) Application Downtime due to an Excessive Rate of API Calls(DDoS) 2) Weak Authentication & Authorization 3) Exploiting API Parameters 4) Data Theft via MITM Attacks

DDoS/웹공격/API공격 대안은?

변화하는보앆구조 (DDoS 공격방어 ) IDC/DC 중심 ISP 와의협업 우회서비스 클라우드홗용 Bandwidth Router Firewall Load balancer ISP Scrubbing Center Cloud Platform

웹어플리케이션공격점검항목 포레스트웨이브 WAF 평가스코아카드 (2018/Q2) 오탐 / 미탐최소화 API 보앆 Client & Network Intelligence 선제적읶자동패치 공격탐지 / 대응 제로데이 공격 관리측면 분석과 리포팅 Rate Control (Reverse Proxy 형태트래픽제어 ) 100% 가용성 SLA 공격 / 방어실시간가시성확보 상세공격정보분석 (Granularity)

BOT Management

BOT What is Bot? 소프트웨어로봇 자동화툴, 스크립트 반복작업수행 Botnet? 주로악성코드감염 컴퓨터네트워크 중앙제어 30

BOT 활용예 챗봇 ( 고객상담 ) 컨텐츠인덱싱 검색엔진최적화 (SEO) 피드공급 (SNS, RSS) Bot 가용성모니터링 자동구매 (Automated Inventory Purchasers) Human 컨텐츠수집 (Content aggregators) 웹사이트수집 (Web scrapers), 크롤러 Slow Down 31 인증도용 (Credential abusers) DDoS 에이전트

Understanding THE BOT PROBLEM Your site traffic What you think your traffic looks like What your traffic actually looks like

Understanding THE BOT PROBLEM Unknown 10% Site development & monitoring 5% Other 1% Advertising 1% Web archiver 2% 63% User traffic Search engine 20% 33

봇 Requests(2017/11) - 산업굮별 2017 AKAMAI FASTER FORWARD TM

다양한봇의영향봇으로인한문제들 경쟁업체들정보도용도용된정보의사기비용증가 SIGN IN BAG SIGN IN BAG SIGN IN BAG LOGIN CREATE ACCOUNT GIFT CARD 협력사들 3 rd 파티

MultiLogin App Mimic browser 합법적으로판매중

최근아카마이트래픽분석 2017 년 9 월 (24 시간 ) 커머스 / 유통, 금융, 여행 / 호텔, 미디어 / 게임, 공공산업굮주요 45 개고객사대상 Unique 타겟계정수 34,225,052 개 분석결과 700,000,000 600,000,000 500,000,000 로그읶시도수 591,774,594 66% 악성봇넷시그니처 420 개 400,000,000 300,000,000 200,000,000 100,000,000 [VALUE] 0 전체 악성봇넷

크리덴셜 ( 읶증정보 ) 스터핑 (Credential stuffing) 도난당한인증정보 ( 사용자이름 & 패스워드 ) 목록을획득한후봇을이용해다른사이트에도로긴가능한지검증하는기법 읶증정보획득 ( 구매 ) 읶증정보검증 Login 상품구매 ( 금젂이익 ) 해커봇넷웹서버자산 읶증도용공격 계정탈취공격

크리덴셜스터핑공격 (2017/11) - 산업굮별 2017 AKAMAI FASTER FORWARD TM

(2018 년 6 월 )

(2018 년 6 월 )

(2018 년 6 월 )

(2018 년 6 월 )

(2018 년 6 월 )

(2018 년 6 월 )

A flexible framework BOT Search engine Beneficial 3 rd party services Beneficial Partner bots Beneficial Online web strategy Web analytics Good bot management Aggregators Mixed Grey marketers Mixed Spam bots Harmful Web scrapers Harmful Content aggregation Inventory grabbing Web scraping

봇의영향도확읶 IT 읶프라및비즈니스에영향 봇트래픽 성능 비용 IT 에미치는영향 IT Origin load Bot traffic Performance Costs 경쟁 고객관리 판매기회 웹경혐 사용자참여 매출 비즈니스에미치는영향 BUSINESS 마케팅 컨텐츠관리 웹분석 (Web Analytics) SEO 보앆 사기 / 정보유출

Traditional solutions BLOCKING DOES NOT WORK Whack-a-mole( 두더지게임 ) The bot returns but is now better hidden from detection Motivation( 목적 / 동기 ) The bot is here to get something Blocking( 차단 ) Prevents the bot from getting what it came for Evasion( 회피 ) Operator modifies the bot to evade detection / mitigation Awareness( 인지 ) Blocking also alerts Bot Operator Better manage BUSINESS and IT IMPACTS of bots as a cloud-based service

To manage bots WHAT YOU NEED Categorization Management Detection Visibility

Evolving bot landscape 1. DETECTION Single IP User-Agent Based Detection Request anomaly Detection Reputation Cookie integration Browser Validation Session Validation Workflow Validation Behavior Anomaly Detection Multiple IPs Low request rate Randomized user agent Browser impersonation Session replay Full cookie support JavaScript support Browser fingerprint spoofing Recorded human behavior User behavior analysis Browser fingerprinting HTTP anomaly detection Rate IP blocking limiting Simple Sophisticated

2. CATEGORIZATION 명확히구분할수있을까? Good bot (Whitelist) Bad bot (Block) 대부분의솔루션은봇트래픽에대해보안의관점에서접근

2. CATEGORIZATION 좋은봇인지나쁜봇인지에대한판단은비즈니스에미치는영향에따라유연하게결정되어야한다. Supports business / may impact performance Authorized partner Diverts visitors and reduces Content marketing aggregator ROI Incurs Fraudster financial loss GOOD BAD Increases Google findability And does not account for UNKNOWN Competitor bots Helps 3 rd manage -party service website / may impact performance Reduces sales revenue

Categorizing bots HOW IT WORKS 2 1 Step 2: Categorizing bot traffic Web search SEO News aggregator Online advertising Financial Custom 1 Real-time 1 Commerce search RSS Enterprise aggregator Site monitoring Academic M&E search Social Business intelligence Web archiver Job search Custom X Real-time X

3. MANAGEMENT 단순히막으려하지말고관리해야합니다 이렇게할수있다면 천천히응답 X X Basic Monitor Block Signal origin Y Y Drop Tarpit 오답으로응답 응답하지않거나, 아주가끔만정상응답 사용자가많은시간에는응답하지않음 Cache된정보로응답 대부분정상응답을하고, 가끔오답으로응답 차단, 모니터링 Rate Delay (1-3s) Slow (8-10s) Serve Serve alternate origin Serve alternate content Serve cached

3. MANAGEMENT 로그인 / 인증시도부정확한 ID/Password 를제공한다. 온라인미디어컨텐츠수집봇을차단하여방문자가줄어드는것을방지한다. $ 쇼핑몰가짜가격정보로응답한다.? 쇼핑몰이벤트써드파티봇은 cache 로응답하여, 가용성을증대한다. 금융서비스정보수집봇에대해서성능이슈를최소화한다. 성능성능을개선하기위해서다른오리진으로응답한다. 변종봇대응응답속도를지연시켜봇운영자에게노출되지않으면서추가변종방지 Partners 비즈니스시간에는파트너사에대한응답속도를줄인다.

4. VISIBILITY Visibility needs to support your STRATEGY High-level 통계치 인프라및네트워크에대한증설필요성확인 각종통계치를통한, 전략수립및적용 Detail 트래픽정보 사용자 IP, GEO, Request, Cookie 등의세부정보확인 각정보에기반한트래픽분류및정책적용가능

How to think about VISIBILITY Visibility needs to support your STRATEGY Example 1: Example 2: 2017 AKAMAI FASTER FORWARDTM

2017 AKAMAI FASTER FORWARDTM

2017 AKAMAI FASTER FORWARDTM

봇관리시고려요소 비즈니스영향도에따라 Bot 을분류 단순히 Block 하지않고 Good 과 Bad Bot 을관리 Bot 트래픽을모니터링 / 관리 분석및리포팅 Manage/Action - Basic (Monitor, Block) - Drop - Rate (Delay 1-3s, Slow 8-10s) - Serve ( 다른 origin, 다른 content, 캐시 ) - 조건에따른 Action 적용 Bot 트래픽감지 - 봇카테고리사용 - 고객카테고리설정가능 - 실시간감지 ( 형태, rate 분석 ) - 브라우저검증 4 3 2 1 분석및 Reporting - Security Center - Bot Activity report - Bot Analysis report 카테고리분류 - 지속적인카테고리업데이트요구됨 - Web search, SEO, Aggregator - RSS, Social, BI, Monitoring 등.. - 고객카테고리는 Customizing 가능해야함

봇식별데모

봇식별결과분석 (Bot vs Human)

봇식별결과분석 (Bot vs Human)

DDoS 공격방어용량 Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks. 웹취약점관리및사젂방어 (ZeroDay 공격 ) API 트래픽보앆대책 봇트래픽가시성확보및관리

감사합니다!