한국고객을위한버전 2015 Check Point Software Technologies Ltd. 1
2015 Security Report 출처 : 16,000+ 의회사및기관 1 백만대이상의스마트폰 1,300 Security Checkup 보고서 30 만시간이상의모니터링시간 3,000 체크포인트게이트웨이 122 개국에걸친다양한산업군 2
멀웨어의진화 EVOLVING c 2015 Check Point Software Technologies Ltd. 3
2014 에는 전례없는침해사고들 새로운멀웨어의폭발적증가 두배로많아진 DDoS 공격 2015 Check Point Software Technologies Ltd. 4
수천명의직원을가진독일의한제철소에서발생한실제사고입니다. 2015 Check Point Software Technologies Ltd. 5
제철소의업무망을겨냥한 스피어피싱공격에서얘기는시작됩니다. 6
1단계 : 침투공격자는악성파일을첨부한이메일을안전한것으로위장하여임직원들이첨부파일을열도록시도합니다. 7
멀웨어는취약한임직원컴퓨터에 침투합니다. 8
2 단계 : 수평적전파 교두보를확보하였으므로 주변시스템들로전파되어집니다. 9
3 단계 : 콘트롤시스템의감염 불능상태의개별콘트롤시스템이 쌓여전체시스템이제기능을잃음 10
4 단계 : 정상적으로용광로를멈추지못하게되어제철소에막대한손해를입힘 11
2014 주요내용 알려지지않은멀웨어 알려진멀웨어 모빌리티 고위험어플리케이션 데이터유출 2015 Check Point Software Technologies Ltd. 12
2015 Security Report 142M 2014 83M 2013 34M 2012 142M 2014년, 새로운멀웨어가 1억4천2백만개발견되었으며이는 2013년보다 71% 증가된수치임 18.5M 18M 12M 2011 2010 2009 13
악성사이트접속 86% 의기관과회사 24 초마다 2013 에는 1 분 14
악성사이트방문 66.7% 2013 년대비증가 95% 2012 년대비증가 15
악성파일다운로드 34 초마다 알려지지않은 malware 가다운로드 63% 의기관과회사에서 멀웨어다운로드 6 분마다 알려진멀웨어가 다운로드 16
어느쪽이더위험한가? Unknown Known 17
알려지지않은악성파일 41% 의기관이나기업이최소한한번이상의 알려지지않은 malware 를다운로드함 34 초간격으로알려지지않은 malware 가 다운로드되고있음 18
알려지지않은악성파일 52% 신종악성코드감염파일중 PDF 가 차지하는비율 19
Threat Emulation 유통업체침해사고차단 미국은추수감사절다음금요일인블래프라이데이가 1 년중가장큰폭의세일시즌이시작되는날임. 2014 년추수감사절을앞둔월요일, 알수없는파일을발견한한유통업체가체크포인트보안팀 (CPIRT) 에 연락을함. 대다수백신프로그램은파일에숨어있는악성코드를탐지해내지못하느데이번경우는 네트워크를통해바이러스를유포하는악성파일로아래와같이정보를탈취하는목적으로침투함. 윈도우시스템으로부터로그인에필요한인증서해킹 원도우시스템상의키보드입력정보해킹 파일전송 체크포인트보안팀 (CPIRT) 은클라우드기반보안시뮬레이션을통해의심스러운파일을끝까지추적해 결국악성코드를탐지해냈으며, 이과정에서윈도우시스템폴더에정보취합을목적으로하는택스트 파일이생성되있는악성행위를발견함. CPIRT팀은 C:\Windows\system32\ 폴더에 tracks.txt 파일이생성된것을보고카드데이터를임의취합하는 PoS 악성코드라고확신함. 해커들은이악성코드를이용해로그인정보를탈취하고추가악성프로그햄을설치하여데이커를외부로유출함. 샌드박스시뮬레이션 (Threat Emulation) 을사용하여악성코드를포함한기타유해소프트웨어를탐지하여차단했던경우임. 20
알려진악성파일 Bots 매1 분 Bot 들이 Control 서버와 통신하는시간 73% 2013 83% 2014 좀비에감염된기관과기업 47% 4 주이상인지하지못함 21
알려진악성파일 하루에 48 회, 2013 년하루 8 회에서 5 배이상! TOP ATTACK VECTORS 2014 2013 22
핵티비즘 (HACKTIVISM) 지난해, 교육기관, 서비스공급업체, 미국주정부, 시정부를대상으로한 DDoS 공격이상승세를보임. 정치적인영향을떠나서 DDoS 공격으로인해무고한사용자들의피해가늘어나고있음. 특히정부에서거의모든교육서비스를제공하는국가의경우대부분학교들이네트워크로상화연결되어있어그중한개학교가공격을받아도기타학교들에영향을주게됨, 또한웹사이트를대상으로한 DDoS 공격은사법부분과긴급서비스를제공하는 VPN 연결중단사태를유발할수도있음. 순서나절차상에서다소차이가있을수있지만, 해커들이주로이용하는방식은아래와같은 4 가지임. 1. 발신지위조가가능한 UDP 기반 Volumetric 공격으로, 보안시스템공격을탐지하기도전에데이터유출이발생. 2. 도메인네임시스템에서전달되는 IP 주소를변조하거나도메일네임시스템의서버를장악하여사용자가의도하지않은주소로접속하게만드는 DNS 공격. 3. 특정서버를대상으로서버자원을고갈시키고대용향 SYN 패킷으로네트워크를불능상태로만드는 SYN Attack 공격. 4. 서버자원고갈을위한 TCP 를이용한공격. 보안조치제안 : 1. 트래픽에대한실시간모니터링을통해비정상적인트래칙이감지되었을경우체크포인트 DDoS Protector 등보안어플라이언스를설치하여 DDoS 공격을차단할수있음. 2. 교육기관, 클라우드서비스업테, 호스팅서비스업체엄격히통제. 3. IP 주소를변조한 DDoS 공격이늘어나고그수단도다양해셔 DDoS 공격방어가점점어려워기조있음. 체크포인트의 Firewall Software Blade 와 IPS blade 는 DNS 풋프린트차단속도제한, Syn Defender 와 IPS Syn Attack 및 IPS DNS 등을통해 DDoS 공격을차단함. 23
알려진악성파일 40% 서버 60% 클라이언트 2013 년엔주로서버가공격대상이었으나 2014 년은 clients 대상공격이 32% 에서 60% 로증가 ( 서버는 68% 에서 40% 로감소 ) Why? 24
알려진일반취약점 25
2014 년벤더별알려진취약점 26
SHELLSHOCK vs 체크포인트 IPS 해커들관점에서목표대상에피해를극대화하는가장효과적인공격은그들의기반을노리는것. 대다수의운영체게에있어서, 유닉스에서자주실행되는기본적인명령어들의묶음이유사한기반일것임. 애플의맥 OS 나리눅스 / 유닉스운영체계에서흔히사용되는 command line 쉘의핵심은 Bash 나 Bourne Again 쉘같은 command processor 임. 2014 년 9 월, 해커가리모트에서쉡명령어를실행할수있도록하는 Bash 쉘에대한중요한보안취약점이발견됨. 이것은운영체계의환경변수안에악성코드를삽입함으로서작동하게됨. 취약점이발견되고몇일지나면서추가적인결함이구조상발견되고또일련의패키들이생성되는데, 패치가생성되기전에대상네트워크에해를가하려고하는경쟁이일어나는것이일반적. 몇시간이내에, 공격자들은감염된컴퓨터에봇넷을생성함으로서 DDoS 공격을수행하거나취약점스캐닝을수행하는 Shellshock 공격을하게됨. 체크포인트 IPS 가같은날패치를생성하여대상네트워크를방어하는동안, Shellshock 은패치되지않은수많은서버와네트워크를감염시킴. IPS 로보호를받은체크포인트고객들은, 명확히 HTTP, Mail (SMTP/POP3/IMAP), FTP 와 DHCP 프로토콜등을목표로한공격으로서비스차단을시도하는것을확인함. 연구결과에따르면미국은최대의공격대상이자막대한수익을올리는최고의공격자모두이다. 27
엔드포인트취약점및보안상부주의 28
누구를탓할수있을지 체크포인트조사문제점파악규제항목규제적용대상 응답자의 75% 가스푸핑방어기능을활성화하지않았음 안티 - 스푸핑기능은게이트웨이의인터페이스상에서올바른소스에서오고목적지로가는지에대한확인하는기능이다. 이기능으로내부 IP 로표시되어들어오는패킷이정말내부네트워크에서들어오는것이지에대하여확인한다. 또한패킷이라우팅될때적절한인터페이스를통하여이루어지는것인지에대하여확인한다. PCI DSS 3.0 NIST 800:41 ISO 27001 PCI DSS 3.0 신용카드정보취급회사 주로미국연방정부과관련되며강력한방화벽표준을적용하고있는미국회사에도적용됨 해당표준인증을통과한모든회사 신용카드정보취급회사 응답자의 27% 에서 'any' 'any' ' 허용 ' 의방화벽룰이발견 빙화벽정책관리에있어가장근본적인원칙은 " 확실히허용해도좋은것을제외한모든것은차단한다 " 이다. 응답자의 27% 가 'any any 허용 ' 의정책을가지고있다는것은아주놀라운일이다. 이것은 ' 방화벽원론 ' 으로기본중의기본. 반드시지켜져야하는것이다. NIST 800:41 ISO 27001 주로미국연방정부과관련되며강력한방화벽표준을적용하고있는미국회사에도적용됨 해당표준인증을통과한모든회사 정상적인세션상태를유지하지않는 TCP 에대하여차단되어야한다 ' 는정책이응답자의 19% 에서적용되지않고있다 TCP 세션타임아웃은방화벽과같은보안장비에서 idle 상태에서도얼마동안해당연결을유효하게유지해야하는지를판단하는요소이다. 이러한 idle 세션이길어지면공격자가사용주인사용자세션을가로체려는시도가가능하도록할수있다 PCI DSS 3.0 ISO 27001 신용카드정보취급회사 해당표준인증을통과한모든회사 29
모빌리티 : 위험에처한기업의데이터 30
모바일보안 91% 의기업에서지난 2 년간개인모바일기기가크게증가했다고응답. 44% 의기업들은직원들의개인모바일기기상의데이터에어떠한관리 / 보안조치도취하지않음. 33% 의어플리케이션개발자들은어플리케이션안정성에대하여어떠한테스트도진행하지않음. 2015 Check Point Software Technologies Ltd. 31
모바일위협동향 조사대상 : 100 여개국가에있는 50 만대이상의 안드로이드기기와 40 만대의 IOS 기기 40% ios 60% 안드로이드 42% 모바일보안관련사고로인한 기업손실 $250,000 32
모바일위협동향 20 개이상의멀웨어변종 18 이상의 MRAT 패밀리 33
P2P 파일공유어플리케이션 75% 2013 77% 2014 35
익명통신 (Anonymizer) 어플리케이션 고위험어플리케이션 하루에 305x 56% 2013 62% 2014 매 5 분 36
데이터유출 36 분마다주요데이터의유출 88% 2013 81% 2014 매일평균 41 회 2013 대비 41% 증가 37
임직원에의한데이터유출 제품정보유출 3 년간 71% 증가 30% 의기관과기업 신용카드정보유출 25% 개인정보유출 38
임직원에의한데이터유츌 2014 2013 2012 특허, 기술정보 41% 35% 24% 신용카드정보 30% 29% 29% 사업상자료 20% 21% 6% 개인정보 25% 22% 급여정보 13% 14% 13% 네트워크정보 13% 14% 패스워드잠김파일 10% 10% 14% 기밀아웃룩메세지 5% 5% 7% 은행계좌번호 5% 4% 3% 기타 27% 31% 21% 40
만만한 PoS 1,000 개이상의미국기업의 PoS 피해 ( 미국국토안보부 ) Neiman Marcus 백화점 : 110 만달러손실 Michael s 인테리어장식품상점 : 300 만달러손실 Home Depot : 5,600 만달러손실 미국내데이터유출로인한피해 : 112,250,000 건미국인구의 3 분의 1 을차지하는사람들이생활에영향을받음 41
우리의일상속에서, 매 24 초마다단말이악성사이트를방문 매 34 초마다알려지지않은멀웨어다운로드 매 1 분마다봇에이전트들이 C&C 서버와통신 매 5 분마다고위험어플리케이션이사용됨 매 6 분마다알려진멀웨어다운로드 매 36 분마다기업의중요한정보가유출 42
요약 : 2014 의정보보안통계 새로운멀웨어가 71% 증가 매시간 106 개의알려지지않은멀웨어가다운로드됨 86% 의기관과기업에악성사이트에접속 83% 의기관과기업이봇넷에이전트를보유 43
요약 : 2014 의정보보안통계 42% 의기업이모바일보안관련사건처리비용으로 $250,000 인한손실을경험 96% 의기관과기업이최소한개이상의고위험어플리케이션을사용 81% 의기관과기업이정보유출을경험 최근 3 년간정보유출사고가 71% 증가 44
TOGETHER WE SECURE THE FUTURE 2015 Check Point Software Technologies Ltd. 45
www.checkpoint.com WE SECURE 에서 PDF 형식의 THE FUTURE 2015년 Security Report Full version 을다운받으세요. 2015 Check Point Software Technologies Ltd. 46