네트워크에 대한 공격은 정교한 위협에 의해 시작된 세심하게 계획된 작전인 경우가 많습니다. 때로는 기술적 요새가 강력한 도전을 제공하고, 공격은 성공하려면 내부의 지원이 필요합니다. 예를 들어, 2022년에 FBI는 경고를 발표했습니다.1 SIM 스왑 공격이 증가하고 있다는 사실: 휴대전화를 제어하고 이메일, 은행 계좌, 주식, 비트코인, 신원 증명 및 비밀번호로 가는 관문을 확보합니다. 지난 봄, 현재와 전직 T-Mobile 및 Verizon 직원들은 부수적인 현금에 관심이 있는지 묻는 원치 않는 문자 메시지를 받았다고 보고했습니다.2 “의도적으로 가능하게 하는 대가로SIM 재킹.”
악의적인 내부자에 대한 이러한 헤드라인을 장식하는 이야기는 확실히 실제이지만 많은 외부 공격은 훨씬 덜 눈에 띄는 출처에서 비롯됩니다. 우연히 내부자가 된 사람. 이들은 경력 직원, 계약자, 파트너 또는 심지어 임시 계절 근로자로서, 부주의나 인식 부족으로 인해 내부 약점을 악용할 수 있도록 합니다.
우발적인 내부자는 다음과 같은 이유로 의도치 않게 보안을 손상시킵니다.
- 인식 부족: 사이버 보안 모범 사례에 익숙하지 않은 직원은 피싱 캠페인의 희생자가 되거나, 맬웨어에 감염된 첨부 파일을 열거나, 악성 사이트로 연결되는 링크를 클릭할 수 있습니다. 인식은 회사 문화와 관련이 있으며, 특히 리더십과 같은 비기술적 통제의 효과를 반영합니다.
- 성과에 대한 압력: 직원들은 일을 완수하거나 촉박한 마감일을 맞추기 위해 언제 어떻게 규칙을 “어기거나” 기술적 통제를 우회해야 하는지 배웁니다.
- 부적절한 자격 증명 처리: 취약한 비밀번호, 비밀번호 공유, 개인 및 비즈니스 계정에서의 비밀번호 재사용으로 인해 공격자가 무단으로 액세스하기가 더 쉬워집니다.
- 스니커넷: 보안 도메인과 개인 이동식 미디어 또는 퍼블릭 클라우드 서비스로 승인 및 통제 없이 데이터가 이동하는 행위입니다.
보안 모범 사례를 의도치 않게 손상시키면 우발적인 내부자는 여러 가지 방법으로 외부 공격의 길을 만듭니다.
- 초기 공격: 피싱 이메일은 모르는 내부자를 속여 네트워크 또는 애플리케이션 자격 증명을 공개하게 하여 공격자가 내부 시스템에 액세스할 수 있도록 합니다. 이 초기 공격 벡터는 향후 공격의 기반이 됩니다.
- 상승된 권한: 내부자가 실수로 악성 소프트웨어를 다운로드하면 공격자의 권한이 상승되어 중요한 시스템을 손상시키거나 대량의 데이터를 훔칠 수 있습니다.
- 측면 이동: 공격자는 네트워크에 침투하면 내부자의 액세스 권한을 이용하여 네트워크 전반에서 측면 이동을 수행하면서 중요한 데이터와 애플리케이션에 접근하거나 다른 시스템에 맬웨어를 배포합니다.
- 사회 공학: 사회 공학 전술은 인간의 신뢰를 이용합니다. 공격자는 관리자와 동료를 사칭하여 내부자를 조종하여 민감한 정보를 누설하거나 외부 위협의 이익을 위해 특권을 행사할 수 있습니다.
실수로 내부자가 공격하면 다음과 같은 중대한 결과가 초래될 수 있습니다.
- 재정적 손실: 내부자의 부주의와 모호한 태도로 인한 데이터 손실은 엄청난 벌금, 법적 반발, 복구 비용으로 이어집니다.
- 평판 손상: 내부자 사건이 대중에게 공개되면 회사의 평판이 심각하게 손상되어 사업 손실과 고객 신뢰 저하로 이어질 수 있습니다.
- 운영 중단: 공격은 비즈니스 운영을 방해하여 가동 중지, 생산성 저하, 수익 창출 방해로 이어질 수 있습니다.
- 지적 재산권 도용: 외국 국가와 경쟁업체는 도용한 지적 재산권을 이용해 부당한 시장 우위를 차지할 수 있습니다.
좋은 소식은 우발적인 내부자로 인해 발생하는 위험이 사전 예방 조치를 통해 크게 줄어들 수 있다는 것입니다.
- 보안 인식 교육: 피싱 인식, 비밀번호 위생, 안전한 데이터 처리 기술 등 사이버 보안 모범 사례에 대해 직원을 정기적으로 교육합니다.
- 보안 문화: 직원들이 의심스러운 활동을 편안하게 보고할 수 있고, 관리자들이 보안 문제를 해결하기 위해 내부 리소스를 활용할 수 있도록 교육하고 권한을 부여하는 조직 내 보안 문화를 육성합니다.
- 사용자 활동 모니터링(UAM): 허용 가능한 사용 정책 준수 여부를 모니터링하고 권한이 높은 사용자에 대한 관찰을 늘리고 보안 제어를 조작할 수 있는 권한을 부여합니다. 행동 분석을 추가하여 UAM 및 기타 엔터프라이즈 데이터를 조사하여 분석가가 감정 분석을 통해 밝혀진 적대적인 작업 환경과 같은 가장 위험한 사용자와 조직 문제를 식별할 수 있도록 돕습니다. 적대적인 작업 환경은 직원 참여를 줄이고 불만을 증가시켜 내부자 위험에 대한 위험한 요인입니다.
- 콘텐츠 보안 해제 및 재구성(CDR): 합법적인 비즈니스 콘텐츠를 추출하고 맬웨어 및 신뢰할 수 없는 실행 파일 콘텐츠 등 신뢰할 수 없는 콘텐츠를 삭제하여 파일 및 문서에 포함된 알려지거나 알려지지 않은 위협으로부터 사전에 방어합니다.
- 크로스 도메인 솔루션: 스니커 네트와 무단 클라우드 서비스 사용을 제거하고 이러한 관행을 방해받지 않는 사용자 경험에서 자동화된 정책 기반 심층 콘텐츠 검사로 대체합니다. 직원이 데이터 및 정보 시스템을 보호하면서 비즈니스 프로세스를 지원하는 보안 도메인 간에 데이터를 안전하고 보안되고 빠르게 이동할 수 있도록 합니다.
- 공인된 모범 사례를 제도화하세요. Carnegie Mellon SEI CERT, MITRE, NITTF, CISA는 리더십, 인적 자원 및 직원 수명 주기에 영향을 미치는 다른 요소에 대한 조직적 통제와 우발적이고 악의적인 내부자로부터 보호하는 가드레일 역할을 하는 일관된 기술적 통제를 통합한 모범 사례를 발표한 일부 조직의 예입니다.
우발적인 내부자는 조직을 외부 공격에 취약하게 만들 수 있는 상당한 위협을 가합니다. 그러나 적절한 교육, 기술 및 조직적 통제를 구현하고 보안 의식 문화를 육성함으로써 조직은 상당히 위험을 줄이세요.
Everfox Insider Risk Solutions를 통해 신뢰할 수 있는 내부자로 인한 위험으로부터 보호하세요.
메모: 본 기사는 Everfox의 내부 위험 서비스 부문 수석 관리자인 Dan Velez가 작성했으며, Raytheon, Amazon, Forcepoint, Everfox에서 내부 위험 및 위협 분야에서 16년 이상의 경험을 보유하고 있습니다.
-
https://www.ic3.gov/Media/Y2022/PSA220208
- https://www.bloomberg.com/news/newsletters/2024-04-19/t-mobile-verizon-find-cracking-down-on-sim-card-scams-is-hard-to-do