마이크 펜스 미국 부통령의 공식 이메일 계정에서 그가 필리핀에 발이 묶여 있기 때문에 도움을 요청하는 이메일을 받았다고 상상해 보십시오.

사실 그럴 필요가 없습니다. 이것은 실제로 일어났습니다.

펜스의 이메일은 그가 아직 인디애나 주지사였을 때 해킹당했고 그의 계정은 여러 사람을 사취하는 데 사용되었습니다. 어떻게 이런일이 일어 났습니까? DNC 서버가 해킹당한 방식과 비슷합니까?

이메일 해킹은 현재 가장 널리 퍼진 사이버 위협 중 하나입니다. 대략적으로 추정된다 8의 10 아웃 인터넷을 사용하는 사람들은 이메일을 통해 어떤 형태의 피싱 공격을 받았습니다. 추가적으로 에 따르면 Avanan의 2019년 글로벌 피싱 보고서, 1개 이메일 중 99개는 피싱 공격입니다.

BitDam은 현대 통신에서 이메일이 얼마나 중요한지 잘 알고 있습니다. 비트 덤 에 대한 새로운 연구를 발표했습니다. 이메일 위협 탐지 약점 이메일 보안 분야의 주요 업체에 대한 조사 결과가 주목을 끌고 있습니다. 연구팀은 Microsoft의 Office365 ATP와 Google의 G Suite가 알려지지 않은 위협을 처리할 때 매우 취약하다는 사실을 발견했습니다. 또한 TTD(탐지 시간)는 알려지지 않은 공격을 처음 접한 후 최대 XNUMX일이 걸릴 수 있습니다.

주요 보안 시스템이 공격을 방지하는 방법

이메일 보안 시스템은 링크와 첨부 파일을 검사하여 안전한지 여부를 확인하여 사이버 위협을 처리합니다.

그런 다음 자동으로 링크를 차단하고 첨부 파일의 다운로드 또는 실행을 방지할 수 있습니다. 대부분의 경우 위협을 식별하기 위해 보안 시스템은 검색된 파일 또는 링크를 위협 시그니처 데이터베이스와 비교합니다. 이들은 평판 서비스 또는 다양한 소스의 위협 데이터를 기반으로 가능한 공격을 모니터링하는 위협 추적 프로토콜을 사용합니다.

그러나 초기 검사에서 안전한 것으로 간주되는 링크 또는 첨부 파일이 항상 안전한 것은 아닙니다. 보안 시스템이 위협 데이터베이스를 아직 업데이트하지 않았기 때문에 위협을 필터링하지 못하는 경우가 많습니다. 이 때문에 탐지에 공백이 존재합니다. 일반적인 보안 시스템에는 최대 XNUMX개의 감지 간격이 있을 수 있습니다. 이러한 격차는 이메일 공격이 침투할 수 있는 취약성 또는 기회를 나타냅니다.

인공 지능을 활용하여 위협 학습 및 탐지를 자동화하고 보다 효율적으로 만드는 보안 시스템이 있습니다. 그들은 이전 공격의 데이터와 네트워크 관리자 또는 컴퓨터 소유자의 해당 조치를 사용하여 후속 사건에 대해 더 나은 판단을 내립니다.

높은 첫 만남 실패율 및 TTD: 현재 이메일 보안의 부적절함

이메일 보안의 모든 발전에도 불구하고 결함은 여전히 ​​존재합니다. 앞서 언급했듯이 주요 이메일 보안 시스템인 Office365 ATP 및 G Suite는 알려지지 않은 위협에 직면했을 때 탐지 효율성을 잃습니다. BitDam의 테스트 결과에 따르면 Office365의 평균 첫 만남 실패율은 23%인 반면 G Suite는 35.5%입니다. 그들은 또한 첫 만남 이후 눈에 띄게 긴 TTD를 가지고 있습니다. Office365 및 G Suite의 TTD는 각각 48시간 및 26.4시간으로 기록되었습니다.

명확히 하기 위해 알려지지 않은 위협은 보안 시스템이 처음으로 직면하는 위협으로 아직 서명 데이터베이스에 없는 위협입니다. 그러나 모호함은 상대적입니다. 한 시스템에서 식별되지 않은 위협이 다른 시스템에서는 알려지지 않을 수 있습니다.

그렇기 때문에 Office365와 G Suite의 실패율에 상당한 차이가 있습니다. 그럼에도 불구하고 이러한 알려지지 않은 위협은 일반적으로 현재 이메일 보안의 약점인 것으로 보입니다. 시간이 지남에 따라 수정되는 일시적인 약점과 같기 때문에 중요하지 않은 것처럼 보이지만 공격 침투를 위한 중요한 창을 엽니다.

알려지지 않은 위협이 반드시 완전히 새로운 맬웨어나 공격 형태는 아니라는 점도 주목할 가치가 있습니다. BitDam 연구에 따르면 이들은 인공 지능의 도움으로 빠르게 발생하는 기존 위협의 단순한 변종일 수 있습니다. 즉, 생성하기가 매우 쉬워서 알려지지 않은 위협을 탐지하는 데 어려움을 겪는 보안 시스템에 기하급수적으로 증가하는 문제를 제시합니다.

BitDam의 테스트에서는 수정된 버전과 함께 새로운 위협을 사용하여 주요 보안 시스템의 탐지 효과를 테스트했습니다. 수정된 위협의 대부분은 "소스" 위협이 이미 위협 서명 데이터베이스에 기록되었음에도 불구하고 식별되지 않거나 알려지지 않은 것으로 인식되었습니다.

전자 메일 보안 시스템이 신뢰할 수 있는 것으로 간주되려면 첫 만남 감지 실패율이 높은 이러한 결함을 계속해서 가질 수 없습니다.

이메일 해킹 퇴치의 과제

이메일 공격이 성공하려면 다음 요소 중 하나 이상과 쌍을 이루는 지속적인 공격이 필요합니다.

• 약한 비밀번호
• 사회 공학 공격에 빠진 사이버 보안 문맹 이메일 사용자
• 신뢰할 수 있는 이메일 보안 시스템의 부재

이메일 해킹에 사용되는 주요 방법 중 하나는 비밀번호 추측입니다. 간단하고 교육적인(피해자에 대한 세부 정보 수집) 추측을 통해 해커는 작동하는 암호를 발견할 때까지 지속적으로 암호를 입력합니다. 많은 사람들이 이 전술이 이해하기에는 너무 조잡하다고 생각할 수 있지만 계정 소유자가 간단하고 예측 가능한 암호를 사용하기 때문에 이메일 계정이 쉽게 손상되는 경우가 많습니다.

사회 공학은 피해자를 속여 무의식적으로 비밀 정보를 공개하거나 다른 방법으로는 제공하지 않을 정보를 제공하도록 만드는 것입니다. 피싱은 거의 틀림없이 사회 공학의 가장 일반적인 형태입니다. 의심하지 않는 피해자가 자신의 사용자 이름과 암호를 입력하거나 합법적인 것처럼 보이지만 실제로는 정보를 훔치는 웹 사이트에 정보를 제공합니다.

공격 방식은 공격자가 피해자에게 긴급 조치가 필요한 이메일을 보내는 것으로 시작됩니다. "침해"가 발견된 후 피해자에게 온라인 뱅킹 비밀번호를 변경하라는 알림 또는 피해자가 상금을 청구할 수 있도록 작성해야 하는 온라인 양식으로 연결되는 링크와 함께 제공되는 축하 메시지일 수 있습니다. .

맬웨어가 포함된 첨부 파일을 통해서도 이메일 보안이 침해될 수 있습니다. 비정상적인 이메일 첨부 파일을 클릭하면 스파이웨어 또는 키로거가 의도하지 않게 설치되어 감염된 컴퓨터에서 암호 및 기타 중요한 데이터를 얻을 수 있습니다. 일부 맬웨어는 팝업 또는 모달 창을 통해 양식을 시뮬레이션하도록 설계되어 피해자가 로그인 정보를 입력하도록 속일 수 있습니다.

현재 최고의 보안 시스템은 약하거나 예측 가능한 암호로 계정을 보호할 수 없습니다. 또한 사회 공학에 대한 보호를 보장할 수 없습니다. 악성코드에 감염된 첨부파일과 링크 차단에만 집중할 것으로 예상된다. 불행하게도 이 측면에 있어서도 그들은 심각한 약점을 가지고 있다. 앞서 언급한 바와 같이 첫 만남 실패율이 높고 알려지지 않은 위협을 차단하는 방법을 배우는 데 시간이 필요합니다.

권장되는 보안 강화

BitDam은 선도적인 이메일 보안 시스템이 작동하는 방식의 개선을 제안합니다. 바로 위협에 구애받지 않는 보호 계층을 도입하는 것입니다. BitDam의 테스트는 모델 기반 탐지 접근 방식이 첫 만남 탐지율을 크게 높였다는 것을 보여줍니다. 심지어 TTD를 365으로 낮추었습니다. OfficeXNUMX와 G Suite가 탐지하지 못한 악성코드는 BitDam의 모델 기반 방법을 사용하여 효과적으로 식별되었습니다.

그렇다면 이 모델 기반 접근 방식은 어떻게 작동할까요?

기본적으로 스캔한 파일을 기존 위협에 대한 데이터와 비교하는 데 중점을 두지 않습니다. 대신 특정 파일과 인터페이스할 때 애플리케이션이 어떻게 작동하는지 살펴봅니다. 애플리케이션 실행의 "깨끗한" 흐름이 어떤 것인지에 대한 모델(따라서 "모델 기반" 설명)을 생성합니다.

응용 프로그램은 원치 않는 코드나 맬웨어가 포함된 파일을 처리할 때 다르게 동작합니다. 파일을 처리할 때 앱이 원활하게 작동하지 않는 경우 유일한 논리적 판단은 파일이 비정상적이거나 악의적이거나 유해하다는 것입니다. 말그대로 막아야 합니다.

이 모델 중심 전략은 데이터 중심 방법을 대체하려고 하지 않습니다. 보충하는 역할을 하기 위함입니다. 또한 가양성(false-positive)이 있을 수 있으므로 위협 데이터 비교와 함께 사용하여 차단된 감지된 위협이 실제로 유해한지 확인하는 것이 좋습니다.

빗담의 공부 방법론

BitDam은 2019년 365월 연구를 시작하여 다양한 소스에서 수천 개의 "신선한" 악성 파일 샘플을 수집했습니다. OfficeXNUMX ATP 및 G Suite에 중점을 두었지만 계속 연구가 진행됨에 따라 ProofPoint TAP가 추가될 예정입니다.

프로세스는 다음과 같이 요약할 수 있습니다.

1. 수집 - 연구원들은 수많은 악성 파일 샘플을 얻습니다. 대부분은 Office 및 PDF 파일입니다.
2. 자격 — 샘플을 수집한 후 연구원들은 샘플이 실제로 악의적/해롭다는 것을 확인합니다. 실제로 유해한 파일만 테스트에 사용됩니다.
3. 수정 — 확인된 악성 파일은 보안 시스템에서 새로운 위협으로 볼 수 있도록 수정됩니다. BitDam의 연구원들은 이 수정을 위해 두 가지 방법을 사용했습니다. 한 가지 방법은 무해한 데이터를 추가하여 파일의 해시를 변경하는 것입니다. 다른 방법은 매크로의 정적 서명 수정을 수반했습니다.
4. 보내는 중 — 최근에 수집된 악성 파일과 그 변종(수정된 사본)은 적절한 보호 기능이 있는 것으로 간주되는 사서함으로 전송됩니다. G Suite Enterprise 편지함의 경우 전송 전 모드의 샌드박스를 포함하여 고급 옵션이 활성화됩니다.
5. 모니터링 및 측정 — 그런 다음 사서함을 추적하고 위협 탐지 효율성을 측정합니다. 위협 탐지를 통과한 파일은 처음 30시간 동안(파일이 전송된 후) 20분마다 사서함으로 다시 전송됩니다. 다음 XNUMX시간 동안 재전송 빈도는 XNUMX시간에 한 번으로 줄어듭니다. 앞으로 XNUMX일 동안 재전송 빈도는 XNUMX시간당 XNUMX회로 더욱 줄어듭니다.
6. 데이터 수집 및 분석 — 그런 다음 테스트에서 생성된 모든 세부 정보를 수집하고 검사합니다.

Microsoft 및 Google의 위협 레지스트리에 아직 입력되지 않은 최신 악성코드에 BitDam이 액세스할 수 없기 때문에 수집된 악성 파일을 수정하는 것은 프로세스의 필수적인 부분입니다. 파일은 이메일(Outlook 및 Gmail)을 통해 전송되었습니다. 마이크로소프트와 구글의 보안 시스템은 테스트 이메일을 작성하는 동안 악성 파일 첨부를 즉시 차단했을 것입니다.

연구원들은 Google과 Microsoft가 위협을 완전히 새롭고 알려지지 않은 것으로 간주하도록 수정하는 방법을 성공적으로 고안했습니다. 따라서 첨부 파일을 차단하는 보안 시스템의 기능이 상당히 감소했습니다.

맬웨어 검색을 수행하지 않는 SendGrid와 같은 이메일 서비스를 사용하는 옵션이 있었습니다. 그러나 연구원들은 그들이 사용한 계정이 24시간도 채 안되어 동결되었음을 알게 되었습니다.

결론적으로

다시 말하지만, BitDam은 아직 Microsoft 및 Google의 위협 서명 데이터베이스에 없는 맬웨어를 수집했다고 주장하지 않습니다. BitDam이 테스트를 완료하고 패러다임 전환이 필요하다는 대담한 결론을 내리기 위해서는 몇 가지 문제를 해결해야 했습니다.

연구원들이 테스트를 위해 보낸 이메일에 맬웨어 첨부 파일을 추가했다는 사실은 최소한의 수정만으로도 보안 시스템이 파생 위협을 알 수 없는 것으로 인식하기에 충분하다는 것을 증명합니다. 그런 다음 탐지 효과가 중단되어 첫 만남 실패율이 높아집니다.

알려지지 않은 공격은 주로 대부분의 이메일 보안 솔루션의 데이터 기반 특성으로 인해 심각한 위험을 초래합니다. 모델 기반 전략으로 보안 시스템을 강화해야 탐지가 위협 서명 업데이트에만 의존하지 않습니다.

또한 사람들에게 사이버 보안에 대해 지속적으로 교육하는 것이 중요합니다. 이메일 보안 시스템은 포괄적인 보호 기능을 제공하지 않습니다. 그들은 특히 예측 가능한 암호와 속기 쉬운 사용(피싱 또는 사회 공학의 희생양이 됨)을 사용하여 가능해진 공격 침투를 막을 수 없습니다.

출처: http://feedproxy.google.com/~r/TheHackersNews/~3/cduU3iveAWM/email-security-software.html