2022년과 2023년의 데이터 유출 보고 통계는 사이버 보안 산업이 "인적 요소"에 대해 더 많은 작업을 수행해야 함을 보여줍니다. 공격자는 도난당한 자격 증명, 권한 남용, 사람의 실수, 정교한 사회 공학, 비즈니스 이메일 사기(BEC)를 악용하고 있습니다. 모든 사이버 보안 공급업체는 고객이 요구하는 가치를 제공하기 위해 ID, 권한 있는 액세스 및 엔드포인트 보안을 개선하기 위한 노력을 강화해야 합니다. 조직은 보안 교육에 안주할 수 없으며 강력한 방어 기준을 만들기 위한 조치를 취해야 합니다.
사이버 보안 업계에서 가장 권위 있는 보고서 중 하나인 Verizon 2023 DBIR(Data Breach Investigations Report)은 보안 업계의 주요 추세와 과제를 보여줍니다. 업계에서 가장 반성해야 할 것 중 하나는 기업의 네트워크 보안 지출이 증가했지만 네트워크 보안의 발전 속도가 공격자의 속도를 따라가지 못하고 데이터 유출(손실)이 완화되지 않았지만 더 심각해졌습니다.
사이버 보안 전문가인 John Kindwager는 모든 공격 표면을 동시에 보호하려고 노력하는 대신 기업이 반복적인 접근 방식을 선택하여 기본 사이버 보안 위생을 대규모로 획득하고 점진적으로 제로 트러스트를 구현하여 한 번에 하나의 공격 표면을 보호할 것을 조언합니다. 장치 수준의 투자 자금을 조달하기 위한 보드 없이도 제로 트러스트를 확장할 수 있는 입증된 방법입니다.
다음은 DBIR의 2023년 데이터 유출 보고서의 상위 10개 조사 결과입니다.
1. 데이터 유출의 83%는 금전적 이익을 추구하는 외부 공격자에 의해 시작됩니다. 데이터 유출 10건 중 8건은 조직 범죄 조직이며, 공격의 95%는 금전적 이익을 위한 것이며 일반적으로 민감한 고객 데이터의 절도와 관련이 있으며 랜섬웨어는 선택한 무기입니다.
금융 서비스 및 제조업은 고객을 유지하고 생존하기 위해 제 시간에 제품과 서비스를 제공해야 하기 때문에 공격자에게 최고의 선택입니다. 사람은 주요 초기 공격 표면이며 사람에 대한 사회 공학 공격과 결합하는 것이 가장 일반적인 초기 공격 전술입니다.
2. 데이터 유출의 84%는 사람을 공격 벡터로 사용하는 사회 공학 및 BEC 전술을 활용합니다. 최근 두 건의 Verizon DBIR 보고서에 따르면 많은 데이터 유출은 인적 오류와 관련이 있으며, 데이터 유출의 원인으로 인적 오류가 빠르게 증가하고 있습니다. 2023년 보고서에 따르면 모든 데이터 유출의 74%가 인적 오류, 사회 공학 또는 오용으로 시작됩니다. 작년 보고서에서는 그 수치가 82%로 더 높아졌습니다. 2021년 DBIR 보고서에서 (성공한) 데이터 유출의 35%만이 사람의 실수로 시작되었습니다.
3. 데이터 유출 5건 중 1건(19%)은 내부에서 발생합니다. 내부자 공격은 이러한 데이터 유출을 식별하고 중지하는 것이 매우 어렵기 때문에 CISO에게는 악몽입니다. 그렇기 때문에 "내부자 위협 완화"는 AI 및 머신 러닝 기술을 사용하는 주요 보안 공급업체의 로드맵에 포함되는 경우가 많습니다. Booz Allen Hamilton은 데이터 그리드 아키텍처와 기계 학습 알고리즘을 사용하여 의심스러운 네트워크 활동을 감지, 모니터링 및 대응합니다. Proofpoint는 인공 지능과 기계 학습을 적용하여 내부자 위협을 탐지하는 또 다른 공급업체입니다. Proofpoint의 ObserveIT는 사용자 활동에 대한 실시간 경고 및 실행 가능한 통찰력을 제공합니다.
넷째, 일부 공급업체는 내부자 위협에 대한 플랫폼의 방어를 강화하기 위해 회사를 탐색하거나 인수하고 있습니다. 예를 들어 CrowdStrike는 작년에 Reposify 인수를 발표했습니다. Reposify의 제품은 네트워크를 스캔하여 조직이 노출된 자산을 발견하고 필요한 수정 조치를 정의하도록 돕습니다. CrowdStrike는 Reposify의 기술을 CrowdStrike 플랫폼에 통합하여 고객이 내부자 공격을 중지하도록 도울 계획입니다.
5. 시스템 침입, 기본 웹 애플리케이션 공격 및 사회 공학이 주요 공격 전략입니다. 2년 전인 2021년 DBIR 보고서에서는 기본 웹 애플리케이션 공격이 데이터 유출의 39%를 차지했으며, 그 중 89%는 금전적 동기가 있었습니다. 피싱과 BEC도 같은 해에 만연했으며 95%가 금전적 동기를 갖고 있었습니다. 이와는 대조적으로 2023년 DBIR 보고서는 시스템 침입, 기본 웹 애플리케이션 공격 및 사회 공학 공격이 데이터 유출의 77%를 차지했으며 대부분 금전적 동기가 있었다고 밝혔습니다.
웹 애플리케이션 공격은 계속 증가하고 있습니다. 즉, 기업은 제로 트러스트 기반 웹 애플리케이션 보안을 보다 효과적으로 채택하고 전사적으로 네트워크 액세스를 보호해야 합니다. 이 분야의 주요 공급업체로는 Broadcom/Symantec, Cloudflare, Ericom, Forcepoint, iboss, Menlo Security, MacAfee, NetSkope, Zscaler 등이 있습니다. 이러한 공급업체는 사용자 액세스를 보호하는 ZTNA 솔루션과 애플리케이션의 공격 표면을 보호하는 웹 애플리케이션 방화벽(WAF)을 제공합니다. 예를 들어, Ericom의 격리 기반 ZTNA는 엔터프라이즈 웹 및 SaaS 애플리케이션에 대한 액세스를 보호하고 공개 애플리케이션 표면을 공격으로부터 보호하며 BYOD 및 타사 비관리 장치 터미널 옵션을 통해 클라이언트리스 액세스에 대해 입증된 보호 기능을 제공합니다.
시스템 침입은 정교한 공격자가 맬웨어를 사용하여 비즈니스를 방해하고 랜섬웨어를 전달하는 데 사용하는 일반적인 공격 전술입니다. 작년 DBIR 보고서는 시스템 침입을 최고의 보안 이벤트 범주로 표시했으며, 2021년에는 기본 웹 애플리케이션 공격이라는 최고의 이벤트 범주를 대체합니다.
공격자는 시스템 침입을 목표로 피싱, 훔친 자격 증명, 백도어, 악용 등 다양한 기술을 사용하여 공격을 계획하고 조직의 환경과 노드를 통과하며 랜섬웨어로 네트워크와 시스템을 감염시킵니다.
6. 사회 공학 공격의 정교함이 빠르게 증가하고 있습니다. 올해의 DBIR 보고서는 사회 공학 공격의 수익성과 오늘날의 공격 벡터가 얼마나 정교한지를 강조합니다. BEC는 전체 사고 데이터 세트에서 거의 두 배로 증가하여 사회 공학 사고의 50% 이상을 차지합니다. 이와는 대조적으로 2022년 DBIR 보고서에서는 소셜 엔지니어링 공격이 데이터 유출의 25%에만 관련되어 있음을 발견했습니다. 2021년 DBIR 보고서에서 BEC는 사회 공학의 두 번째로 흔한 유형이었습니다.
7. 2023년 데이터 유출의 95%는 언론이 과장하는 국가 스파이 활동이 아니라 경제적인 이유 때문일 것입니다. 금전적 동기가 있는 사이버 공격의 비율은 공격자가 계속해서 사회 공학 기술을 연마함에 따라 계속 증가하고 있습니다. 이전 DBIR 보고서의 추세 데이터에 따르면 금전적 이득이 전직 직원의 기업 스파이 또는 보복 공격의 주요 동기가 되고 있습니다. 2022년 DBIR 보고서에 따르면 공격자의 90%가 금전적 이익을 위해 동기를 부여했으며 이는 2021년의 85%에서 증가한 것입니다.
금전적 동기가 급증한 이유는 잠재적인 랜섬웨어 보상이 높을 뿐만 아니라 성공 확률이 더 높은 여러 공격 전략 때문일 수 있습니다.
8. 지난 2년 동안 랜섬웨어 공격으로 인한 평균 손실은 두 배 이상 증가한 26,000달러였으며, 사고의 95%는 10,000~225만 달러의 손실을 초래했습니다. 랜섬웨어 랜섬 "수입"은 더 많은 공격자가 비즈니스 중단 시간에 많은 비용이 드는 산업을 목표로 함에 따라 계속해서 새로운 기록을 세울 것입니다. 2023년 DBIR 보고서에 명시된 바와 같이 금융 서비스와 제조업은 현재 가장 큰 타격을 입은 산업입니다.
FBI 데이터를 인용한 2021년 DBIR 보고서에 따르면 랜섬웨어 지급액 중앙값은 11,150달러였습니다. 랜섬웨어에 대한 평균 몸값 지급액은 2018년 4,300달러에서 2020년 8,100달러로 증가했습니다. 그 결과 랜섬웨어로 인한 평균 몸값 지불액이 5년 동안 3배로 증가했습니다.
올해 데이터 유출의 24%는 랜섬웨어와 관련이 있었으며, 주요 공격 전략으로 장기적으로 상승세를 유지할 것입니다.
9. Log4j 취약점 스캔의 32% 이상이 취약점 공개 후 30일 이내에 발생했습니다. 2023년 DBIR 보고서에 따르면 공격자의 익스플로잇은 취약점이 발견된 후 평균 17일에 최고조에 달했습니다. Log4j 취약점 스캔의 32% 이상이 취약점 공개 후 30일 이내에 발생했습니다. 이는 조직이 새로운 위협에 더 빠르게 대응하고 고위험 취약점이 발견되면 모든 소프트웨어 및 시스템 보안 패치 적용을 포함하여 시스템 패치 및 업데이트의 우선 순위를 지정해야 함을 나타냅니다.
10. 금융 및 보험 업계의 데이터 유출 사고 중 74%가 개인 데이터 유출과 관련되어 있으며 이는 다른 모든 산업보다 훨씬 앞서 있습니다. 대조적으로, 다른 산업에서는 개인 데이터 유출이 훨씬 적었습니다. 숙박 및 음식 서비스 산업의 데이터 유출 중 34%가 개인 데이터 유출과 관련되었습니다. 그러나 교육서비스업은 개인정보 유출의 56%를 차지해 금융업에 이어 2위를 기록했다.