차례:
비디오: [ë¤ìë³´ë 맥ìë]ì¤í°ë¸ì¡ì¤ ì(å¼) í리ì í ì´ì ìê³ëª (십월 2024)
새로운 유형의 맬웨어 인 "보이지 않는 맬웨어"가 행진하고 있으며 서버에 부딪히면 할 수있는 일이 많지 않을 수 있습니다. 사실, 그것이 있다는 것을 알지 못할 수도 있습니다. 경우에 따라 보이지 않는 맬웨어는 메모리에만 존재하므로 디스크에 엔드 포인트 보호 소프트웨어가 찾을 수있는 파일이 없습니다. 다른 경우에는 보이지 않는 맬웨어가 BIOS (Basic Input / Output System)에있을 수 있으며, 여기에서 몇 가지 전술 중 하나를 사용하여 공격 할 수 있습니다. 경우에 따라 기존 펌웨어를 감염된 버전으로 바꾸거나 찾기가 거의 불가능한 펌웨어 업데이트로 나타날 수도 있습니다.
레거시 AV 패키지보다 고급 인 EDR 소프트웨어는 공격을 포착하는 데 훨씬 효과적이며이 소프트웨어는 다양한 방법을 사용하여 공격자가 작업중인시기를 결정합니다. Knight는“EDR의 개발로 블랙 햇이 응답하고 커널 루트 키트와 펌웨어 루트 키트를 만들 수 있으며, 하드웨어에서 마스터 부트 레코드에 쓸 수있다”고 말했다.
또한 운영 체제 (OS) 이전에 부팅되어 맬웨어에 대한 가상 머신 (VM)을 생성하여 OS에서 실행되는 소프트웨어에서 감지 할 수없는 가상 루트 키트가 생성되었습니다. 그녀는“그 때문에 잡기가 거의 불가능 해졌다”고 말했다.
Blue Pill Malware 및 기타
다행스럽게도 서버에 가상 루트 키트를 설치하는 것은 여전히 어려운 일입니다.이를 시도하는 공격자는 일반적으로 주정부 후원 공격자로 활동합니다. 또한 최소한 일부 활동을 감지하고 일부를 중지 할 수 있습니다. Knight는 메모리에서만 작동하는 "파일없는 악성 코드"는 실행중인 컴퓨터의 전원을 강제로 차단하여 이길 수 있다고 말합니다.
그러나 Knight는 또한 이러한 멀웨어에는 VM에 자체로드 된 다음 OS에 VM으로로드되는 가상 루트 키트의 형태 인 "Blue Pill 멀웨어"가 포함될 수 있다고 밝혔다. 이렇게하면 종료를 가짜로하고 다시 시작하면서 맬웨어를 계속 실행할 수 있습니다. 이것이 바로 Microsoft Windows 10에서 시스템 종료 선택을 사용할 수없는 이유입니다. 플러그를 당기는 것만 작동합니다.
다행히도 진행중인 다른 유형의 하드웨어 공격이 감지 될 수 있습니다. Knight는 SentinelOne이라는 한 회사가 EDR 패키지를 만들어 가장 효과적이며 때로는 맬웨어가 컴퓨터의 BIOS 또는 펌웨어를 공격하는시기를 감지 할 수 있다고 말했다.
Chris Bates는 SentinelOne의 제품 아키텍처 담당 글로벌 이사입니다. 그는이 제품의 에이전트가 자율적으로 작동하며 필요할 때 다른 엔드 포인트와 정보를 결합 할 수 있다고 말했다. 베이츠는“모든 SentinelOne 에이전트는 컨텍스트를 구축하고있다. 그는 컨텍스트가 구축되는 동안 발생하는 컨텍스트와 이벤트는 악성 코드의 작동을 탐지하는 데 사용할 수있는 스토리를 생성한다고 말했다.
베이츠는 각 엔드 포인트가 멀웨어를 제거하거나 격리 저장소에 배치함으로써 자체적으로 치료를 취할 수 있다고 말했다. 그러나 베이츠는 그의 EDR 패키지가 특히 OS 외부에서 발생할 때 모든 것을 포착 할 수 없다고 말했다. 컴퓨터 부팅 전에 BIOS를 다시 쓰는 USB 썸 드라이브가 그 예입니다.
다음 단계의 준비
이곳은 다음 단계의 준비가 시작된다고 Knight는 설명했다. 그녀는 Intel과 Lockheed Martin의 공동 프로젝트를 지적하여 "Lockheed Martin의 강화 된 보안을위한 인텔 선택 솔루션"이라는 표준 2 세대 Intel Xeon Scalable 프로세서에서 실행되는 강화 된 보안 솔루션을 만들었습니다. 이 새로운 솔루션은 중요한 리소스를 격리하고 해당 리소스를 보호하여 맬웨어 감염을 방지하도록 설계되었습니다.
한편 인텔은 또한 "하드웨어 쉴드 (Hardware Shield)"라는 일련의 하드웨어 예방 조치를 발표했다. 인텔의 비즈니스 클라이언트 플랫폼 부사장 인 스테파니 홀 포드 (Stephanie Hallford)는“이것은 일종의 악성 코드가 주입되면 BIOS가 응답 할 수있는 기술입니다. "일부 버전은 OS와 BIOS간에 통신 할 수 있습니다. OS는 또한 공격에 대응하고 보호 할 수 있습니다."
불행히도 기존 시스템을 보호하기 위해 할 수있는 일은 많지 않습니다. 나이트는 "중요한 서버를 교체해야한다"고 덧붙였다.
나이트는“인텔과 AMD는 공을 잡고 민주화해야한다”고 말했다. "악성 프로그램 작성자가 나아질수록 하드웨어 공급 업체도이를 따라 잡을 수 있어야합니다."
문제는 단지 악화되고있다
불행하게도 Knight는 문제가 더 악화 될 것이라고 말했다. "범죄 용 키트와 맬웨어 키트가 더 쉬워 질 것"이라고 그녀는 말했다.
Knight는 대부분의 회사가 문제를 피할 수있는 유일한 방법은 클라우드 서비스 제공 업체가 이러한 종류의 하드웨어 공격으로부터 더 잘 보호 할 수 있기 때문에 중요한 데이터와 프로세스를 클라우드로 옮기는 것 뿐이라고 덧붙였습니다. "위험을 이전 할 시간이다"라고 그녀는 말했다.
기사는 속도가 빨라지면 중요한 데이터를 보호 할 시간이 거의 없다고 경고했습니다. "이것은 벌레로 변할 것"이라고 그녀는 예측했다. "이것은 일종의 자체 전파 웜이 될 것입니다." 사이버 전쟁의 미래라고 나이트는 말했다. 국가가 후원하는 배우의 영원을 영원히 유지하지는 않을 것입니다.
취해야 할 단계
미래의이 황량한 상황에서 이제 무엇을 할 수 있습니까? 다음은 바로 수행해야 할 몇 가지 초기 단계입니다.
-
- 2019 년 최고의 안티 바이러스 보호 2019 년 최고의 안티 바이러스 보호
- 2019 년을위한 최고의 호스팅 된 엔드 포인트 보호 및 보안 소프트웨어 2019 년을위한 최고의 호스팅 된 엔드 포인트 보호 및 보안 소프트웨어
- 2019 년 최고의 맬웨어 제거 및 보호 소프트웨어 2019 년 최고의 맬웨어 제거 및 보호 소프트웨어
감염된 엄지 드라이브를 서버 중 하나에 꽂지 않는 직원이되지 않도록 보안 보안을 철저히 유지하십시오.
SentinelOne과 같은 효과적인 EDR 소프트웨어가없는 경우 지금 구입하십시오.
하드웨어 취약성 및 데이터를 이용하는 악용으로부터 데이터가 보호되는 시스템으로 데이터가있는 서버를 업그레이드하는 동안 중요한 데이터를 식별하고 암호화를 통해 데이터를 보호하십시오.
중요한 데이터를 내부에 보관해야하는 경우 해당 데이터가 포함 된 서버를 클라이언트 용 Hardware Shield 및 서버용 Lockheed Martin의 보안 강화를위한 Intel Select 솔루션과 같은 하드웨어 기술을 사용하는 플랫폼으로 교체하십시오.
가능하면 보호 된 프로세서를 사용하여 중요한 데이터를 클라우드 제공 업체로 이동하십시오.
실제 보안이 서버 및 네트워크의 나머지 엔드 포인트를 보호 할 수있을 정도로 강력해야합니다. 이 모든 것이 보안이 무기 경쟁 인 것처럼 보이면, 당신은 맞을 것입니다.
