2020년 3월 10일에 오래간만에 촬영한 한국어 웨비나입니다. Cloudflare는 네트워크 보안을 많이 다루는데, 네트워크 보안 관련 위협이 되는 직간접적인 요소들을 짚어보고, 이런 요소들로 인해 비즈니스에 어떤 구체적인 위협들이 있는지, 공격자가 어떤 식으로 공격을 실행하는지, 그 후 보안 솔루션으로서 Cloudflare가 소개된 공격들을 막을 수 있도록 어떤 방법들을 구비하고 있는지를 설명했습니다.
10. 보안 위험 노출을 높이는 요소
데이터, 개인정보 및 보안 관련
정부 및 미디어에 의해
실시되는 더 엄격한 정밀 조사
더 많은 공개 API에서 공격에 대한
취약성 영역 증가, 클라우드로 이동
및 타사 통합 증가
보다 강력하고 정교한 공격자
11. 고객의 보안 위협
시스템
DDoS 공격
공격 트래픽이 가용성 또는
성능에 영향을 줍니다.
봇
악의적인 봇이 사이트나
애플리케이션을 악용하지 못하게
막습니다.
웹페이지
취약한 애플리케이션 및
API
취약성을 악용하는 멀티벡터 공격
12. 볼륨 DNS 플러딩
봇
DNS 서버
DNS 서버 서버
증폭(계층 3 및 4)
HTTP 플러딩(계층 7)
1
2
봇
3
봇
애플리케이션, 웹사이트, API의 가용성과 성능을 떨어뜨립니다.
HTTP
애플리케이션
애플리케이션/로그
인
DDoS 공격 트래픽 유형
심
층
13. 기하급수적으로 커지는 DDoS 공격 규모
기존 DDoS 보호 방법을 효과적으로 우회하는 정교한
Layer 7 DDoS 공격이 증가하고 있습니다.
14. IoT 공격 - 새로운 현실
2016년 IoT 카메라로 구성된 봇넷
군대와 대규모 공격이 DNS 서비스
공급자를 무너트렸습니다.
지난 몇 주 동안 DDoS 공격이 새로운
대규모 방법으로 전환하여 웹
애플리케이션을 중단시켰습니다.
Brian Krebs에 대한 대규모 공격에
사용된 IoT 봇넷(예: Mirai와 관계)에서
시작된 것으로 보입니다.
50Gbps 최대 1Tbps
15. 애플리케이션 및 API 취약성
가짜 웹사이트
방문자
1DNS 스푸핑
악의적인 페이로드
예: PII과 자격 증명을 반출하는
SQLi
3
공격자
봇 무차별 암호 대입
공격
4
데이터 스누핑
2
16. 봇 공격 유형
자격 증명 스터핑
계정을 차지하여 사이트를
악용하거나, 사기 거래를
실행하거나, 민감한
데이터를 훔치거나, 개인
정보를 훼손합니다.
콘텐츠 스크래핑
가격이나 귀중한 SEO 콘텐츠 같은
웹사이트의 공개 정보를
훔칩니다.
제품 재판매봇
봇
재고 사재기
봇이 자동으로 재고를 구입하여
재판매하거나 고객이 접근하지
못하게 막습니다.
봇
도난된 콘텐츠를
가진 웹사이트
17. 고객 신뢰 추락 및
브랜드 가치 저하
사이트 가동 중단으로 인한
손실 또는 악성 트래픽으로 인한
비용 증가
비즈니스 영향 비즈니스 영향
● 10만 달러: 인프라 장애로
인한 시간당 평균 비용
● 141달러: 민감 및 기밀
정보가 포함된 분실 또는
도난 기록의 평균 비용
● 362만 달러: 데이터
침해로 인한 총 평균 비용
비용 분류:
수정 비용(하드웨어, 서비스, 소프트웨어), 수익 손실, 고객 이탈로 인한 미래 수익 손실, 마케팅 비용
낭비, 부정적인 브랜드 영향, 헬프 데스크 비용, IT 직원 비용 증가, 사용자 생산성 손실
2015년 3월 IDC 및 2017년 6월 Ponemon Institute
18. Cloudflare DDoS 솔루션
가용성 문제를 처리하는 확장성과 사용 편리성을 갖춘 고성능 솔루션
온라인 상태 유지
180개가 넘는 데이터
센터를 운영하고 Global
Anycast Network에서
고도로 분산된 공격
트래픽을 흡수하여 고객의
온라인 상태 유지
원본 인프라 보호
에지에서 볼류메트릭 공격 탐지 및 차단:
계층 3 및 4,
DNS, 계층 7
비정상적인 트래픽 식별
자동 완화 규칙을 사용하여 알려진
봇넷 및 신종 봇넷으로부터
사이트를 보호하기 위해 HTTP 요청
지문화
제어로 애플리케이션 보호
Rate Limiting을 통해 세밀한
제어가 가능하여 감지하기
어려운 애플리케이션 계층의
공격 차단
원본 서버
DDoS 공격
공격 예측
2500만 개 이상 웹사이트에서
인텔리전스를 공유하여
알려진 악성 시그니처 사전 차단
원본 서버 공격 차단
원본 서버와 Cloudflare의 가장
가까운 데이터 센터 간에 암호화된
직접 트래픽 터널을 구축하여 표적
공격으로부터 원본 웹 서버를
보호하는 Argo Tunnel
19. 기존 스크러빙 솔루션과 Cloudflare Always-On 비교
19
기존 스크러빙 솔루션
- 긴 전파 시간(최대 300초)
- 비동기식 라우팅
- 대기 시간 대폭 증가
- 일반적으로 수동 개입 필요
Always-On
- 전파 시간 없음
- 동기식 라우팅
- 대기 시간 추가 없음
- “컷 오버” 없이 즉시 자동 완화
20. 애플리케이션 보호용 Cloudflare 솔루션
공격
DNS 응답을 위조하여
고객 자격 증명을 가로채려는 공격자
고객이 입력한 암호화되지 않은
민감한 데이터 스누핑
로그인 페이지에 대한 무차별
대입 공격
양식 및 API를 통한 악의적인
페이로드 삽입
복원력이 있는 DNS 및
DNSSEC를 통해 위조된 응답
방지
SSL/TLS 블록 스누핑을 통한
암호화
Rate Limiting을 통한
로그인 보호
WAF를 통한 상위 OWASP 및 신종
애플리케이션 수준 공격 차단
● 정교한 공격자를 막아내는
계층형 방어
● 더욱 강력하고 민첩한 보안
정책을 위한 단일 컨트롤
플레인
● 고객 안전을 위해 6백만 개
웹사이트에서 확보한 공격
프로필 학습
1.
2.
3.
4.
CLOUDFLARE
솔루션
22. Cloudflare 차세대 봇 관리
원클릭 배포
● 클릭 한 번으로 Cloudflare가 추천하는 봇 스코어 임계값을 가진 규칙을 배포하세요.
● 타사 JavaScript를 필요로 하는 장비가 없습니다.
제어 및 구성
● 경로 또는 URI 패턴별 범위 규칙, 요청 방법, 봇 스코어 임계값
● 로그, CAPTCHA 또는 차단 같은 완화 방법 선택
풍부한 분석 및 로그
● 드릴다운 테이블을 갖춘 시계열 그래프
● 봇 관리 규칙, 작업, 모든 요청에 대한 풍부한 요청 메타데이터 기록
2000만 개가 넘는 인터넷 자산의 인텔리전스를 활용하여 불량 봇을 탐지하고 완화하세요. 이 모든 것이
클릭 한 번으로 가능합니다.
23. Cloudflare 봇 관리 방법
머신 러닝
Cloudflare의 머신 러닝은
2000만 개 이상 인터넷 자산에서
매일 4250억 개의 다양한 요청을
학습하여 모든 요청에 대해 신뢰할 수
있는 “봇 스코어”를 만듭니다.
행동 분석
행동 분석을 적용하여 사이트별
트래픽에 존재하는 이상 징후를
탐지하고 모든 요청이 기준선과
얼마나 다른지 점수를 부여합니다.
자동 화이트리스트
모든 봇이 악성은 아니기 때문에
이 솔루션은 “좋은” 봇(예: 검색
엔진에 속한 봇)에 관한
화이트리스트를 자동으로 유지
관리하고 업데이트합니다.
모바일 SDK
모바일 SDK는 가장 및
에뮬레이션 봇의 모바일
애플리케이션 API 공격을
차단합니다.
23
감지 보호
25. Cloudflare Access
Cloudflare Access 는 내부 직원용 어플리케이션에 대한 안전한 외부접속을 돕는 원스톱 솔루션입니다.
Cloudflare는 COVID-19 관련 중소기업의 원격 근무 환경 구축을 지원하고 있습니다:
https://www.cloudflare.com/smallbusiness/