미끼에 걸려들지 마세요: 자동화된 피싱 공격 조사 및 대응

보안 자동화가 피싱 경고를 분류하여 더 빠른 대응을 돕는 방법을 알아보세요.

피싱은 여전히 위험할 정도로 효과적인 공격 방법입니다. 대략적으로 91%의 성공적인 공격은 피싱으로 시작됩니다.. 평균적으로, 발송된 피싱 이메일 중 30%개가 열리고 조회되었습니다.. 이메일을 작성하고 보내는 데 드는 비용과 노력이 극히 미미하다는 점을 고려하면, 이 방법이 계속해서 인기를 끄는 것도 당연하다. 공격자들에게는.

피싱 시도를 알아차리기가 점점 더 어려워지고 있습니다. 피싱 이메일을 보내는 공격자는 악성 첨부 파일이나 링크가 클릭될 확률이 10%에서 15% 사이라고 예상할 수 있습니다. 일부 회사에서.

피싱 자동화 시스템이 없다면 분석가는 탐지 시스템을 통하거나 사용자의 알림을 통해 잠재적으로 악의적인 이메일을 수동으로 수신해야 합니다. 그런 다음 분석가는 이메일을 검토하고 세부 정보를 수동으로 추출하여 유효성을 검증해야 합니다.

이는 이메일의 모든 부분(헤더, 본문 등)을 자세히 살펴보고 잠재적인 침해 지표(IOC)가 될 수 있는 모든 요소를 식별하는 것을 의미합니다. IOC의 위험도를 판단하기 위해 분석가는 다양한 시스템에 접근해야 합니다. 위협 정보 그리고 농축 소스를 확인해야 합니다. 일반적으로 IOC를 조사하고 위험도를 판단하기 위해 추가 창이나 브라우저 탭에 정보를 복사하여 붙여넣어야 합니다.

이러한 단계는 지루하고, 시간이 많이 걸리고, 단조롭고, 반복적이며, 실수하기 쉽습니다. 대응 및 시정 조치를 실행하면 잠재적인 피싱 메시지 하나를 처리하는 전체 작업에 더 많은 단계와 시간이 추가됩니다.

이 글에서는 다음 내용을 배우게 됩니다.

피싱이란 무엇인가요?

피싱은 다양한 방법을 사용하여 피해자를 속여 개인 정보나 사업 정보를 유출하도록 유도하는 사회공학적 사이버 공격의 일종입니다. 악의적인 공격자는 이메일, 문자 메시지, 전화, 음성 메일, 앱 내 메시지 등을 이용하여 피해자를 표적으로 삼습니다. 마치 낚싯바늘의 미끼처럼, 피싱 시도는 종종 합법적인 기업이나 기관에서 보낸 메시지로 위장합니다.

가장 흔한 피싱 유형은 다음과 같습니다.

• 이메일 피싱피싱 공격의 가장 흔한 유형입니다. 피싱 이메일은 가짜 도메인에서 발송될 수 있으며, 가짜 도메인으로 연결되는 악성 링크를 포함하는 경우가 많습니다.

• 스피어 피싱개인 맞춤형 피싱의 한 형태입니다. 악의적인 공격자는 피해자를 속이기 위해 이름, 직책, 회사, 이메일 주소 등을 사용합니다.

• 구타: 이는 귀사 고위 임원을 사칭하는 공격 방식입니다. 흔히 CEO가 보낸 것처럼 위장하여 돈을 송금하거나 개인 정보를 공유해달라고 요청하는 긴급 이메일을 보내는 경우가 많습니다.

• 스미싱과 비싱피싱 공격은 문자 메시지와 음성 메일을 이용해 피해자를 유인하는 방식입니다. 이러한 유형의 피싱은 보안팀이 피해가 발생하기 전에 탐지하기가 특히 어렵습니다.

피싱 사기는 다음과 같은 형태를 띨 수 있습니다. 이러한 이메일은 의심하지 않는 대상에게 개별적으로 전송되기도 하지만, 대개는 대량으로 전송되어 대상을 적절한 시점에 유인하는 데 성공할 확률을 높입니다. 즉, 대상이 링크를 클릭할 가능성이 가장 높은 시점에 전송하는 것입니다.

피싱 공격의 빈도가 너무 높아져 보안팀이 수동으로 대응하기 어려워졌다는 것은 쉽게 알 수 있습니다.

보안팀의 문제점: 너무 많은 경고

특히 피싱은 다른 어떤 공격보다 더 많은 경고를 발생시킬 수 있습니다. 사이버 공격 유형 단순히 피싱 공격이 워낙 만연한 문제이기 때문입니다. 피싱은 가장 오래된 사이버 공격 유형 중 하나이며, 시간이 지남에 따라 매우 정교해졌습니다. 조직은 잠재적인 피싱 공격을 관리할 때 다음과 같은 여러 문제에 직면합니다.

• 매일 수백만 건의 피싱 이메일이 발송됩니다.

• 조사를 위해서는 여러 보안 플랫폼 간의 분석이 필요합니다.

• 피싱 이메일 하나를 수동으로 분류하는 데 평균 27분이 소요됩니다.

• 많은 조직들이 매일 발생하는 엄청난 양의 피싱 경고를 조사하는 데 필요한 인력이 부족합니다.

• 똥평균 해결 시간(MTTR)이 증가하면 위험과 잠재적 손해가 커집니다.

 2021년 피싱 공격의 표적이 된 조직의 수는 281개 증가했습니다.

자동화된 피싱 경고 분류 도구

보안 운영 센터(SOC) 분석가가 모든 피싱 시도를 수동으로 분류하기에는 하루 시간이 부족합니다. 이러한 문제를 해결하기 위해 보안 책임자들은 다음과 같은 방안을 고려하고 있습니다. 의존하다 피싱 경고를 더 빠르게 분류하는 보안 도구에 대해 알아보겠습니다. 보안 자동화 도구를 사용하면 피싱 공격 조사를 자동화하여 보안을 크게 향상시키고 조직을 보호할 수 있습니다.

SOAR를 이용한 자동화된 조사

보안 오케스트레이션, 자동화 및 대응 (SOAR) 플랫폼은 일반적으로 피싱 의심 이메일을 조사하고 격리하는 프로세스를 자동화하는 데 사용됩니다. SOAR 플랫폼은 꼭 필요한 경우가 아니면 사람의 개입을 최소화합니다. 피싱 관련 반복적이고 지루한 작업을 자동화함으로써 SOC 분석가가 받는 경고 수를 줄여 더 심각한 위협에 집중할 수 있도록 합니다.

피싱 의심 이메일로 인해 경고가 발생하면 SOAR 기술은 사용자가 이메일을 열지 못하도록 받은 편지함에서 해당 피싱 의심 이메일을 자동으로 추출합니다. 그런 다음 IP 주소와 URL을 추출하여 위협 인텔리전스 도구를 사용하여 분석합니다.

알려진 악성 피싱 공격으로 의심되는 경우, IT 티켓이 자동으로 생성되고 엔드포인트가 격리되며 악성 파일이 포함된 시스템 내 모든 이메일이 삭제됩니다. 위협의 유형을 알 수 없는 경우, 첨부 파일은 먼저 샌드박스 검사를 거칩니다. 악성 파일로 판명되면 동일한 절차에 따라 격리 및 삭제됩니다.

아래에서 Swimlane을 이용한 피싱 자동화의 작동 방식을 확인하세요.

 

로우코드 보안 자동화의 이점

로우코드 보안 자동화 기존 SOAR 솔루션의 기능을 확장하여 더욱 빠르고 유연한 피싱 자동화를 제공합니다. 로우코드 보안 자동화를 활용하여 피싱 공격에 대응함으로써 보안 팀은 평균 복구 시간(MTTR)을 단축하고 모든 위협을 머신 속도로 처리할 수 있습니다.

자동화를 통해 조직 전체의 사고 대응 프로세스가 더욱 명확하게 정의되고 일관되게 실행됩니다. 이는 인적 오류 가능성을 줄이고, 조직에 새로운 피싱 방지 기술이 도입될 때 워크플로를 수정할 수 있도록 합니다. 또한, 사고 보고서가 자동으로 생성되므로 분석가는 피싱 공격의 규모를 파악하는 데 시간을 낭비하지 않고도 문제 해결에 필요한 시스템과 단계를 수동으로 검토할 필요가 없습니다.

스윔레인을 활용한 로우코드 보안 자동화

스윔레인 터빈 기존 보안 솔루션과 도구를 중앙 집중식 플랫폼에 통합하여 사고 대응을 간소화합니다. 강력한 데이터 통합 및 사용자 친화적인 플레이북 구축 기능을 통해 도메인 전문가가 자동화 구축 전문가로 거듭날 수 있습니다. 의심스러운 피싱 이메일의 조사 및 격리를 자동화할 뿐만 아니라 조직에 다음과 같은 도움을 제공합니다.

• 보안 데이터를 대시보드에 통합하여 더욱 쉽게 보고서를 확인할 수 있도록 합니다.

• 사고 대응 프로세스를 표준화합니다.

• 기업 전반의 보안 관련 업무를 추적합니다.

• MTTD 및 MTTR을 줄입니다.

• 위협의 우선순위를 정하여 모든 경고를 철저히 조사할 수 있도록 하십시오.

• 다양한 프로세스와 워크플로우를 자동화합니다.

• 보안 성능 향상

자동화된 피싱 조사 및 대응은 로우코드 보안 자동화의 시작일 뿐입니다.