Asher de Metz 는 슈퍼마켓 정문을 통해 걸어갔습니다. 재사용할 수 있는 쇼핑백 대신에 그의 옆에는 별도의 노트북 가방이 매달려 있었습니다. De Metz는 식료품을 쇼핑하지 않았습니다. 이것은 침입이었습니다. 그러나 아보카도 를 살피는 쇼핑객이나 신용카드를 긁는 계산원 모두 자신이 공격을 받고 있다는 사실을 깨닫지 못했습니다.
De Metz는 가게를 둘러보다가 컴퓨터 앞에 사람들이 줄지어 있는 방을 발견했습니다. 훈련 세션이었습니다. 혼합하기에 완벽한 장소입니다. 그래서 그는 앉아서 기계를 납치했습니다 .
드 메츠는 "방금 들어가서 컴퓨터 중 하나의 뒷면에서 케이블을 뽑고 랩톱에 꽂았습니다."라고 말합니다. "잠시 동안 해킹을 하다가 그 방에서 시스템과 데이터베이스에 매우 빠르게 액세스할 수 있었습니다."
'해커'의 뜨거운 추격 속에서
얼마 지나지 않아 트레이너가 드 메츠에게 다가갔습니다. 그녀는 예의 바르지만 그에 대해 확신이 서지 않았습니다. "저는 본사에서 왔습니다." 업데이트를 설치하기 위해 de Metz가 설명했습니다. 그 이야기는 그녀를 몇 분 동안 진정시켰지만 그녀는 상사에게 반복해서 말하기로 결정했습니다.
그 때 de Metz는 나갈 시간이라고 생각했습니다. "나는 모든 것을 닫고 떠나기 시작했습니다."라고 de Metz는 회상하지만 트레이너는 그의 꼬리에 뜨거웠습니다. "계단을 탔는데 불행히도 문을 밀고 나가자 알람이 울렸습니다."
추적은 계속해서 울리는 보안 경보음과 트레이너가 가게를 가로질러 울면서 "저 사람이야! 저 사람이야!" 다른 슈퍼마켓 직원이 de Metz에게 접근했지만 de Metz는 준비되어 있었습니다. 그는 조작된 작업 지시서가 있는 마닐라 폴더를 가지고 있었습니다.
그는 회사에서 왔으며 상점 시스템에 심각한 해킹 이 있었다고 말했습니다 . "어젯밤에 네트워크에 침해가 있다는 사실을 알고 계셨습니까? 수백만 명이 도난당했습니다." "아니요." 감독관이 말했다. "나는 아무 생각이 없었다." 두 사람은 심각한 사이버 보안 위반으로 인한 문제를 피하기 위해 그날 오후 늦게 전화하기로 합의했습니다.
슈퍼마켓 매니저에 대한 de Metz의 이야기 중 일부는 사실이었습니다. 그는 슈퍼마켓에서 일하도록 고용되었습니다. 슈퍼마켓의 지도력 덕분입니다. 그러나 일어난 유일한 해킹은 de Metz가 직접 한 것으로 그는 한 푼도 훔치지 않았습니다. 그는 슈퍼마켓 시스템을 얼마나 해킹할 수 있는지 알아 보기 위해 고용되었습니다 . 그리고 이 경우 그는 멀었다. 이제 그는 직원과 고객 모두에게 보안을 보다 효과적이고 안전하게 만드는 방법에 대해 경영진과 공유할 유용한 정보를 얻었습니다.
기업이 해킹에 비용을 지불하는 이유
De Metz는 글로벌 IT 서비스 관리 회사인 Sungard Availability Services 의 보안 컨설팅 선임 관리자 입니다. 그는 침투 테스터로 20년 이상의 경험을 가지고 있으며 영국, 유럽, 중동 및 북미 전역의 세계 최대 기업에 귀중한 조언을 제공했습니다.
"기업이 침투 테스트를 하는 이유는 무엇을 모르는지 모르기 때문입니다. 패키지를 설치하고 시스템을 보호하려고 노력하는 훌륭한 내부 IT 또는 보안 팀이 있을 수 있지만 거기에 파고들어 그들이 할 수 없어야 할 일을 하는 해커가 있습니다. 사람들이 놓친 위험을 찾기 위해 회사는 위험이 무엇인지 모릅니다."
De Metz의 목표는 모든 규모의 기업에 증가하는 위협인 악당 보다 먼저 취약점을 찾는 것입니다. IBM 보안이 후원하는 2017년 데이터 유출 비용 연구 에 따르면 중소기업의 60%가 매년 공격을 받고 있습니다. 더 나쁜 것은 이러한 기업의 60%가 공격 후 6개월 이내에 문을 닫는다는 것입니다. 단일 침해로 인한 전 세계 평균 비용은 362만 달러입니다.
하지만 소식은 더 나빠진다. Check Point Software Technologies의 조사에 따르면 2021년 첫 6개월 동안 "몸값"이 지불될 때까지 네트워크 액세스를 차단하는 악성 소프트웨어가 설치된 랜섬웨어 공격의 영향을 받는 기업의 수가 2020년에 비해 두 배 이상 증가 했습니다. . FireEye의 Mandiant M-Trends 2021 보고서에 따르면 2019년 10월 1일에서 2020년 9월 30일 사이에 회사 데이터가 도난당한 800건의 강탈 시도가 있었습니다.
판돈이 매우 높다
그렇기 때문에 점점 더 많은 조직에서 화이트 햇 해커 (20세기 중반 서부 영화 상징주의에 대한 문자 그대로 모자 팁 )라고도 하는 침투 테스터를 고용 하여 의도적으로 시스템에 침입하기 위해 de Metz와 같은 직원을 고용하고 있습니다.
"이것은 보험 정책과 같습니다. 기업이 지금 보안에 돈을 쓴다면 위반 시 비용이 들게 될 천만 달러 또는 1억 달러를 절약할 수 있습니다."라고 de Metz는 설명합니다. "예를 들어, 랜섬웨어를 평가하고 스스로 예방 접종을 하면 회사에서 수개월 동안 골치 아픈 일을 겪을 수 있고 사업을 할 수 없어 수익을 잃을 수 있습니다."
조직이 해킹에 비용을 지불하는 또 다른 이유는 더 강력한 규제 표준을 충족하는지 확인하기 위해서입니다. 의료, 금융 기관 및 정부 기관 은 해킹이 점점 더 보편화되고 더 많은 비용이 들게 됨에 따라 연방, 주 및 산업 사이버 보안 규정 을 준수해야 합니다.
사이버 보안은 물리적 및 기술적
사람들은 해킹을 생각할 때 일반적으로 엄마의 어두운 지하실에서 안전하게 회사의 개인 데이터를 공격하는 고독한 레인저를 생각합니다. 그러나 침투 테스터는 조직의 보안 프로그램의 물리적 및 기술적 측면을 모두 살펴보고 조직 내부에서 해킹합니다.
de Metz는 "기업은 자세의 약점의 일부일 수 있는 어떤 것도 테이블 위에 놓고 싶어하지 않습니다."라고 말합니다. "물리적 통제를 테스트합니다. 건물에 접근할 수 있고, 보안을 통과하고, 뒷문을 통과할 수 있습니까? 실제 파일에 접근할 수 있습니까? 회사가 신용 카드나 상품권을 인쇄하는 영역에 들어갈 수 있습니까?" 이는 네트워크 또는 민감한 데이터에 액세스하는 것과 같은 기술적 측면 외에도 de Metz가 지적한 중요하고 물리적인 것입니다.
그는 직원 교육 프로그램에 대한 권장 사항과 같은 조언도 제공하므로 그가 만난 감독자와 같은 사람들이 건물에 있어야 하는 사람들을 확인하는 방법을 알 수 있습니다. 또는 누군가를 알아보지 못하면 어떻게 해야 할까요? "우리는 이 일을 하는 것이 즐겁지만 고객에게 많은 가치를 제공합니다."
침투 테스트 작동 방식
침투 테스터는 기술에 대한 자세한 지식이 있어야 하며, 이는 단순한 멋진 도구가 아니라 경험과 함께 제공됩니다. "침투 테스트는 기술을 이해하고 상호 작용하는 것입니다. 기술이 작동해야 하는 방식을 아는 것입니다. 이는 방법론이자 도구를 그에 맞게 조정하는 것일 수도 있지만 단순히 스크립트나 도구에 관한 것은 아닙니다."
de Metz가 시스템 내부에 들어가면 그는 세 가지 사항을 찾습니다. 로그인할 수 있는 위치, 사용 중인 소프트웨어 버전 및 시스템이 올바르게 구성되었는지 여부입니다. "비밀번호를 추측할 수 있습니까? 로그인에 액세스할 수 있는 다른 방법을 찾을 수 있습니까? 소프트웨어가 오래되고 익스플로잇이 있을 수 있으므로 시스템에 액세스하려고 시도하고 얻기 위해 이에 대한 일부 랜섬웨어 코드를 악용하려고 시도합니다." 그는 말한다. "감사에서 몇 가지를 찾을 수 있지만 [조직]이 생각하지 못한 것도 발견하고 있습니다."
침투는 네트워크 감사보다 더 깊으며 이것이 중요한 차이점입니다. 감사에서는 보안 프로그램을 준수하고 있습니까? 침투 테스트는 프로그램이 작동하는지 묻습니다.
침투 테스터는 보안 전략의 조감도에서 이를 살펴봅니다. 문제는 구식 소프트웨어처럼 단순하지 않고 개선이 필요한 전체 보안 전략일 수 있습니다. 그것이 de Metz가 알아낸 것입니다.
많은 중소기업이 탄탄한 기반을 갖춘 보안 인프라에 자금을 지원하는 데 어려움을 겪고 있습니다. 그러나 화이트햇 해킹은 버그 바운티 프로그램 을 통해 화이트햇 해커에게 인센티브를 제공 하여 시스템의 취약점을 찾는 것으로 알려진 Facebook과 같이 개인 데이터를 담당하는 조직에서 점점 더 인기를 얻고 있습니다.
De Metz는 또한 팟캐스트 에서 침투 테스트에 대한 가장 극적인 이야기로 연설했습니다. 그의 목표는 두 가지입니다. 청취자들에게 거친 이야기를 들려주지만 더 중요한 것은 침투 테스트의 가치를 강조하는 것입니다. 당신은 그것들을 본 적도, 거기에 있는지도 모를 수도 있지만 침투 테스터는 비즈니스를 안전하게 유지하고 귀하와 같은 고객도 더 안전하게 유지하는 데 도움이 됩니다.
흥미롭네요
블랙햇과 화이트햇 해커만이 비즈니스 시스템을 해킹하는 것은 아닙니다. "회색 모자" 해커 는 시스템에 침입하여 허가 없이 취약점을 드러내고 때때로 문제를 해결하기 위해 약간의 비용을 요구함으로써 "좋은 해킹"과 "나쁜" 해킹의 경계를 흐리게 합니다.
