third-party script application security: intrusion vs. detection · 2020-06-05 · • requires...
TRANSCRIPT
© 2020 Akamai1
Akamai Technologies
써드파티스크립트애플리케이션보안: 침입 vs 탐지
신동곤 상무기술영업 상무, 북아시아, 한국/중국/홍콩/대만
WEBINAR
© 2020 Akamai2
2019년 10월 11일
https://www.forbes.com/sites/leemathews/2019/10/11/over-18000-websites-infested-with-magecart-card-skimming-malware/#c78d66f7b1d9
https://www.newsweek.com/fbi-warns-hidden-online-shopping-threats-including-e-skimming-magecart-attacks-1467311
신용카드를 훔치는 멀웨어가2곳의 글로벌 호텔 체인웹사이트를 공격
신용카드를 훔치는 멀웨어가 야구명예의 전당(Baseball Hall of Fame) 웹사이트를 해킹
영국항공 승객 38만 명이 해킹당한방법
E-스키밍(E-Skimming)을 비롯해숨은 온라인 쇼핑 위협인 ‘Magecart 공격’에 대해 경고하는 FBI
© 2020 Akamai3
© 2020 Akamai4
Magecart• 해커 그룹은 써드파티 스크립트를 통해민감한 데이터를 유출시킴
• 신용 카드를 처리하는 사이트는 지속적인리스크에 놓여 있는 상황
○ 한 번 감염되면 1번의 업데이트를 통해수천 개의 사이트를 감염시킬 수 있음
○ 20%의 사이트가 마지막 공격1 이후1달 이내에 재감염됨
https://sansec.io/labs/2018/11/12/merchants-struggle-with-magecart-reinfections/
1 출처: SANGUINE SECURITY, 2018
© 2020 Akamai5
48
퍼스트파티
62
써드파티
페이지당 평균 리소스(2017)
출처: Security and Frontend Performance, Challenge of Today: Rise of Third Parties, Akamai Technologies and O'Reilly Media, 2017
140%증가
써드파티스크립트요청
2011-2018
출처: JavaScript growth and third parties, SpeedCurve, 2018
706%증가
써드파티스크립트크기
2011-2018
스크립트 요청 및 크기(2018)
써드파티 스크립트의 증가써드파티 스크립트 사용이 증가하는 원인은 디지털 혁신
• 웹 경험 강화
• 간편한 추가/수정
• 경험의 일관성 유지• 써드파티 서비스와의 통합
• 써드파티에 의한 유지 관리
© 2020 Akamai6
써드파티 스크립트 예: Akamai.comwww.akamai.com 완료
써드파티 스크립트50% 이상
출처: https://requestmap.herokuapp.com/render/200107_S4_75af286693538a095b33ac5e4740b0b8/
© 2020 Akamai7
취약점을 발생시키는 써드파티 스크립트공격자가 무너뜨릴 수 있는 복잡한 공급망
2018 공격 건수
4,800매달 감염되는
웹사이트
78%출처: Symantec 2019 Internet Security Threat Report, 매달 평균 4,800개의 웹사이트가감염됩니다.
Alpaca
Magecart
• 제어 및 가시성 범위 밖에 있음
• 다른 팀에서 추가한 스크립트
• 신뢰할 수 있는 소스에서 발생
• 빈번한 재감염
PII 스키밍공급망을통해 이동
해커에게 다시전송
악성 코드실행
써드파티업데이트에추가된 악성
코드
© 2020 Akamai8
스크립트 감염과 사례
데이터 스키밍 북미 대형 리테일 기업(2019년 4분기)결제 페이지에서 도난 당한 신용카드 정보
우발적인 exfil 주요 온라인 검색 서비스(2019년 4분기)2억5천만명의 고객 기록에 대한 비보안 접속
위험한 서비스 글로벌 리테일 기업(2019년 4분기)1.3TB의 고객 데이터에 대한 비보안 접속
(CVEs) 알려진취약점
여행 서비스(2019년 4분기)380,000명이 넘는 고객의개인 및 결제 정보가 노출됨
© 2020 Akamai9
써드파티 스크립트를 보호하는 방법
통합 사이트스캐닝
• 간단한 웹사이트• 정책 업데이트에 유용함• 지속적인 수동 분석 및 테스트 필요
콘텐츠 보안 정책화이트리스트
• 엄격한 CSP 지원• 사전 예방적 접근• 지속적인 수동 분석 및 테스트 필요
접속 제어/샌드박싱• 간단한 웹사이트, 낮은 PII• CSP와 결합• 지속적인 수동 분석 및 테스트 필요
앱 내탐지
• 애플리케이션 스크립트 행동• 탐지 중심• 빠른 방어, 비즈니스 영향 낮음
© 2020 Akamai10
Magecart를 효과적으로 방어하는 서비스의 특징
• 앱 내에서 의심스러운 행동 탐지
• 간편한 설정 및 관리
• 항상 자동화 됨
• 문제를 걸러내 해결
• 알려진 위협을 차단하는 위협 인텔리전스
• 피드백 루프를 통해 제어 정책에 접속
© 2020 Akamai11
써드파티 스크립트 웹사이트 사례Films For All: 구독 신청
* Films For All은 가상 사이트입니다. 실제 서비스와 유사한 점이 있다면 전적으로 우연입니다.
Films For All
이메일 주소 신청
추천 자료
도움말 | 광고 | 언론 | RSS | 사이트맵
이메일주소를입력하면온가족이언제어디서나볼수있는수천개의클래식영상을감상할수있습니다
Films For All
© 2020 Akamai12
Films For All: 구독 신청
일반적인 사이트 구조:• 수십 개의 호스트네임• 평균 스크립트 110개• 여러 명의 태그 관리자• A/B 테스팅 툴
Films For All
이메일 주소 신청
추천 자료
도움말 | 광고 | 언론 | RSS | 사이트맵
이메일주소를입력하면온가족이언제어디서나볼수있는수천개의클래식영상을감상할수있습니다
Films For All
© 2020 Akamai13
Films For All: 계정 생성
Films For AllFilms For All
플랜선택
계정생성
입력주소
결제형태
매월
유연한선불제언제든지취소가능
첫 달 무료!
매월 $7.99
선택
연간
연간할인매년갱신
1개월 무료!
$79.99/년
선택
2년 계약
최대할인특가
1개월 무료!
$129.99/2년
선택
© 2020 Akamai14
현재 스크립트 구성 요소 분석 중
로그인 및 신청스크립트
써드파티공격면
알려진위협과의 비교
© 2020 Akamai15
기억해야 할 사항
• 써드파티 스크립트는 최신 웹 사이트에 반드시 필요합니다
• 스키밍 위협은 점점 더 빈번하게 발생하고 더 많은 영향을
미칩니다
• 신뢰할 수 있는 써드파티 모니터링은 새로운 요구 사항입니다
• 앱 내 스크립트 행동 탐지가 중요합니다
• 앱 내 스크립트 보호는 접속 제어 솔루션과 함께 작동합니다
© 2020 Akamai16
다음 단계
• 써드파티 스크립트의 상황 분석하기
• 적합한 스크립트 보안 접근 방식에 대해 고려하기
• Akamai와 함께 고민하기
• 아이디어 테스트하기
• 문의 : [email protected]
© 2020 Akamai17 문의: [email protected]