ZEST Security introduces AI Sweeper Agents that identify which vulnerabilities are truly exploitable, helping security teams cut patch backlogs and focus on real risk.
The post ZEST Security Adds AI Agents to Identify Vulnerabilities That Pose No Actual Risk appeared first on Security Boulevard.
2026년을 앞두고 CISO와 끊임없이 진화하는 사이버 공격자 간의 대결이 다시 한 번 격화되는 가운데, 공격자보다 한발 앞서 주도권을 유지하기 위해서는 치밀하게 기획된 강력한 사이버 보안 프로젝트가 효과적인 대응책일 수 있다.
데이터 거버넌스부터 제로 트러스트까지, 향후 1년 동안 모든 CISO가 도입을 검토해볼 만한 핵심 사이버 보안 프로젝트 7가지를 정리했다.
AI와 자동화 기술이 진화하면서 직원의 접근 권한뿐 아니라 AI 에이전트와 머신 프로세스의 아이덴티티까지 관리하는 것이 이제 필수적인 사이버 보안 요소로 자리 잡고 있다. 딜로이트 미국 사이버 아이덴티티 부문 리더인 앤서니 버그는 이러한 변화를 보안의 핵심 과제로 짚었다.
버그는 “특히 에이전틱 AI를 중심으로 한 AI의 빠른 발전이 많은 보안 리더로 하여금 아이덴티티 관리 전략을 다시 생각하게 만들고 있다”라며 “사람과 비인간 아이덴티티를 모두 아우르는 보다 정교한 아이덴티티 거버넌스에 대한 요구가 CISO와 CIO로 하여금 차세대 디지털 전환을 대비한 보안 프레임워크를 재구성하도록 이끌고 있다”라고 설명했다.
그는 생성형 AI와 에이전틱 AI가 새로운 비즈니스 모델과 더 높은 수준의 자율성을 가능하게 하는 만큼, 조직이 아이덴티티 및 접근 관리(IAM) 프로그램을 선제적으로 현대화하는 것이 중요하다고 언급했다. 모든 디지털 아이덴티티 전반의 접근을 보호하는 것은 민감한 데이터 보호와 규제 준수, 운영 효율성 확보를 위해 필수적이라는 설명이다.
버그는 라이프사이클 관리, 강력한 인증, 정밀한 역할 및 정책 기반 접근 제어와 같은 IAM 역량을 고도화하면 비인가 접근을 차단하고 탈취된 자격 증명으로 인한 위험을 줄일 수 있다고 밝혔다.
또한 이러한 통제를 비인간 아이덴티티까지 확장하면 시스템이나 데이터와 상호작용하는 모든 주체를 적절히 관리할 수 있으며, 정기적인 접근 권한 검토와 지속적인 교육을 병행할 경우 정보 보호 수준을 높이고 고도화된 AI 기술을 보다 안전하게 도입하는 데 도움이 된다고 설명했다.
카네기멜론대학교 CISO인 메리 앤 블레어는 피싱이 여전히 자격 증명을 탈취하고 피해자를 속이는 주요 공격 경로로 활용되고 있다고 설명했다. 그는 위협 행위자들이 메일 서비스 제공업체의 탐지 기능을 효과적으로 회피할 수 있을 만큼 점점 더 정교한 피싱 공격을 만들어내고 있다고 경고했다.
블레어는 “기존의 다중요소 인증 기법은 이제 반복적으로 무력화되고 있으며, 공격자들은 침투에 성공한 이후 이를 빠르게 수익화하는 단계로 이동하고 있다”라고 언급했다.
이처럼 갈수록 대응이 어려워지는 이메일 보안 환경 속에서 블레어는 CISO가 보안 프로젝트를 추진하는 과정에서 외부 전문 조직의 지원을 검토할 필요가 있다고 조언했다. 실제로 그가 접촉한 여러 벤더는 제안요청서(RFP)에 응답하는 한편, 최신 보안 역량을 시험 적용할 수 있도록 테스트 환경을 제공하고 있다고 전했다.
시스코 AI 연구원 아만 프리얀슈는 자원이 제한된 환경에서도 효과적으로 동작할 수 있는 소형 언어 모델(SLM)을 활용해 자율적으로 취약점을 탐색하는 에이전트를 개발하고 있다.
프리얀슈는 사이버 보안이 본질적으로 긴 맥락을 다뤄야 하는 영역이라고 설명했다. 최신 대규모 언어 모델(LLM)이 이를 처리할 수는 있지만, 비용이나 지연 시간 측면에서 상당한 부담이 따른다는 것이다. 그는 “조직의 코드베이스는 보통 수천 개 파일과 수백만 줄의 코드로 구성된다”라며 “특정 취약점을 찾아야 할 때 모든 코드를 대형 모델에 입력하면 감당하기 어려울 정도로 비용이 커지거나, 아예 맥락 한계를 초과하는 문제가 발생한다”라고 밝혔다.
프리얀슈는 이 프로젝트가 대부분의 보안 분석가가 취약점을 찾는 방식과 유사한 접근을 구현하는 데 목적이 있다고 설명했다. 잠재적인 취약 지점을 추론한 뒤 해당 영역을 탐색하고, 관련 코드를 가져와 분석하는 과정을 반복해 약점을 찾아내는 방식이다. 그는 “연구를 통해 이 접근법이 효과적이라는 점은 이미 확인했다”라며 “2026년에는 이를 확장해 실제 환경에서의 적용 가능성을 실질적으로 검증하고자 한다”라고 전했다.
이미 침투 테스터와 보안 연구원들은 생성형 AI를 취약점 탐색에 활용해 왔으며, AI 기반 버그 헌팅은 취약점 발견 속도를 높이는 동시에 그 접근성을 확대하는 흐름을 보이고 있다. 이는 효과적인 버그 바운티 프로그램을 설계하는 기준에도 변화를 주고 있다.
AI 리스크와 자율형 위협이 사이버 보안 환경을 재편하는 가운데, AI 기반 커뮤니케이션 및 협업 솔루션 기업 고투(GoTo)의 CISO인 아틸라 퇴뢰크는 조직 내 모든 AI 도구를 안전하게 관리·모니터링하는 한편, 승인되지 않은 플랫폼을 차단해 데이터 유출을 방지하는 데 주력하고 있다.
퇴뢰크는 “설계 단계부터 보안을 내재화하는 원칙을 적용하고 사이버 보안을 비즈니스 전략과 정렬함으로써 회복력과 신뢰, 규제 준수를 동시에 구축하고 있다”라며 “이러한 요소는 AI 시대의 핵심적인 차별화 요인”이라고 설명했다. 다만 그는 여느 대규모 보안 이니셔티브와 마찬가지로, 특정 조직이나 부서에 국한된 접근으로는 성공할 수 없다고 경고했다.
그는 “현재와 미래의 성공을 보장하는 실행 방식을 정립하기 위해서는 전사 모든 부서와의 협업이 필요하다”라고 언급했다.
세일즈 성과 관리 기업 잭틀리(Xactly)의 CISO 매슈 샤프는 수치 분석 결과와 위협 환경 변화 모두가 AI 신뢰를 최우선 과제로 삼아야 함을 보여주고 있다고 설명했다. 그는 자사 보안 운영을 대상으로 크리스텐슨식 분석을 수행한 결과, 증적 수집과 경보 검증, 규제 준수 보고와 같은 업무를 포함해 전체 기능적 작업의 약 67%가 기계적 성격을 띠며 자동화가 가능하다는 점을 확인했다고 밝혔다.
샤프는 “공격자들은 이미 머신 속도로 AI를 활용해 공격하고 있다”라며 “인간의 속도로 대응하는 방식으로는 AI 기반 공격을 방어할 수 없다”라고 지적했다. 이어 “AI 신뢰를 보안 운영에 적용하면, 기계가 더 효율적으로 수행할 수 있는 작업을 인간 분석가가 처리해야 하는 상황을 피할 수 있고, 동일한 방식으로 대응 역량을 끌어올릴 수 있다”라고 설명했다.
AI가 방어 수단으로서 실질적인 도구로 자리 잡으면서, CISO들은 조직 내 보안 팀 운영 방식 역시 AI의 잠재력을 최대한 활용할 수 있도록 재검토하고 있다.
소프트웨어 개발 기업 유리스틱(Euristiq)의 CTO 파블로 트히르는 2026년 핵심 프로젝트로 자사 내부 개발과 고객 개발 전반에 제로 트러스트 아키텍처를 구현하는 작업을 꼽았다. 그는 “보안이 중요한 기업과 오랫동안 협력해 왔지만, 2026년에는 시장과 규제 요구 수준이 크게 높아지면서 ‘제로 트러스트 기본값’ 모델로의 전환이 전략적 필수 과제가 될 것”이라고 설명했다.
트히르는 이 프로젝트가 단순히 자사 보안을 강화하는 데 그치지 않는다고 밝혔다. 그는 “고부하 엔터프라이즈 시스템부터 데이터 무결성이 중요한 AI 기반 솔루션에 이르기까지, 고객을 위한 보다 안전한 플랫폼을 구축할 수 있게 될 것”이라며 “인프라와 개발, CI/CD, 내부 도구 전반에 제로 트러스트를 적용함으로써 통합된 보안 기준을 마련하고, 이를 고객 아키텍처에도 이전할 계획”이라고 전했다.
이 이니셔티브는 특정 보안 사고를 계기로 시작된 것은 아니라고 트히르는 설명했다. 그는 “위협 모델이 그 어느 때보다 빠르게 변화하고 있다는 점을 확인했다”라며 “공격은 더 이상 경계에서만 발생하는 것이 아니라, 라이브러리 취약점이나 API, 취약한 인증 메커니즘, 잘못 설정된 권한 등 내부 요소를 통해 점점 더 많이 발생하고 있다”라고 분석했다. 이러한 변화가 접근 방식을 근본적으로 재검토하게 만든 계기라고 밝혔다.
엔터프라이즈 데이터·AI·데이터 패브릭 솔루션 기업 솔릭스 테크놀로지스(Solix Technologies)의 총괄 배리 쿤스트는 2026년 우선 과제로 모든 전사 시스템에 걸친 통합 데이터 거버넌스 및 보안 프레임워크 구축을 제시했다. 그는 이 이니셔티브가 많은 조직이 여전히 겪고 있는 섀도 데이터 문제와 일관되지 않은 접근 통제, 규제 준수 공백을 해소하기 위한 목적도 함께 담고 있다고 설명했다.
쿤스트는 “모든 환경에서 데이터 분류와 보호, 모니터링 방식을 표준화하면 추적되지 않는 민감 데이터라는 가장 큰 보안 허점을 줄일 수 있다”라며 “이 프로젝트는 가시성을 높이고 정책 기반 통제를 강화해 멀티클라우드 환경에서의 노출을 줄이는 방식으로 보안 수준을 끌어올릴 것”이라고 언급했다.
그는 고객들이 급격한 데이터 증가와 새로운 규제 요구에 압도되는 상황을 목격한 이후 이번 프로젝트를 추진하게 됐다고 밝혔다. 현재 보안 및 클라우드 엔지니어링 팀이 주요 기술 파트너와 협력하고 있으며, 2026년 3분기 도입을 목표로 준비가 진행 중이라고 전했다.
dl-ciokorea@foundryco.com
경제적 압박과 AI의 일자리 대체, 그리고 끊임없는 조직 개편이 내부자 리스크를 최근 수년 중 최고 수준으로 끌어올리고 있다. 고용 불안정성은 직원의 충성도를 약화시키고 불만을 키운다. 여기에 AI 에이전트와 같은 강력한 도구가 빠르게 도입되면서, 사람과 기계 모두를 통한 내부 위협이 더욱 증폭되고 있다.
래셔널FX(RationalFX)와 여러 고용 추적 기관에 따르면 2025년 전 세계 수백 개 기술 기업에서 약 24만 5,000건의 정리 해고가 발표됐다. 이 수치는 기술 산업에 집중돼 있지만, 제조·유통·금융·에너지·공공 부문 등 다른 산업 전반에서도 유사한 추세가 본격화되고 있다. 챌린저 그레이 앤 크리스마스(Challenger, Grey & Christmas) 집계에 따르면 미국에서는 2025년 11월까지 총 117만 건이 넘는 감원이 발표됐다.
이런 정리 해고는 불만이 누적되기 쉬운 환경을 만든다. 재정적 스트레스와 자동화에 대한 반감뿐만 아니라, 관리 소홀이나 부주의한 데이터 처리부터 데이터 유출, 자격 증명 판매와 같은 고의적인 침해 행위까지 낳을 수 있다.
이 흐름은 산업과 지역을 막론하고 심각한 사고의 주요 원인이 기업 내부, 즉 신뢰받던 내부자에 있을 수 있다는 사실을 보여준다.
인적 요소에 더해 AI 에이전트의 급속한 확산은 내부자 리스크를 한층 복잡하게 하고 있다. 팔로알토 네트웍스는 AI 에이전트를 2026년 가장 심각하고 빠르게 진화하는 내부자 리스크 가운데 하나로 지목했다.
특권 수준의 시스템 접근 권한을 갖고, 사람을 뛰어넘는 실행 속도와 대규모 의사결정을 수행하는 자율형 에이전트는 더 이상 단순한 생산성 향상 도구에 머물지 않는다. 이들은 데이터 유출이나 서비스 중단, 나아가 의도하지 않은 대형 사고로 이어질 수 있는 공격 경로로 활용될 가능성이 커지고 있다.
이런 리스크는 기업의 인사 구조가 불안정해지면서 사람의 감독이 약화되고, 이에 상응하는 통제 장치 없이 도입을 서두를 때 특히 두드러진다. 팔로알토 네트웍스의 2026년 사이버보안 전망에 따르면, AI 에이전트는 목표 탈취, 도구 오용, 프롬프트 인젝션, 섀도우 AI와 같은 취약점을 새롭게 만들어낼 수 있으며, 글로벌 기업 전반에서 확산되는 인사 이동이 이런 리스크를 더욱 증폭시키는 요인으로 작용하고 있다.
보안 책임자도 이런 변화를 주의 깊게 바라보고 있다. 시큐어프레임의 2025년 4분기 사이버보안 통계 종합 자료와 관련 보고서에 따르면, 조사 대상 기업의 60%는 AI 오용이 내부자 리스크를 촉발하거나 확대할 수 있다는 점에 대해 높은 우려를 나타냈다. 한편 사이버시큐리티 인사이더스의 ‘2025 내부자 리스크 보고서’에 의하면 응답자의 75%는 하이브리드 및 원격 근무 모델이 향후 3~5년 동안 내부자 리스크를 키우는 가장 중요한 신규 요인이 될 것이라고 언급했다. 분산된 근무 환경은 글로벌 운영 환경에서 사람과 기계 모두의 이상 행동을 탐지하고 통제하기를 한층 어렵게 만들고 있다.
이런 변화는 갑작스럽게 나타나지 않았다. 수년에 걸쳐 누적돼 온 경고가 현실로 이어진 결과다.
지난 2021년 필자의 글인 ‘간과된 내부자 위협, 기기 신원’에서 당시 DTEX 시스템즈의 최고고객책임자였던 라잔 쿠는 기기에도 사람과 동일한 수준의 내부자 위협 프레임워크를 적용해야 한다고 지적했다. 그는 “사람에게 적용하는 것과 같은 수준으로 내부자 위협 프레임워크를 기기에 더 많이 적용할 필요가 있다”라고 말했다. 이 발언은 API, 봇, 스크립트, 로보틱 프로세스 자동화(RPA)와 같은 기계 신원이 이미 의도적이거나 비의도적인 사고의 통로로 작동하고 있으며, 사람과 마찬가지로 면밀한 관리와 검증이 필요하다는 점을 분명히 보여줬다.
이러한 관점은 2022년 글인 ‘내부자 위협으로서의 기계: 교토대 백업 데이터 삭제 사건이 주는 교훈’에서 한층 더 분명해졌다. 해당 글은 실제 자동화 실패 사례를 분석하며 이를 “기계가 내부자 위협으로 작용한 전형적인 사례”로 규정했다. 통제되지 않은 스크립트 오류로 인해 핵심 백업 데이터가 영구 삭제된 사건은, 그 결과인 치명적인 손실이 악의적인 내부자가 초래할 수 있는 피해와 본질적으로 다르지 않다는 점을 제시했다.
2023년 중반에 이르러 논의의 초점은 보다 긍정적인 가능성으로 이동했다. 2023년 CSO 기획 기사 ‘동료가 기계일 때: CISO가 AI에 대해 던져야 할 8가지 질문’은 사이버보안 업무 흐름에서 AI를 협업 파트너로 활용할 가능성을 조명하는 한편, 먼저 내부 구조를 정확히 이해할 필요가 있다는 점을 짚었다. 그러나 현재 ‘동료’는 폭발적으로 늘어났다. 팔로알토 네트웍스는 많은 기업에서 기계 신원과 자율형 에이전트 수가 사람보다 82배 많아질 것으로 전망하며, 앞선 경고가 2026년에는 긴급한 과제가 되고 있음을 시사했다.
정리해고와 경제적 압박이 만들어낸 변동성 높은 인사 구조와, 통제 없이 확장되는 기계 에이전트가 맞물리면서 리스크는 중첩되고 있다. 비용 부담에 직면한 기업은 거버넌스보다 AI 도입 속도를 우선시하는 경우가 많고, 그 결과 섀도우 AI가 확대되고 모니터링 역량은 약화되고 있다. 동시에 기업을 떠났거나 불만을 품은 직원이 접근 권한을 수익화하거나 민감한 데이터를 유출하고, 또는 업무에서 이탈하며 통제 절차를 방치하기도 한다. 이는 과거 노운섹(KnownSec) 사례에서도 목격됐다. 내부자가 회사가 중국 정부의 공격적 사이버 작전 인프라와 연계됐다는 사실을 폭로한 해당 사건은, 중국의 사이버 역량을 이해하는 데 도움이 됐다는 점에서 많은 보안 전문가에게 환영받았지만, 동시에 어떤 기업도 변동성이라는 요인에서 자유로울 수 없다는 사실을 드러냈다.
지속적인 정리 해고와 불확실한 역할에서 비롯된 불안이 긴장 속 실수, 과도한 권한, 성급한 우회 대응으로 이어질 수 있다는 점은 분명하다. 악의를 갖고 있지 않더라도 데이터는 노출될 수 있고, 결과적으로 피해는 현실화된다. 인사 구조의 변동성과 기계 확산 간 상호작용을 간과할 경우, 내부자 리스크 환경은 더욱 증폭된다.
이제 내부자 리스크 전략에는 필수적으로 일관성이 요구되고 있다. 총체적인 접근 방식에는 사람과 기계의 행동을 통합 관찰하는 행동 분석이 필요하다. 예를 들어 구조조정 과정에서 나타나는 감정 변화나 근무 외 시간의 데이터 수집과 같은 사람의 패턴, 비정상적인 API 호출이나 에이전트 활동 급증과 같은 기계의 행동을 동시에 모니터링하는 방식이다.
재교육 프로그램은 직원을 일자리 대체의 희생자가 아닌 AI로 강화된 역할의 파트너로 인식하게 함으로써 인재 유출을 막고 기업 내 반감을 줄이는 데 도움이 된다. 인증, 최소 권한 접근, 지속적인 모니터링 등 기계 신원에 대한 강력한 거버넌스는 제로 트러스트 원칙을 비인간 영역까지 확장하는 기반이 된다. 무엇보다 인사 부서와 보안 조직 간의 연결을 강화해, 변동성의 초기 신호가 실제 위협으로 드러나기 전에 이를 포착하는 체계가 중요하다.
선제적이고 통합된 조치가 없다면 파급 효과는 상당할 수 있다. 침해된 AI 에이전트 하나만으로도 사람이 따라갈 수 없는 속도로 테라바이트 규모의 데이터를 유출할 수 있다. 또한 과거 사례가 보여주듯, 불만을 품은 직원은 남아있는 자격 증명을 이용해 백도어를 심거나 정보를 탈취·판매하고, 의도적인 파괴 행위를 저지를 수도 있다. 리스크의 범위는 더 이상 개별 사건에 머물지 않는다. 이제 그 영향은 공급망부터 핵심 인프라에 이르기까지 전체 생태계로 확산되고 있다.
2026년에 접어들며 메시지는 분명해졌다. 내부자 리스크는 더 이상 사람만의 문제가 아니다. 이는 경제적 압박과 AI로 인한 일자리 변화, 그리고 조직 전반의 인력 변동성이 전례 없는 속도로 증폭시키고 있는 ‘변동성의 문제’다. 이를 해결하기 위해서는 외부 위협에 대응할 때 적용해 온 수준의 엄격함을 기업 내부에도 그대로 적용해야 하며, 선제적인 시각과 일관된 전략, 그리고 변화에 적응하려는 의지가 요구된다.
dl-ciokorea@foundryco.com
AI 시스템과 인프라를 겨냥한 공격은 실제 사례를 통해 점차 구체적인 형태를 띠고 있으며, 보안 전문가들은 향후 몇 년 안에 이러한 공격 유형이 더욱 증가할 것으로 내다보고 있다. AI 도입을 통해 빠르게 성과를 내려는 과정에서, 대부분의 조직은 AI 도구와 활용 사례를 배포하면서 보안 강화를 느슨하게 적용해 왔다. 그 결과, 상당수 조직이 이러한 공격을 탐지하거나 차단하고, 사고 발생 시 대응할 준비가 되어 있지 않다는 경고도 나온다.
미국 사우스플로리다대학교 벨리니 인공지능·사이버보안·컴퓨팅 칼리지의 부교수이자 스타트업 액추얼라이제이션AI의 대표인 존 리카토는 “대부분 이런 공격이 가능하다는 점은 인식하고 있지만, 위험을 어떻게 적절히 완화해야 하는지까지 충분히 이해하고 있는 경우는 많지 않다”라고 설명했다.
AI 시스템을 대상으로 한 공격 유형이 다양하게 등장하고 있다. 데이터 중독처럼 학습 단계에서 발생하는 공격이 있는가 하면, 적대적 입력과 같이 추론 단계에서 이뤄지는 공격도 있다. 이 밖에도 모델 탈취처럼 배포 단계에서 발생하는 공격 유형도 존재한다.
다음은 현재 AI 인프라와 관련해 전문가들이 경고하는 주요 위협 유형을 정리한 것이다. 일부는 비교적 드물거나 이론적 단계에 머물러 있지만, 상당수는 실제 환경에서 관측됐거나 연구자들이 주목할 만한 개념 증명을 통해 가능성을 입증한 사례다.
데이터 중독(Data Poisoning)은 악의적인 공격자가 머신러닝 모델을 포함한 AI 시스템을 개발하거나 학습하는 데 사용되는 데이터를 조작·변조·오염시키는 공격 유형이다. 데이터를 손상시키거나 잘못된 데이터를 주입함으로써 모델의 성능을 왜곡하거나 편향시키고, 결과적으로 부정확한 판단을 내리도록 만들 수 있다.
보안 교육 및 자격 인증 기관 샌스(SANS)의 최고 AI 책임자(CAIO) 겸 연구 총괄인 로버트 T. 리는 “예를 들어, 초록색은 ‘가라’가 아니라 ‘멈춰라’라는 의미라고 모델에 학습시키는 공격을 상상해볼 수 있다”라며 “모델의 출력 결과 자체를 저하시키는 것이 목적”이라고 설명했다.
모델 중독(Model poisoning)은 데이터가 아니라 모델 자체를 직접 공격 대상으로 삼는다. 모델의 구조나 파라미터를 변조해 부정확한 결과가 나오도록 유도하는 방식이다. 일부 정의에서는 데이터 중독으로 인해 학습 데이터가 손상된 경우까지 모델 중독의 범주에 포함하기도 한다.
툴 중독(Tool poisoning)은 2025년 봄 인베리언트 랩스(Invariant Labs)가 식별한 공격 유형이다. 인베리언트는 자체 연구 결과를 공유하며 “툴 중독 공격을 가능하게 하는 모델 컨텍스트 프로토콜(MCP)의 심각한 취약점을 발견했다”라며 “이 취약점은 민감한 데이터 유출과 AI 모델의 비인가 행위로 이어질 수 있다”라고 밝혔다.
또한 실험 결과를 통해 “악성 서버가 사용자로부터 민감한 데이터를 유출할 수 있을 뿐 아니라, 신뢰된 다른 서버가 제공한 지침을 덮어쓰고 에이전트의 행동을 탈취해, 신뢰된 인프라를 포함한 에이전트 기능 전반을 완전히 장악할 수 있다”는 점을 확인했다고 설명했다.
이 공격은 MCP 툴 설명 안에 악성 지시를 삽입하는 방식으로 이뤄진다. AI 모델이 이를 해석하는 과정에서 모델의 동작이 탈취된다. 컨설팅 기업 컨스텔레이션 리서치(Constellation Research)의 부사장 겸 수석 애널리스트 치락 메타는 “에이전트가 특정 행동을 하도록 속이기 위해 MCP 계층 자체를 오염시키는 공격”이라고 설명했다.
프롬프트 인젝션(Prompt injection) 공격은 겉보기에는 정상적인 요청처럼 보이지만, 실제로는 대규모 언어 모델이 수행해서는 안 되는 행동을 하도록 유도하는 악성 명령을 포함한 프롬프트를 사용하는 방식이다. 공격자는 이를 통해 모델의 가드레일을 우회하거나 무력화하고, 민감한 데이터를 노출시키거나 비인가 작업을 수행하게 만든다.
글로벌 컨설팅 기업 더커 칼라일(Ducker Carlisle)의 최고 데이터·AI 책임자 파비앙 크로스는 “프롬프트 인젝션을 활용하면 AI 에이전트가 원래 수행해야 할 역할 자체를 바꿀 수 있다”라고 설명했다.
최근에는 챗GPT가 스스로 프롬프트 인젝션을 하도록 유도한 사례를 비롯해, 문서 매크로에 악성 프롬프트를 삽입한 공격, 인기 AI 에이전트를 대상으로 한 제로 클릭 프롬프트 공격 시연 등 여러 주목할 만한 사례와 개념 증명이 잇따라 보고되고 있다.
모델 소유자와 운영자는 변형된 데이터를 활용해 모델의 복원력을 점검하지만, 공격자는 이를 교란 수단으로 사용한다. 적대적 입력(Adversarial inputs) 공격은 악의적인 행위자가 모델에 기만적인 데이터를 입력해 잘못된 결과를 출력하도록 유도하는 방식이다.
이때 입력 데이터의 변화는 대체로 매우 미세하거나 단순한 노이즈 수준에 그친다. 보안 시스템의 탐지를 피할 만큼 눈에 띄지 않도록 설계되지만, 동시에 모델의 판단을 흐트러뜨릴 수 있을 정도로 효과를 발휘한다. 이런 특성 때문에 적대적 입력은 대표적인 회피 공격 유형으로 분류된다.
악의적인 공격자는 모델과 그 파라미터, 나아가 학습 데이터까지 복제하거나 역설계할 수 있다. 일반적으로 공개된 API, 예를 들어 모델의 예측 API나 클라우드 서비스 API를 반복적으로 호출해 출력 결과를 수집하는 방식이 활용된다.
이후 모델이 어떻게 응답하는지를 분석하고, 그 결과를 바탕으로 모델을 재구성한다. 글로벌 컨설팅 기업 PwC의 글로벌 위협 인텔리전스 아메리카 총괄인 앨리슨 위코프는 “도구 자체를 비인가 상태로 복제할 수 있게 만드는 공격”이라고 설명했다.
모델 역추론은 특정한 추출 공격의 한 형태로, 공격자가 모델 학습에 사용된 데이터를 재구성하거나 추론하려는 시도를 의미한다.
해커가 모델의 출력 결과를 활용해 학습에 사용된 입력 정보를 거꾸로 추정한다는 점에서 이런 이름이 붙었다. 이를 통해 학습 데이터에 포함된 정보가 노출될 수 있다.
AI 시스템은 오픈소스 코드와 오픈소스 모델, 서드파티 모델, 다양한 데이터 소스 등 여러 구성 요소를 결합해 만들어진다. 이 가운데 어느 하나라도 보안 취약점이 존재하면, 그 영향은 AI 시스템 전반으로 확산될 수 있다.
이로 인해 AI 시스템은 공급망 공격에 취약하다. 공격자는 구성 요소 내부의 취약점을 악용해 전체 시스템을 침해할 수 있다.
모델 탈옥(Jailbreaking)이라고도 불리는 이 공격의 목적은, 주로 대규모 언어 모델과의 상호작용을 통해 AI 시스템의 행동과 출력을 제한하는 가드레일을 무시하도록 만드는 데 있다. 여기에는 유해하거나 공격적이거나 비윤리적인 결과를 막기 위한 각종 보호 장치가 포함된다.
해커는 이 같은 공격을 수행하기 위해 다양한 기법을 활용한다. 예를 들어 역할극 공격을 사용해, AI가 개발자와 같은 특정 인물을 연기하도록 지시함으로써 가드레일을 우회하게 만들 수 있다. 정상적인 요청처럼 보이는 프롬프트 안에 악성 지시를 숨기거나, 인코딩·외국어·특수 문자 등을 활용해 필터를 회피하는 방식도 있다. 가상의 상황이나 연구 질문 형태로 프롬프트를 구성하거나, 여러 단계의 질문을 통해 최종 목표에 도달하도록 유도하는 방법도 사용된다.
이러한 공격의 목적은 다양하며, AI 시스템이 악성 코드를 작성하게 하거나, 문제가 될 수 있는 콘텐츠를 확산시키거나, 민감한 데이터를 노출하도록 만드는 경우가 포함된다.
리카토는 “채팅 인터페이스가 존재하는 한, 이를 이용해 시스템이 설정된 범위를 벗어나도록 작동하게 만드는 방식은 존재한다”라며 “점점 더 강력한 추론 시스템을 갖게 되면서 감수해야 하는 트레이드오프”라고 설명했다.
경영진이 생산성과 혁신을 이유로 AI 이니셔티브에 속도를 내는 상황에서, 최고정보보안책임자(CISO)는 해당 프로젝트와 조직 전반의 AI 인프라 보안을 최우선 과제로 삼아야 한다.
보안 기술 기업 해커원(HackerOne)의 설문조사에 따르면, CISO의 84%가 현재 AI 보안을 담당하고 있으며, 82%는 데이터 프라이버시까지 관할하고 있다. CISO가 AI 시스템과 이를 학습시키는 데이터를 겨냥한 공격에 대응하는 보안 전략을 발전시키지 못할 경우, 향후 발생하는 문제는 AI 이니셔티브 기획·출범 과정에 참여했는지와 관계없이 CISO의 리더십에 대한 책임으로 이어질 수 있다.
이와 관련해 컨스텔레이션 리서치의 메타는 “선제적인 AI 보안 전략이 필요하다”라고 진단했다.
컨스텔레이션 리서치의 보고서 ‘전통적 사이버 방어를 넘어선 AI 보안: AI와 자율성 시대를 위한 사이버보안 재구상’에서 수석 애널리스트 치락 메타는 “AI 보안은 단순한 기술적 과제가 아니라, 경영진의 전폭적인 지지와 부서 간 협력이 요구되는 전략적 과제”라며 “데이터 거버넌스는 AI 보안의 출발점으로, 학습 데이터와 모델 입력의 무결성과 출처를 보장하는 것이 핵심”이라고 설명했다. 이어 “보안 팀은 AI 기반 위험을 다루기 위한 새로운 전문성을 확보해야 하며, 비즈니스 리더는 자율형 AI 시스템이 갖는 영향과 이를 책임감 있게 관리하기 위한 거버넌스 체계를 인식해야 한다”라고 밝혔다.
AI 시스템 공격을 평가·관리·대응하기 위한 전략도 점차 구체화되고 있다. 강력한 데이터 거버넌스를 유지하는 것과 함께, 전문가들은 AI 모델을 배포 전에 점검하고, 운영 중인 AI 시스템을 지속적으로 모니터링하며, 레드팀을 활용해 모델을 시험할 필요가 있다고 조언한다.
PwC의 위코프는 “특정 공격 유형에 대응하기 위해 CISO가 별도의 조치를 취해야 할 수도 있다”라고 설명했다. 예를 들어 모델 탈취를 사전에 차단하려는 경우, 의심스러운 쿼리와 패턴을 모니터링하고 응답 속도를 제한하거나 타임아웃을 설정하는 방식이 활용될 수 있다. 회피 공격을 줄이기 위해서는 적대적 학습, 즉 해당 공격 유형에 대비하도록 모델을 학습시키는 접근도 고려할 수 있다.
MITRE ATLAS 도입도 하나의 방안으로 제시된다. 인공지능 시스템을 겨냥한 적대적 위협 지형(Adversarial Threat Landscape for Artificial-Intelligence Systems)의 약자인 이 프레임워크는 공격자가 AI 시스템을 어떻게 노리는지를 체계적으로 정리하고, 전술·기법·절차(TTP)를 식별할 수 있는 지식 기반을 제공한다.
보안 및 AI 전문가들은 이러한 조치를 실행하는 데 현실적인 어려움이 따른다는 점도 인정한다. 많은 CISO가 섀도 AI 문제나, 공격자가 AI를 활용하면서 더 빠르고 정교해진 기존 사이버 공격에 우선 대응해야 하는 상황에 놓여 있다. 여기에 더해, AI 시스템을 겨냥한 공격이 아직 초기 단계에 머물러 있고 일부는 여전히 이론적 수준으로 평가된다는 점도, 관련 전략과 역량을 확보하기 위한 자원 배분을 어렵게 만드는 요인이다.
샌스의 리는 “CISO 입장에서 AI 백엔드를 겨냥한 공격은 아직 연구가 진행 중인 영역이어서 매우 까다롭다”라며 “우리는 해커가 무엇을 하고 있으며, 그 이유가 무엇인지를 파악하는 초기 단계에 있다”라고 설명했다.
리와 다른 전문가들은 조직이 AI 경쟁에서 뒤처지지 않으려는 압박을 받고 있다는 점을 이해하면서도, AI 시스템 보안을 사후 과제로 밀어서는 안 된다고 강조한다.
PwC 사이버·리스크 혁신 연구소를 이끄는 맷 고햄은 “인프라를 구축하는 과정에서 어떤 형태의 공격이 가능할지를 함께 고민하는 것이 CISO에게 핵심 과제”라고 언급했다.
dl-ciokorea@foundryco.com
사이버 보안 리더는 조직의 안전을 지키기 위해 고려해야 할 요소가 매우 많다. 다만 그중에는 다른 사안보다 더 두드러지게 중요하거나, 반대로 아직 충분히 주목받지 못한 과제도 존재한다.
새해를 맞아 2026년 CISO가 결코 소홀히 해서는 안 될 핵심 요소 6개를 짚어보았다.
기업이 자동화와 효율성을 활용하기 위해 AI 에이전트 도입을 본격화하면서, 관련 기술은 빠른 속도로 확대되고 있다. 그랜드뷰리서치에 따르면 전 세계 AI 에이전트 시장 규모는 2024년 54억 달러로 추산됐으며, 2030년에는 503억 1,000만 달러까지 성장할 것으로 전망된다.
AI 에이전트 활용이 늘어나면서 기업은 새로운 사이버 보안 과제에 직면하고 있다. 특히 아이덴티티 통제 측면에서의 부담이 크다. 아이덴티티 스푸핑이나 과도한 권한 부여가 대표적인 위협이다. 사이버 범죄자는 프롬프트 인젝션이나 악성 명령을 활용해 에이전트를 악용하고, 보안 통제를 우회해 시스템과 애플리케이션에 무단 접근할 수 있다.
PwC의 사이버·데이터·기술 리스크 부문 부책임자인 모건 아담스키는 AI 에이전트를 포함한 아이덴티티를 제대로 관리하면, 누가 무엇을 할 수 있는지를 기계 속도로 통제할 수 있다고 설명했다.
아담스키는 공격자가 점점 더 침입이 아닌 로그인 방식으로 접근하고 있으며, AI 에이전트가 실제로 시스템과 데이터를 변경하는 단계에 이르렀다고 분석했다. 그는 리더가 놓쳐서는 안 될 핵심으로 모든 사람, 워크로드, 에이전트를 관리 대상 아이덴티티로 취급하는 점을 꼽았다. 각각에 개별 계정을 부여하고, 피싱에 강한 다중요소인증을 적용하며, 필요한 최소 권한만 필요한 기간 동안 부여하고, 비밀번호나 키를 자동으로 변경하는 체계를 갖춰야 한다는 설명이다. 아울러 비정상적인 권한 변경이나 세션 탈취 여부를 지속적으로 모니터링해야 한다고 강조했다.
아담스키는 기업이 통제력을 잃지 않으면서도 민첩하게 대응하려면, 일상적인 업무 흐름에 AI 에이전트 거버넌스를 내재화해야 한다고 설명했다. 예를 들어 관리자에게 하드웨어 기반 다중요소인증을 의무화하고, 상승된 권한은 기본적으로 만료되도록 설정하며, 신규 에이전트는 각각의 정책을 가진 애플리케이션으로 등록하는 방식이 필요하다고 언급했다.
글로벌 기술 리서치·자문 기업 ISG의 디렉터 제이슨 스타딩은 AI 에이전트와 AI 플랫폼에 대한 아이덴티티 및 접근 통제가 CISO에게 가장 중요한 우려 영역 중 하나라고 평가했다. 그는 현재 AI 관련 권한과 접근 권한은 많은 영역에서 여전히 블랙박스에 가깝다며, 향후 몇 년간 이 분야에서 투명성과 통제를 강화하기 위한 도구와 방법을 도입하려는 움직임이 본격화될 것이라고 전망했다.
디지털 비즈니스 확산과 글로벌 시장에서의 공급망 복잡성 증가는 기업의 공급망을 주요 위험 영역으로 만들고 있다. 공급망은 이미 많은 기업에서 사이버 보안 리스크가 빠르게 커지고 있는 분야다.
이 문제는 특히 제조, 유통, 물류 산업에서 더욱 중요하다. 금속 제품과 부품을 공급하는 AMFT의 CTO 그렉 젤로는 2026년에 복잡한 공급망과 제조 환경에서의 사이버 보안을 간과하는 CISO는 치명적인 결과에 직면할 수 있다고 설명했다.
젤로는 현대 제조 환경이 더 이상 단일 공장에 국한되지 않는다고 분석했다. 상호 연결된 공급업체, 사물인터넷 기반 설비, 클라우드 중심 생산 시스템이 얽힌 구조로 진화하면서, 하나의 취약한 연결고리만으로도 전체 운영이 마비될 수 있는 광범위한 공격 표면이 형성됐다는 설명이다.
최근 발생한 사건은 이러한 위험을 분명히 보여준다. 젤로에 따르면 2025년 9월 재규어 랜드로버는 공급망을 겨냥한 사이버 공격을 받아 영국, 슬로바키아, 인도, 브라질 전역에서 수주 동안 생산이 중단됐고, 추정 피해액은 25억 달러에 달했다. 그는 이 침해 사고가 수백 개 협력사로 확산되며 구조조정과 파산으로 이어졌다고 설명했다. 이는 단순한 IT 장애가 아니라, 글로벌 제조업이 얼마나 깊이 상호 의존적인지를 드러낸 운영 위기였다고 평가했다.
공격자는 로봇, 조립 라인, 품질 검사 등을 제어하는 운영기술(OT) 시스템을 점점 더 많이 노리고 있다. 생산을 멈추게 하면 기업이 신속하게 몸값을 지불할 수밖에 없다는 점을 악용하고 있다는 설명이다.
젤로는 재무적 손실을 넘어 지식재산권 탈취, 규제 처벌, 국가 안보 문제까지 위험이 확대된다고 지적했다. 그는 CISO에게 주는 교훈은 분명하다며, 전통적인 경계 기반 보안은 이미 한계에 도달했다고 설명했다. 복잡한 공급망을 보호하려면 IT와 OT 전반에 걸친 제로 트러스트 아키텍처 적용, 펌웨어와 소프트웨어 업데이트를 포함한 제3자 리스크의 지속적 모니터링, 핵심 시스템을 격리하기 위한 신속한 패치와 세분화, 공급업체와 계약자를 포함한 사고 대응 훈련이 필요하다고 강조했다.
CISO가 조직을 외부와 내부 위협으로부터 보호하는 데 지나치게 집중한 나머지 지정학적 긴장을 놓치기 쉽다. 혹은 이러한 요소를 자사 사이버 보안 이슈와 직접적인 관련이 없다고 판단해 중요성을 낮게 평가할 수도 있다. 그러나 어느 쪽이든 이는 중대한 판단 오류로 이어질 수 있다.
글로벌 기술 리서치·자문 기업 ISG의 디렉터 제이슨 스타딩은 조직의 사이버 회복탄력성 계획에 시스템적 시나리오를 반영하는 것이 매우 중요하다고 설명했다. 여기에는 비즈니스에 영향을 미칠 수 있는 글로벌 정세 변화와 지정학적 갈등도 반드시 포함돼야 한다는 것이다.
스타딩은 기업의 비즈니스와 자산에 영향을 줄 수 있는 침해 지표를 제공하기 위해 산업별 맞춤형 위협 인텔리전스에 대한 요구도 커지고 있다고 언급했다. 그는 이러한 위협 가운데 일부는 악의적인 국가 행위자로부터 비롯되는 고도 지속 공격과 연관될 수 있다고 설명했다.
IT 컨설팅 기업 노스도어의 최고상업책임자(Chief Cmmercial Officer) AJ 톰슨은 사이버 보안과 지정학의 결합이 이미 현실로 자리 잡았다고 평가했다. 그는 국가 행위자가 주도하는 사이버 공격이 핵심 인프라와 글로벌 공급망을 겨냥한 더 큰 분쟁의 일부라고 설명했다. 지정학적 인텔리전스를 위협 모델링에 반영하지 않으면, 조직은 파급력이 큰 국가 지원 사이버 공격에 과도하게 노출될 수 있다고 지적했다.
아울러 톰슨은 의도치 않게 이러한 지정학적 사건에 연루될 경우, 규제 측면과 기업 평판 측면에서 모두 심각한 후과를 초래할 수 있다고 설명했다.
클라우드 서비스 사용이 계속 확대되면서, 이에 수반되는 보안과 개인정보 보호 위험도 함께 커지고 있다. CISO가 이 영역을 소홀히 할 경우 조직은 각종 사이버 공격에 그대로 노출될 수 있다.
글로벌 기술 리서치·자문 기업 ISG의 디렉터 제이슨 스타딩은 클라우드 서비스와 AI 도구가 서로 긴밀하게 결합돼 활용되는 경우가 많다는 점에서 이 문제가 더욱 중요하다고 설명했다. 그는 역할과 책임에 연계된 적절하고 현대적인 보안 인식 교육이 핵심이며, 현재 업무 환경 전반에 확산된 AI 도구와 기술 사용까지 고려해야 한다고 언급했다.
스타딩은 클라우드 관리자와 엔지니어를 대상으로 한 올바른 클라우드 보안 관행과 절차에 대한 교육이 부족한 경우가 많다고 지적했다. 또한 클라우드 팀 다수가 보안 도구 도입과 활용 측면에서 개선을 시도하고 있지만, 실제로는 많은 조직이 클라우드 보안을 위해 투자한 도구를 충분히 활용하지 못하고 있다고 설명했다.
IT 컨설팅 기업 노스도어의 최고상업책임자 AJ 톰슨은 멀티클라우드 환경 확산과 함께 전통적인 보안 경계는 이미 사라졌다고 분석했다. 그는 사후 대응 중심의 클라우드 보안에 의존하는 조직은 정교한 위협을 놓치기 쉽다고 지적했다.
톰슨은 사전 대응형 클라우드 보안 태세 관리(CSPM)와 명확한 사용자 보안 가이드라인이 비용이 큰 침해 사고와 운영 중단을 예방하는 데 핵심적인 단계라고 설명했다. 복잡한 클라우드 환경에서 인적 오류로 인한 위험을 최소화하려면, 안전한 사용자 행동을 지속적으로 조직 문화에 내재화해야 한다고 강조했다.
금융 서비스나 헬스케어처럼 규제가 엄격한 산업에 속한 일부 기업은 오래전부터 금융정보보호법(GLBA)이나 의료정보보호법(HIPAA)과 같은 데이터 보안·프라이버시 규제를 준수해야 했다.
그러나 최근에는 거의 모든 산업이 전 세계적으로 증가하는 데이터 프라이버시 및 보호 법규를 준수해야 하는 상황이다. 이러한 규제를 간과하거나 중요성을 낮게 평가할 경우, 벌금과 추가적인 제재로 이어질 수 있다.
스타딩은 규제가 많은 조직이 컴플라이언스 활동으로 인해 상당한 추가 부담을 안고 있으며, 이로 인한 피로감도 적지 않다고 설명했다. 다만 최근 몇 년간 CISO 역할이 컴플라이언스에 대한 책임과 권한까지 확대된 만큼, 이를 소홀히 하거나 과소평가할 여지는 없다고 강조했다.
특히 글로벌 기업의 CISO는 최신 규제 동향을 면밀히 파악해야 한다. 톰슨은 영국과 유럽에서 사이버 보안 규제 환경이 빠르게 강화되고 있다고 설명했다. 그는 GDPR(General Data Protection Regulation)과DORA(Digital Operational Resilience Act)과 같은 프레임워크가 문서화된 통제뿐 아니라, 실증적으로 검증 가능한 사이버 보안 효과를 조직에 요구하고 있다고 분석했다.
톰슨은 규제 당국이 사이버 보안과 운영 회복탄력성이 단순한 규정 준수 항목이 아니라, 비즈니스 프로세스 전반의 모든 계층에 깊이 내재화돼 있는지를 확인하려 한다고 설명했다.
그는 제3자 리스크 관리 역시 그에 못지않게 중요하다고 지적했다. 공급망이 점점 더 복잡하고 분산될수록 외부 제공업체로 인한 취약점은 심각한 규제 및 보안 책임으로 이어질 수 있다는 것이다. 이러한 규제 요구를 보안 전략에 선제적으로 반영하지 않을 경우, 막대한 재무적 제재는 물론 운영 중단과 장기적인 평판 훼손으로 이어질 수 있다고 경고했다.
사이버 보안 보험 제공업체 코얼리션의 수석 연구원 다니엘 우즈는 AI 챗봇이 데이터 프라이버시 측면에서 새롭게 부상한 위험 요소라고 설명했다. 코얼리션이 약 200건의 프라이버시 관련 청구 사례와 5,000개 기업 웹사이트를 분석한 결과, 전체 청구의 5%가 챗봇 기술을 겨냥한 것이었다.
우즈는 이들 청구가 AI 도구가 등장하기 훨씬 이전에 제정된 주(州) 도청 방지법을 근거로, 고객 대화를 불법적으로 가로챘다고 주장한 사례라고 설명했다. 모든 챗봇 관련 청구는 대화 시작 시 해당 대화가 녹음되고 있다는 사실을 고지했어야 한다는 동일한 구조를 따랐다는 분석이다.
해당 청구는 수십 년 전에 제정된 플로리다 통신 보안법 위반을 주장한 것이었다고 우즈는 전했다. 그는 전체 웹사이트 가운데 약 5%가 챗봇 기술을 도입하고 있으며, 이 비율이 챗봇을 중심으로 제기된 웹 프라이버시 청구 비중과 정확히 일치한다고 설명했다.
우즈는 IT 산업과 금융 산업에서 챗봇 활용이 특히 두드러졌다고 설명했다. 해당 산업 웹사이트의 각각 9%와 6%가 챗봇을 사용하고 있었으며, 향후 챗봇 활용이 늘어날 가능성이 큰 만큼 관련 청구 역시 증가할 수 있다고 전망했다.
그는 챗봇을 잘못 설계하거나 운영할 경우의 위험으로, 프롬프트 인젝션과 같은 기법을 통해 시스템이 쉽게 조작될 수 있다는 점을 꼽았다. 이러한 방식으로 고객 데이터가 유출된 사례가 이미 수십 차례 문서화돼 있다고 경고했다.
이제는 거의 모든 기업이 최소한 일부 운영을 클라우드 서비스에 의존하고 있다. 이러한 서비스의 보안을 소홀히 하는 것은 문제를 자초하는 것과 다름없다.
PwC의 아담스키는 클라우드와 SaaS 확산이 계속될 것이라며, 아이덴티티, 암호화, 로깅, 외부 통신을 위한 가드레일을 갖춘 표준 랜딩 존을 사전에 설계해야 한다고 설명했다. 또한 정책을 코드로 구현해 규정 준수 설정이 기본값이 되도록 하는 접근이 필요하다고 언급했다.
아담스키는 CISO가 자산을 지속적으로 파악하고, 설정 오류를 식별하며, 이상 행위를 탐지하고, 필요할 경우 자동으로 조치할 수 있는 도구를 활용해야 한다고 설명했다.
그는 모든 방향에서 쏟아지는 경고에 일일이 대응하는 방식으로는 멀티클라우드 확산과 아이덴티티 중심 공격을 따라가기 어렵다고 지적했다. 클라우드 전반의 신호를 연계하고 경고 소음을 줄이기 위해 자동화와 AI를 활용해 보안 관제 센터를 현대화해야 한다고 강조했다.
다양한 사이버 보안 도구와 서비스가 구축돼 있다 보니, 사이버 보안에서 사람의 역할을 간과하기 쉽다. 그러나 이러한 인식은 여러 형태의 보안 사고로 이어질 수 있다.
로펌 CM로의 기술·사이버 보안 파트너인 베스 펄커슨은 실제 경험상 보안 침해의 직접적인 원인은 대부분 인적 오류라고 설명했다. 그는 대체로 누군가가 사기에 속아 악성 코드가 유입되는 통로를 열게 된다고 분석했다.
사람은 메시지에 즉각 반응하거나 문서를 열어보고 싶어 하는 경향이 있으며, 이러한 행동이 문제를 키운다. 펄커슨은 근본적인 해법은 더 많은 기술 도입이 아니라, 직원이 자신의 기기 접근이나 정보 제공 요청에 대해 거절할 수 있도록 돕는 교육에 있다고 설명했다.
그는 프린터나 팩스 장비가 네트워크에 연결돼 있다는 사실을 잊고 보안 설정을 적용하지 않거나, 네트워크에서 분리하지 않는 것 역시 대표적인 인적 오류 사례라고 언급했다.
또 다른 문제로는 이미 도입돼 있거나 사용 가능한 보안 기술을 제대로 활용하지 않는 점을 꼽았다. 펄커슨이 최근 담당한 소송 사례에서는 결제카드산업 데이터 보안 표준(PCI DSS)에 따라 파일 무결성 관리 소프트웨어를 사용하고 있다고 주장했지만, 실제로는 경고를 설정하지 않았거나 경고를 무시한 경우가 포함돼 있었다.
펄커슨은 아무리 강력한 보안 소프트웨어를 갖추고 있더라도, 이를 올바르게 설정하고 지속적으로 관리하지 않으면 의미가 없다고 지적했다.
dl-ciokorea@foundryco.com
The startup takes an agentic approach to preventing vulnerability exploitation by uncovering exposure across assets.
The post Dux Emerges From Stealth Mode With $9 Million in Funding appeared first on SecurityWeek.
Continuous Vulnerability Management: The New Cybersecurity Imperative Security leaders are drowning in data but starving for actionable insights. Traditional penetration testing has become a snapshot of vulnerability that expires faster...
The post Innovator Spotlight: Xcape appeared first on Cyber Defense Magazine.
Unifying IT Management and Security with ManageEngine In today’s digital landscape, IT can feel like juggling flaming torches, one wrong move and the consequences can be costly. From managing endpoints,...
The post Innovator Spotlight: ManageEngine appeared first on Cyber Defense Magazine.
Data from a recently released Security Navigator report shows that companies still need 215 days to fix a reported vulnerability. Even critical vulnerabilities usually take more than 6 months to fix.
Good vulnerability management does not mean that all potential data breaches are fixed quickly enough. The goal is to focus on real risk, prioritizing vulnerabilities to fix the most critical bugs and reduce the company's attack surface as much as possible. Business data and threat intelligence must be interconnected and automated. This is necessary so internal teams can focus on resolution. Appropriate techniques may take the form of a global vulnerability intelligence platform. Such a platform can help prioritize vulnerabilities using risk scores and allow companies to focus on their true organizational risk.
Get started
Three facts to consider before building an effective vulnerability management program:
1. The number of discovered vulnerabilities increases every year. On average, 50 new security holes are discovered every day, so we can easily understand that it is impossible to fix all of them.
2. Only a few vulnerabilities are actively exploited and pose a very high risk to all organizations. About 6 percent of all vulnerabilities are exploited in the wild. We need to reduce the burden and focus on the real risks.
3. The same vulnerability can have completely different effects on the business operations and infrastructure of two separate companies, so both business exposure and vulnerability severity must be considered. Based on these facts, we understand that there is no point in patching all the security holes. Instead, we should focus on those that pose a real threat based on the threat landscape and organizational context.
Risk-Based Vulnerability Management Concept
The goal is to focus on the most critical and higher-risk assets that are targeted by threat actors. To approach a risk-based vulnerability program, we need to look at two environments.
Internal environment: The customer landscape represents the internal environment. As corporate networks grow and diversify, so does their attack surface. The attack surface represents all the components of the information system that hackers can reach. A clear and up-to-date overview of your information system and attack surface is the first step. It is also important to consider the business environment. Companies can actually be a bigger target depending on the industry because of the proprietary information and documents they hold (intellectual property, classified protection, etc.). A final important factor to consider is the unique context of the business itself. The goal is to categorize assets according to their criticality and highlight the most important. For example: assets that are unavailable would cause significant disruption to business continuity, or highly confidential assets that become available if the organization is involved in multiple lawsuits.
External Environment: The threatening landscape represents the external environment. This information is not available from the intranet. Organizations must have the human and financial resources to find and manage this information. Alternatively, this activity can be outsourced to specialists who monitor the threat landscape on behalf of the organization. Knowing about actively exploited security holes is important because they pose a greater threat to the enterprise. These actively exploited security holes can be tracked thanks to threat intelligence features and vulnerabilities. Even better is to connect and correlate threat intelligence sources for the most effective results. Understanding what attackers are doing is also valuable because it helps prevent potential threats. For example: intelligence about a new zero-day or a new ransomware attack can be reacted in time to prevent a security incident. Combining and understanding both environments help organizations define their true risks and more effectively determine where preventive and remedial actions should be implemented. It is not necessary to install hundreds of patches, but ten of them, selected to significantly reduce the organization's attack surface.
Five Key Steps to Implementing a Risk-Based Vulnerability Management Program Detection: 1. Identify all your assets to find the attack surface: Exploratory scanning can help provide initial insight. Then regularly scan your internal and external environment and share the results with a vulnerability intelligence platform.
2. Contextualization: Determine the criticality of your business context and assets in a vulnerability intelligence platform. The scan results are then put into context with a specific asset-based risk score.
3. Enrichment: To prioritize the threat landscape, scan results must be enriched with additional sources provided by the vulnerability intelligence platform, such as threat intelligence and attacker activity.
4. Fix: A vulnerability-specific risk score that can be targeted based on threat intelligence criteria such as "easily exploited", "exploitable in the wild", or "widely used" makes it much easier to prioritize effective remediation.
5. Evaluation: Track and measure the progress of your vulnerability management program using KPIs and custom dashboards and reports. It is a continuous process of improvement!
Common Enterprise Network Security Vulnerabilities That Need Attention
A few years ago, corporate network security viewed differently than they are today. As companies began to apply modern technologies to their businesses, they opened the door to digital attacks, exposing additional network vulnerabilities that attackers could easily exploit. As such, "enterprise web security" has become one of the key considerations for companies as they grow their digital business. The web security at companies must effectively control network threats to avoid the financial or reputational damage normally associated with data breaches. Prioritizing web security as an active part of an enterprise risk management solution can therefore help organizations protect their sensitive digital assets.
Before we delve into the vulnerable areas of corporate web security, let's understand what they are:
What is corporate security? It includes systems, processes and controls to protect IT systems and critical data in an organized manner.
Privacy and compliance regulations are tightening around the world as organizations continue to rely on cloud-based infrastructure. Therefore, appropriate measures should be taken to protect critical assets.
Let's take a look at common cyber vulnerabilities faced by organizations:
What are the common cyber vulnerabilities of enterprise organizations? It has become one of the biggest concerns for companies in the industry.
Review these common vulnerabilities and stay alert.
Missing or Weak Data Encryption
Missing or weak encryption coverage makes it easier for cyber attackers to access end-user and central server communication data. Unencrypted data exchange makes it a very easy target for attackers to access sensitive data and inject malicious files into your server.
Malware files can seriously undermine an organization's cybersecurity compliance efforts and result in fines from regulators. Organizations typically have multiple subdomains, so using a multi-domain SSL certificate is ideal. Organization can protect the main domain and multiple domains with a single certificate.
Certain software vulnerabilities that are ultimately known to an attacker but have not yet been discovered by an organization can be defined as zero-day vulnerabilities. Regarding the zero-day vulnerability, there is no resolution or fix available as the vulnerability has not yet been reported or detected by the system vendor. There is no protection against such vulnerabilities until an attack takes place, so of course they are very dangerous.
The least an organization can do is to stay vigilant and regularly scan systems for vulnerabilities to minimize, if not stop, zero-day attacks. Apart from that, businesses can be armed with a comprehensive endpoint security solution to prepare for malicious events.
Social Engineering Attacks
Malicious actors launch social engineering attacks to bypass verification and authorization security protocols. This is a widely used method for accessing networks.
“Social engineering” can be defined as any malicious activity carried out through human interaction. This is done through psychological manipulation that tricks web users into making security mistakes or accidentally sharing sensitive data.
Over the past five years, network vulnerabilities have increased significantly, making it a lucrative business for hackers. Internet users are not fully aware of Internet security and may (unintentionally) pose a security risk to your organization. They accidentally download malicious files thereby causing severe damages.
Common social engineering attacks include:
Phishing Email
Spear Phishing
Whaling
Vishing
Smiting
Spam
Pharming
Tailgating
Shoulder Surfing
Trash Diving
Accidentally exposing an organization's network to the Internet is one of the biggest threats to an organization. If an attacker is detected, they can snoop corporate web traffic, compromise a network, or steal data for malicious purposes.
Network resources with weak settings or conflicting security controls can lead to system misconfiguration. Cybercriminals typically scan networks for system misconfigurations and use them to misuse data. As digital transformation progresses, network misconfigurations are also increasing.
To eliminate this, an organization often uses a "firewall" in his DMZ. It acts as a buffer between your internal network and the Internet, acting as your first line of defense. Therefore, it tracks all outgoing and incoming traffic and decides to limit or allow traffic based on a set of rules.
Outdated or Unpatched Software
Software vendors typically release updated versions of their applications to patch known critical vulnerabilities or to incorporate new features or vulnerabilities. Outdated or unrepaired software is an easy target for sophisticated cybercriminals. Such vulnerabilities can be easily exploited.
Software updates may contain important and valuable security measures, but organizations should update their network and each or all endpoints. However, it is quite possible that updates for various software applications will be released daily.
This puts a heavy burden on the IT team and can delay patching and updating. This situation paves the way for ransomware attacks, malware, and multiple security threats.
These are some of the most common vulnerabilities in enterprise web security. Therefore, take appropriate measures to counter these threats.
There is always the risk of network vulnerabilities being compromised as malicious actors try to find various ways to exploit and gain access to systems. And as networks become more complex, there is an imperative to proactively manage cyber vulnerabilities.
Vulnerability management is the consistent practice of identifying, classifying, remediating, and mitigating security vulnerabilities within organizational systems such as endpoints, workloads, and systems.
Summary- An organization's IT environment can have multiple cybersecurity vulnerabilities, so a robust vulnerability management program is required. Use threat intelligence and IT and business operations knowledge to identify risks and detect all cybersecurity vulnerabilities in the shortest possible time.
Today’s complex software systems often include code that leaves them vulnerable to attack by hackers who are always looking for a way to break in. And even with a system with no inherent vulnerabilities, a misconfiguration or careless deployment of credentials handling can afford hackers an opportunity for infiltration. A record 26,448 software security flaws were reported in 2022, with the number of critical vulnerabilities up 59% on 2021. So a good cybersecurity program should include a program for vulnerability management.
Vulnerability management is the process of identifying and remediating weaknesses in your systems, including your applications, infrastructure and security processes. And a key component of that program should be penetration testing, actively probing your system to identify vulnerabilities so they can be analyzed, prioritized and remediated.
As companies move to agile models for software development, the release of new features or products becomes more frequent. And that code can introduce vulnerabilities. Similarly, more systems are being deployed in the cloud. And cloud assets can fall out of compliance or become susceptible to attacks after a single update.
Traditionally, pentesting has been performed on a tactical, one-time basis. But the most thorough penetration test, even if repeated periodically, is only a snapshot in time. While one-time pentesting can be an essential part of any vulnerability management program, this tactical approach is most appropriate for obtaining a picture of your security posture. Identify your vulnerabilities and address them as needed. It is also useful in testing for and proving compliance in regard to security standards such as OWASP, PCI and NIST.
Comprehensive cybersecurity requires more strategic thinking, going beyond the concept of a snapshot. You need to leverage test results for operational purposes, track changes over time, understand performance across the organization, analyze root cause, and communicate your security posture. And to accomplish this you need to have a program of continuous pentesting like those available through Synack. Synack can pentest agile development output at multiple stages of development and assist developer and QA teams with quick remediation through real-time reporting and patch verification. Continuous testing is also best for cloud assets. To facilitate cloud security testing, Synack has integrations with AWS, Azure and GCP that enable detection of changes that could cause problems.
For strategic vulnerability management Synack provides continuous pentesting in 90- and 365-day increments (Synack90 and Synack365) to address a wide range of use cases. Both programs help you catch vulnerabilities as they are introduced, and track your security posture across the organization and over time.
Two of the tools in the Synack platform, whether they are deployed tactically or strategically, that provide an effective one-two punch for identifying and remediating exploitable vulnerabilities are Synack SmartScan and Synack’s transformational penetration testing. Deploying these two tools can help you cut through the noise, taking automated vulnerability testing results and applying human intelligence to improve the vulnerability management workflow. You can address the problems that really matter.
Vulnerability scanning is most appropriate for low-importance assets. Traditional vulnerability scanners are good at identifying known vulnerabilities. But they typically treat all assets the same and are not able to distinguish exploitable vulnerabilities from the noise. They require expert reviews and triage. Synack SmartScan takes the scanning idea to another level. SmartScan is an automated set of scanning tools that continuously watch for changes in your environment to identify and triage security vulnerabilities. SmartScan identifies potential vulnerabilities and engages the Synack Red Team (SRT) to evaluate the results. The SRT along with Synack Operations generates a vulnerability report, including steps to reproduce and remediate the vulnerability. SmartScan enables rather than burdening your security and operations teams.
Pentesting gives you the more accurate and complete vulnerability information that high-importance assets require. To pentest your organization Synack calls on a vetted community of security researchers to actively probe your assets for exploitable vulnerabilities, much like a hacker would. You get top-tier talent to find and fix exploitable vulnerabilities, and confirm remediation efforts across your external attack surface.
With Synack’s flexibility, you can integrate automated scanning and pentesting into your existing workflow, or deploy them as a new process. Either way you get comprehensive end-to-end offensive testing, taking you from discovery through to remediation. And Synack tools can be deployed as an add-on to larger security systems such as Splunk’s data platform or Microsoft’s Sentinel security information and event manager (SIEM).
For the most comprehensive vulnerability management, deploy continuous scanning and pentesting to help you identify and remediate vulnerabilities across your entire asset base.
The post How to Deploy Strategic Pentesting in Your Vulnerability Management Program appeared first on Synack.
With the anniversary of Log4j looming, it is a good time to reflect on the wider significance of the vulnerability that had security teams scrambling in December 2021. What can the response to the flaw in a widely used Apache Software Foundation logging tool tell us about the state of global IT security? Most importantly, how should we respond to similar vulnerabilities that are bound to emerge in the future?
The reason for the heightened concern surrounding Log4j stemmed not only from the scale of the exposure, but also the difficulty in quantifying that exposure. People knew or suspected they were using Log4j but did not necessarily know to what extent and on which devices. It’s like a fire alarm going off: You suddenly know you may have a problem, but you don’t know exactly how big a problem or where in the house it might be.
Log4j also speaks to the well-documented challenge of relying on open source software. We cannot live without it, but in doing so we introduce dependency and risk in ways we had not always anticipated or prepared for. Events like Log4j won’t deter organizations from using open source software. The cost and pain of building tech stacks from scratch is simply too great for the vast majority of organizations.
Much of the media coverage of Log4j highlighted the panicked response. Security teams reacted swiftly and decisively as they sought to contain the risk, with much of the work happening over the festive holiday period to the chagrin of those affected.
That was the right course of action, but it is unsustainable to react in crisis mode all the time. This will burn out your hard-working security team, not least the experts on your networks and systems—key people you don’t want to lose. Vulnerabilities like Log4j are a fact of life, so a different pattern of response is needed. One that allows business operations to continue and risk to be continuously managed.
That calls for first understanding the information security risks you are trying to manage. It sounds obvious, but can you articulate this for your organization? Does your leadership fully understand? Is this something you review with your board periodically? Your security response should flow from a set of priorities articulated by your experts and endorsed by your leadership, or else you are destined for infosec busywork rather than purposeful risk management.
It follows closely that you also need to understand your assets. What data, information and systems do you have? How do you rely on them and what happens if they go away?
With these foundations in place, you can start to build what you need to take all sorts of security challenges in stride, including the next Log4j, whatever that may be.
Training is a key aspect of a measured response. Your whole organization should be trained on the basics of cybersecurity and how to improve cyber hygiene. The security, engineering and infrastructure teams need a plan of action to manage your organization’s response to a new, major vulnerability. Plan your incident response and consider simulating how you would respond as part of a table-top exercise. Revisit this plan from time to time—don’t let it gather dust in a ring-binder in an office no one goes to any more!
These suggestions aren’t easy to implement, but they’re an investment in the longevity of your organization and your security teams. Synack can help augment your security team’s efforts by leading one-off missions to assess assets, going through security checklists or performing continuous pentesting on your entire organization. Contact us to learn more.
The post Battling the Next Log4j: How to Prepare Your Security Team While Avoiding Burnout appeared first on Synack.
Security is too often an afterthought in the software development process. It’s easy to understand why: Application and software developers are tasked with getting rid of bugs and adding in new features in updates that must meet a grueling release schedule.
Asking to include security testing before an update is deployed can bring up problems needing to be fixed. In an already tight timeline, that creates tension between developers and the security team.
If you’re using traditional pentesting methods, the delays and disruption are too great to burden the development team, who are likely working a continuous integration and continuous delivery process (CI/CD). Or if you’re using an automatic scanner to detect potential vulnerabilities, you’re receiving a long list of low-level vulns that obscures the most critical issues to address first.
Instead, continuous pentesting, or even scanning for a particular CVE, can harmonize development and security teams. And it’s increasingly important. A shocking 85% of commercial apps contain at least one critical vulnerability, according to a 2021 report, while 100% use open-source software, such as the now infamous Log4j. That’s not to knock on open-source software, but rather to say that a critical vulnerability can pop up at any time and it’s more likely to happen than not.
If a critical vulnerability is found–or worse, exploited–the potential fines or settlement from a data breach could be astronomical. In the latest data breach settlement, T-Mobile agreed to pay $350 million to customers in a class action lawsuit and invest additional $150 million in their data security operations.
This is why many companies are hiring for development security operations (DevSecOps). The people in these roles work in concert with the development team to build a secure software development process into the existing deployment schedule. But with 700,000 infosec positions sitting open in the United States, it might be hard to find the right candidate.
If you want to improve the security of your software and app development, here are some tips from Synack customers:
Security is a vital component to all companies’ IT infrastructure, but it can’t stand in the way of the business. For more information about how Synack can help you integrate security checkpoints in your dev process, request a demo.
The post Testing Early and Often Can Reduce Flaws in App Development appeared first on Synack.
By Kim Crawley
The annual Verizon Data Breach Investigations Report is a wealth of valuable information about the state of cybersecurity today.
Of course, data breaches remain one of the biggest problems in cybersecurity. Many of the worst breaches expose financial data, authentication credentials, and sensitive legal and medical information. In the wrong hands, this data can help cybercriminals access organizations’ and individuals’ most sensitive data and valuable networks.
Ransomware that targets enterprises is also growing. In fact, ransomware incidents are up 13 percent from the previous year, a larger increase than the previous five years combined. Another data breach vulnerability trend is an increase in human exploitation, whether by phishing, stolen credentials or user errors.
The DBIR is a massive report that resulted from Verizon analyzing a large number of data breaches, which they’ve also verified directly for authenticity. Here’s how Verizon determines which breaches to include:
“The incident must have at least seven enumerations (e.g., threat actor variety, threat action category, variety of integrity loss, et al.) across 34 fields or be a DDoS attack. Exceptions are given to confirmed data breaches with less than seven enumerations. The incident must have at least one known VERIS threat action category (hacking, malware, etc.).”
Verizon acknowledges that many data breaches still go undetected. Nonetheless, as organizations improve their systems for detecting indications of compromise (IOCs), there’s a lot of useful data to be analyzed.
Here are five key findings:
Whenever organizations are testing to see how vulnerable they are to a data breach, it’s important to simulate internal, external and supply chain attacks. Web application pentesting is also more important than ever. As DBIR makes clear, it’s critical that every organization test for unauthorized credential exploitation and phishing attacks, too.
Thank you Verizon for helping our industry better understand data breach threats! For more information about how Synack can help organizations prevent data breaches, get in touch here.
The post Five Big Takeaways from Verizon’s 2022 Data Breach Investigations Report appeared first on Synack.
By Kim Crawley
The key to cyberattacks evading detection from antivirus software and intrusion detection systems is often to exploit operating system processes. That’s a feature of a recently discovered fileless Windows exploit discovered by Kaspersky researchers.
Fileless malware attacks computer systems without writing new files to a computer’s data storage. If antivirus software scans a hard drive for malware, it won’t find any files related to a fileless attack. It’s a popular obfuscation technique with cyber threat actors.
Kaspersky hasn’t given this new exploit any particular name. Kaspersky’s Denis Legezo explained that some DLLs (Windows Dynamic Link Libraries) involved in the exploit resemble tools in commercial pentesting platforms:
“Regarding the commercial tools, traces of SilentBreak and Cobalt Strike toolset usage in this campaign are quite visible. Trojans named ThrowbackDLL.dll and SlingshotDLL.dll remind us of Throwback and Slingshot, which are both tools in SilentBreak’s framework, while the ‘sb’ associated with the dropper (sb.dll) could be an abbreviation of the vendor’s name.
Here we want to mention that several .pdb paths inside binaries contain the project’s directory C:\Users\admin\source\repos\drx\ and other modules not named after Throwback or Slingshot, such as drxDLL.dll. However, encryption functions are the same as in the publicly available Throwback code.”
The new exploit puts malicious shellcode into Windows event logs. Cyberattacks that use fundamental code libraries such as “Log4Shell” and “Spring4Shell” are recent concerns in the cybersecurity community. So, I’ll call this attack “ThrowShell.” Maybe it’ll stick.
The ThrowShell attack starts by persuading a user to download a file with a Cobalt Strike module. Kaspersky researchers have observed this as a RAR archive file with a Cobalt Strike certificate distributed through file.io, a file sharing site the researchers consider to be legitimate. Yes, “ThrowShell” starts as a Trojan. But interestingly, when I tried to visit file.io in Firefox, my Malwarebytes Browser Guard extension blocked the site as a suspected phishing domain. I’ve personally never visited file.io.
Anti-detection wrappers are used with the Trojans. MSVC, Go compiler 1.17.2 and GCC under MinGW are the compilers researchers have seen.
Once the RAR file has been extracted and its contents executed, it’s then much easier for the attacker to send additional malicious DLLs to the targeted device.
Werfault.exe is the initial Windows executable file that’s targeted for code injection by ThrowShell. It’s Microsoft Windows Error Reporting Fault Reporter in Windows 10 and Windows 11. The important role that the process serves in Windows assures that the file is whitelisted in endpoint security applications. It’s almost as sneaky as exploiting svchost.exe, in my opinion.
The malicious executed code is signed with a certificate for an application called “Fast Invest,” which the researchers didn’t see any legitimate code signed with. Once extracted, decrypted and signed, ThrowShell’s malicious code spreads within Windows through dropper injection with Cobalt Strike pentesting software. Explorer.exe, the main file manager for all supported versions of Windows, is one of the processes that ThrowShell targets for code injection. That’s the way fileless malware typically works; inject malicious code into ordinary OS processes and execute it that way.
While spreading through a variety of ordinary Windows DLLs and processes, shellcode is eventually inserted into Windows event logs. Researchers have seen ThrowShell fingerprint Windows targets for MachineGUID, computer names, local IP addresses, OS version, CPU architecture, and SeDebugPrivilege status in processes currently running in memory.
This is all a really stealthy way to infect client Windows targets, get right into the memory, evade detection, establish persistence, and maintain a backdoor right into the Windows shell. This exploit can possibly sit in a Windows client for months or longer with an easy way for the attacker to perform all kinds of malicious activity with administrative privileges.
The post Why the newly discovered Microsoft Windows ‘fileless’ log exploit is a marvel of stealth appeared first on Synack.
Vulnerability testing, whether via an automatic scanning program or human-based penetration testing, can find an overwhelming number of vulnerabilities in your system as recent trends would suggest. Since 2017, record numbers of Common Vulnerabilities and Exposures (CVEs) have been reported, with 2022 on track to set a new high.
Sorting through a record number of vulnerabilities to keep your organization secure is a daunting task without additional support and distillation.
The good news is that of all the vulnerabilities that might show up on a traditional vulnerability report, only around 5% of vulnerabilities discovered are ever exploited in the wild. And most of the exploited vulnerabilities are those with the highest CVSS (Common Vulnerability Scoring System) severity score of 9 or 10.
So how do you know which vulnerabilities in your system need to be addressed right now, and which can be put on the back burner? Some vulnerabilities are an immediate risk to the business, while others are highly unlikely to be exploited. Prioritizing critical vulnerabilities can mean the difference between preventing an attack and responding to one.
Finding and triaging critical vulnerabilities is where Synack’s pentesting outperforms traditional models. We continuously prioritize impactful vulns for your organization, surfacing only vulnerabilities that are reproducible and show exploitability.
The Synack Platform is the only solution to harness the best in augmented intelligence for more effective, continuous pentesting. First, the Synack Red Team (SRT), a group of vetted researchers, conducts open vulnerability discovery, while our automated SmartScan provides broad attack surface coverage. Together, they find vulnerabilities across your attack surface.
Next, the Synack Vulnerability Operations team assesses vulnerabilities found by the SRT and SmartScan by using a rigorous vetting process. Noise, such as duplicate submissions by SRT or non-replicable exploits, low-impact vulns, is kept to a minimum during penetration testing and you’re ultimately served vulnerabilities that present a clear risk.
This additional step to triaging is key to faster remediation and minimizing business risk.
The Vulnerability Operations team is a group of seasoned security professionals with hacking expertise. They are full-time Synack employees with extensive vulnerability knowledge–they’ve seen tens of thousands of them. For the most accurate triaging, high impact vulnerabilities are often reviewed by multiple team members. So, when you get a vulnerability report from Synack, you know that it matters.
The Vulnerability Ops team works alongside the SRT 365 days a year to bring order to the thousands of CVEs. When the team receives an initial vulnerability report, they will first validate the vulnerability by replicating it based on details provided in the report. When the vulnerability is confirmed, the Ops team proofreads and formats the report for utility and readability by a development team. Everything needed to reproduce the vulnerability is provided in each report.
After vulnerabilities are deemed exploitable and impactful, and the report has been detailed with steps to reproduce and suggestions on remediation, it will be published to the Synack Platform.
From there, the Synack Platform provides real-time findings on vulnerabilities found–their CVSS score, steps to remediate and evidence of the researcher’s finding. With this information you can address the vulnerabilities that are most important to your organization in a systematic and thorough manner.
Through the Synack Platform, teams are also able to check if their remediation efforts were successful with Patch Verification. Patch Verification can be requested on-demand, and the researcher will provide further communications on the patch efficacy.
Most organizations don’t have the resources to go chasing every vulnerability reported from initial testing. To further safeguard your organization, someone needs to determine which are true vulnerabilities and which of those are exploitable and at what level of criticality. That process is noise reduction, and it is essential for any cybersecurity operation to shoot for the highest level of noise reduction before proceeding to remediation. Synack, through the Vulnerability Operations, team can take on this task for you.
Using Synack’s unique approach to continuous pentesting, your team will be able to proceed with confidence that their remediation efforts are critical to keeping the organization secure. Get started with Synack penetration testing today.
The post Synack Triaging Prioritizes the Vulnerabilities that Matter appeared first on Synack.
By Kim Crawley
The impact of some software vulnerabilities is so far-reaching and affects so many applications that the potential damage is near impossible to measure. The series of vulnerabilities known as Spring4Shell is a perfect example.
The vulnerability is found in the Spring Framework, which is used in too many Java-based applications to name. Its framework contains modules that include data access and authentication features, so there’s a potential disaster if an attacker can exploit it.
Vx-underground shared news of the discovery of Spring4Shell and linked to a proof-of-concept exploit via Twitter on March 30. The vulnerability facilitates remote code execution and impacts Spring Core in JDK (Java Development Kit) 9 through 18. Frustratingly, Spring4Shell pertains to a bypass for another remote code execution vulnerability that researchers discovered in 2010. That alone emphasizes how critical Spring4Shell is, and how difficult it is to patch or otherwise mitigate.
Because Spring Framework’s modules have so many functions and because of how Spring Framework is used in so many different types of networking applications, there are many ways to exploit Spring4Shell.
One worrisome example is how Spring4Shell has been used to execute Mirai malware and acquire remote root access maliciously.
First surfacing in 2016, Mirai botnet malware has been used by attackers to execute crippling assaults and now it’s coming back with a vengeance. It works by infecting routers and servers and giving attackers the ability to control massive botnet networks. One of the most damaging Mirai attacks hit the Dyn DNS network hard and took out much of the internet in October 2016.
Now, Spring4Shell is aiding the return of Mirai. Spring4Shell’s bugs have been used to write a JSP web shell into web servers with a carefully coded request. Then remote attackers use the shell to execute commands with root access. Mirai is downloaded to a web server’s “/tmp” folder before execution.
Spring4Shell is similar in many ways to Log4Shell, which was initially discovered in November 2021. Log4J is Apache’s Java logging utility that’s been implemented in a plethora of network logging applications from 2001 to today. It’s a little bit of useful software code that’s run in a wide variety of internet servers and services. Exploiting the Log4Shell vulnerability can give attackers administrative access to all kinds of internet targets. Ars Technica’s Dan Goodin called it “arguably the most severe vulnerability ever,” and Apache started deploying patches on Dec. 6. It has not been an easy job because there are multiple CVEs and they aren’t simple to fix.
Spring4Shell and Log4Shell both pertain to Java’s vast libraries and resources. Java is one of the most commonly used application development technologies on internet servers and on a variety of types of endpoints, especially Android devices. The downside to a technology being so popular and useful is that it’ll also be a prime target for attackers. Inevitably, there will be many more devastating Java library vulnerabilities discovered in the years to come.
Businesses should quickly work to patch Spring4Shell and Log4Shell vulnerabilities across their entire networks.
Rigorous, continuous pentesting can help organizations spot these vulnerabilities quickly. The more traditional approach to pentesting just isn’t robust enough to help organizations find and fix the latest complex vulnerabilities.
Reach out today to discover how Synack can help.
The post What’s the Spring4Shell Vulnerability and Why it Matters appeared first on Synack.
Part 1: Getting rid of the noise and focusing on the vulnerabilities that matter most
In this blog series, Tim Lawrence, a Synack solutions architect and former chief security officer, breaks down the essentials for a more effective and powerful cybersecurity strategy.
By Tim Lawrence
Building a stronger cybersecurity strategy starts with a solid foundation. That means looking first at the vulnerability management process to ensure it’s fine-tuned, so your organization can quickly find and remediate the threats that put businesses at risk. Fine-tuning reduces the noise so teams know where and how to focus their efforts—on the vulnerabilities that matter most.
During my 22-year career in cybersecurity, I’ve been guilty of bombarding the vulnerability management team with too much noise. As security professionals, we tend to rely too heavily on vulnerability scanners for our vulnerability results. We take those findings and send them to the remediation side of our team without really verifying whether those results are actually exploitable or represent a serious risk.
To address this problem we need to move to a scan, validate, remediate and test mentality.
Scanners are great as they get us going in a general direction. We need to be able to take that scan data and turn it into something actionable for the team. To do that we need to validate the scan finding to make sure they are truly exploitable and a risk to our business. Once there is tangible data that proves the vulnerability is exploitable and poses a risk to our business, then we pass that information to the remediation experts. Once the remediation team has completed the remediation, we verify it is no longer a risk to our business. This means we need to test that the remediation did the job.
The reality is that security teams never grow as fast as the companies they support. This is one of the key reasons that teams are overworked and have trouble keeping up with increased risk as businesses’ overall threat surface expands. I saw this first hand having spent 16 years in an extremely fast-growing company, with six of those years as the chief information security officer.
Now as a solutions architect at Synack, I talk with IT and security leaders every day, and they echo these same problems. It’s from these experiences that I’ve developed five steps for building a better security strategy.
Overall, the goal is to approach vulnerability management with a shift-left mentality and build efficiencies into the process for security teams to maximize their results, build trust across their organization and demonstrate their value.
For more information about how Synack can help your organization build a better security strategy, get in touch today.
The post 5 Steps for Building a Better Security Strategy appeared first on Synack.
Login