A. 개요
컴퓨터 보안 컨텍스트 내의 샌드박스는 Word 문서 또는 브라우저 열기와 같은 응용 프로그램의 작업을 격리된 가상 환경으로 제한하는 시스템입니다. 이 안전한 가상 환경 내에서 샌드박스는 다양한 애플리케이션 상호 작용을 연구하여 악의적인 의도를 찾아냅니다. 따라서 예상치 못한 일이나 위험한 일이 발생하면 샌드박스에만 영향을 미치고 네트워크의 다른 컴퓨터와 장치에는 영향을 미치지 않습니다. 샌드박스 기술은 일반적으로 조직의 정보 보안 팀에서 관리하지만 네트워크, 애플리케이션 및 데스크톱 운영팀에서 해당 도메인의 보안을 강화하는데 사용됩니다.
위협 행위자는 합법적인 애플리케이션의 취약점을 악용하여 장치를 손상시키고 거기에서 네트워크를 통해 이동하여 다른 장치를 감염시킵니다. 알 수 없는 취약점을 악용하는 것을 제로데이 공격이라고 합니다. 샌드박싱 이전에는 제로데이 공격을 막을 수 있는 효과적인 수단이 없었습니다. 방화벽과 바이러스 백신 소프트웨어는 알려진 위협을 막을 수 있지만 제로데이 공격에는 무력했습니다.
샌드박스는 다양한 컴퓨터 장치, 운영 체제 및 애플리케이션을 모방하는 격리된 가상 환경을 제공했습니다. 이는 이러한 가상 시스템의 안전 내에서 잠재적인 위협 이 발생할 수 있도록 허용했습니다. 샌드박스에서 의심스러운 파일이나 활동이 무해하다고 결론을 내린 경우 추가 조치가 필요하지 않았습니다. 그러나 악의적인 의도가 감지되면 파일이 격리되거나 실제 장치에서 활동이 중지될 수 있습니다.
B. 세대별 샌드박스
2-1. 초기 샌드박스
상당수는 네트워크 내의 다른 보안 장치와 긴밀하게 통합되지 못했습니다. 샌드박스가 제로데이 공격을 식별하고 물리칠 수는 있지만 이 중요한 위협 인텔리전스가 적시에 다른 네트워크 보안 장치와 항상 공유되는 것은 아닙니다. 그러나 통신 및 조정 실패는 샌드박스 기술의 결함보다는 포인트 솔루션을 기반으로 구축된 보안 아키텍처와 관련이 없습니다. 다른 공급업체의 제품과 완전히 통합될 수 없는 포인트 솔루션은 보안 운영 센터(SOC)에 각 제품 마다 관리 콘솔이 필요하다는 것을 의미했습니다. 따라서 위협 인텔리전스 데이터를 집계하려는 시도는 어렵고 시간이 많이 소요되었습니다.
2-2. 2세대 샌드박스
사일로적이고 단편적인 접근 방식을 바로잡기 위해 등장했습니다. 샌드박스에는 더 많은 통합 도구가 장착되거나 다른 제품 공급업체와 제휴하여 통합을 개선했습니다. 결과적으로 방화벽, 이메일 게이트웨이, 엔드포인트 및 기타 샌드박스 장치와 같은 다른 보안 장치와 위협 인텔리전스를 보다 효과적으로 공유할 수 있습니다. 네트워크 보안에 대한 새로운 접근 방식을 통해 분석가는 위협 인텔리전스를 중앙에서 상호 연관시키고 단일 창에서 위협에 대응할 수 있었습니다. 또한 통합 네트워크 보안 환경은 정보를 클라우드의 위협 인텔리전스 서비스와 공유하여 다른 네트워크로 푸시할 수 있습니다.
2-3. 3세대 샌드박스
오늘날 위협 행위자들은 자동화 및 인공 지능 AI 기술을 혁신하여 새로운 악성 코드 변종 및 악용의 생성을 가속화하고 현재 방어를 회피하고 압도하려는 목표로 보안 취약점을 보다 신속하게 발견하고 있습니다. 이러한 새로운 위협에 보조를 맞추고 탐지 속도를 높이려면 샌드박스 위협 분석 프로세스에 AI 학습을 추가하는 것이 필수적입니다.
AI 기반 공격에는 위협 분석 표준을 기반으로 한 3세대 샌드박스가 필요했습니다. 또한, 디지털 전환으로 인해 확대되는 기업의 공격 표면을 커버해야 했습니다. 디지털 혁신은 비즈니스 데이터, 애플리케이션, 인프라를 클라우드로 이동하는 것을 의미합니다.
C. 샌드박스와 AI
표준 기반 위협 분석의 어려움은 사이버 위협 방법을 해석하고 이해하는데 어려움이 있어 효과적인 대응을 방해했기 때문에 발생했습니다. 비영리단체인 MITRE는 표준 악성코드 특성을 분류적으로 설명하는 ATT&CK 프레임워크를 제안했습니다. 많은 조직에서 MITRE를 채택했습니다. ATT&CK를 위협 분석의 표준으로 사용합니다. 따라서 보안 제품에 MITRE ATT&CK 프레임워크를 채택하는 것이 필요해졌습니다. 이는 다른 공급업체 장치와 공유하고 쉽게 이해할 수 있는 위협을 식별, 설명 및 분류할 수 있는 공통 언어를 보안 장치에 제공했습니다.
마지막으로, 더 많은 기업이 디지털 혁신을 채택함에 따라 새로운 조직이나 조직의 일부가 공격에 노출됩니다. 그러한 예 중 하나가 유틸리티, 제조, 석유 및 가스 등을 포함하는 운영 기술(OT) 산업입니다. 전통적으로 OT는 운영 네트워크를 기업 비즈니스 네트워크와 별도로 내부에 유지했지만 점점 더 OT 네트워크가 기업 및 타사 공급업체 네트워크에 액세스하고 있습니다. 또 다른 예로는 AWS, Azure 등 퍼블릭 클라우드에서 애플리케이션, 플랫 폼 및 인프라를 서비스로 제공하는 조직이 있습니다. 이들은 인터넷을 통해 액세스할 수 있는 다른 비즈니스용 애플리케이션을 호스팅합니다. 이러한 새로운 영역에는 비즈니스 중단과 보안 위험을 최소화하기 위해 제로데이 위협에 대한 유사한 보호가 필요합니다. 결과적으로 샌드박스 기술은 발전하면서 이러한 영역과 다른 영역에 더 넓은 적용 범위를 제공하도록 발전했습니다.
Fortinet 샌드박스 제품은 FortiSandbox™로 명명되었으며 여기에서 논의된 모든 최신 기술을 구현합니다. Fortinet 보안 패브릭이라는 집단 방어를 통 해 다른 보안 제품과 통합됩니다. 보안 패브릭의 중요한 부분은 AI 학습 및 기타 위협 인텔리전스 서비스를 샌드박스 기술에 제공하는 FortiGuard® Labs입니다.
[FCF] Cybersecurity 2.0 - Lesson 04: WAF(웹 애플리케이션 방화벽)
[FCF] Cybersecurity 2.0 - Lesson 03 : Sandbox (Quesion&Answer)