지난 몇 년 동안 Area 1과 Cloudflare는 제품에서 사용할 위협 지표 데이터를 수집하기 위해 파이프라인을 구축해왔습니다. 인수 과정에서 Area 1과 Cloudflare는 참고 사항을 비교했는데, 두 시스템 사이에서 겹치는 지표가 예상보다 적다는 점을 알게 되었습니다. 이는 하나의 기회였습니다. Cloudflare와 Area 1은 첫 번째 합병 작업 중 하나로, Area 1의 위협 지표 데이터를 Cloudflare 제품군에 도입하기 시작했습니다. 이에 따라 현재 Cloudflare 자체 파이프라인에서 지표 데이터를 사용하는 모든 제품에서 이제 Area 1의 데이터까지 활용할 수 있게 되었습니다.
Area 1은 새롭게 진행 중인 피싱 위협을 파악하는 데 중점을 둔 데이터 파이프라인을 구축했으며, 지금은 Gateway에서 이용할 수 있는 피싱 범주를 보완해주고 있습니다. 이 범주를 참조하는 정책을 사용하고 있다면, 추가된 위협 범위를 이미 활용하고 계신 겁니다.
Cloudflare가 잠재적인 피싱 위협을 파악하는 방법
Cloudflare는 Area 1을 인수하기 전에 각 Cloudflare 팀과 Area 1 팀에서 독립적으로 개발한 데이터, 절차, 기술을 결합할 수 있습니다. 고객은 전체적인 Cloudflare 제품군에서 양 팀의 결과물을 활용할 수 있습니다.
Cloudflare는 자체 네트워크 트래픽, OSINT 소스, 수많은 파트너십 모두를 통해 데이터 피드 세트를 선별하고 사용자 지정 긍정 오류 제어를 적용합니다. Cloudflare를 사용하는 고객은 이러한 피드를 배포하고 업데이트하는 데 필요한 운영 워크로드와 소프트웨어 개발 활동을 줄일 수 있습니다. Cloudflare는 이 과정을 자동으로 처리하며 1분마다 업데이트합니다.
이뿐만 아니라, Cloudflare는 다양한 방식으로 피싱 인프라를 미리 식별할 수 있습니다. Area 1을 인수한 Cloudflare는 이제 네트워크 전체에 Area 1의 공격자 중심 위협 연구 접근 방식을 적용할 수 있게 되었습니다. 위협 연구 팀에서는 정부의 후원을 받아 재정적인 목적으로 위협을 수행하는 공격자, 새로 공개된 CVE, 현재의 피싱 동향을 추적합니다.
현재 Cloudflare는 DNS 확인자, Zero Trust 제품군, 네트워크 서비스 외에도 전 세계 수백 개의 조직이 이용하는 메일 교환 서버를 운영하고 있습니다. 각각의 제품에서 생기는 데이터로 모든 Cloudflare 제품의 보안이 강화됩니다. 예를 들어 메일 엔진에서는 메일 전달 과정의 일부로 도메인을 조회하며 기계 학습을 통해 잠재적인 피싱 지표의 점수를 매기고 URL을 가져옵니다. 이제 Cloudflare의 제품에서 이와 같은 데이터를 사용할 수 있습니다.
Cloudflare Area 1이 잠재적인 피싱 위협을 파악하는 방법
Cloudflare Area 1 팀은 피싱 페이지를 파악하고, 피싱 수단을 포착하며, 공격자 인프라를 표시하도록 설계된 웹 크롤링 도구 제품군을 운영합니다. 이와 더불어 Cloudflare Area 1 위협 모델은 위협 행위자 캠페인에서 수집한 신호에 따라 캠페인을 평가합니다. 향후에 캠페인을 확인하는 데 도움이 되도록, 캠페인 메시지 관련 IOC를 Cloudflare Area 1 위협 데이터를 보강하는 데에도 사용합니다. Cloudflare Area 1은 이와 같은 기술을 함께 사용해 고객이 공격을 받기도 전에 공격자의 손상 지표를 식별할 수 있습니다. 이와 같은 사전 예방적 접근 방식 중 하나로서, Cloudflare Area 1에는 정부의 후원을 받아 재정적인 목적으로 위협을 수행하는 공격자, 새로 공개된 CVE, 현재 피싱 동향을 추적하는 위협 연구 팀도 있습니다. 분석가는 위협 연구를 통해 피싱 지표를 폭넓은 지표 관리 시스템에 정기적으로 추가하는데, Cloudflare의 이메일 제품이나 이를 쿼리할 수 있는 기타 제품에서 이러한 지표를 사용할 수 있습니다.
Cloudflare Area 1은 전 세계 수백 개 조직의 메일 교환 서버로서 정상적으로 운영되는 동안 벌어진 피싱 위협에 대한 정보까지도 수집합니다. 메일 엔진은 메일 교환 서버로서의 역할을 수행하면서 도메인을 조회하고 기계 학습을 통해 잠재적인 피싱 지표를 평가하며 URL을 가져옵니다. 이메일이 악의적 이메일로 밝혀지면, 향후에 메시지를 평가할 피드백 루프의 일부로 해당 이메일 관련 지표를 지표 관리 시스템에 추가합니다.
피싱 감지를 개선하는 데 Cloudflare 데이터가 이용되는 방법
Gateway 및 Page Shield를 포함한 Cloudflare 제품을 지원하기 위해 Cloudflare는 파트너십, OSINT 소스, Cloudflare 사내에서 생성된 위협 인텔리전스를 통해 데이터를 수집하는 데이터 파이프라인을 갖추고 있습니다. Cloudflare는 고객과 관련되고 Cloudflare가 지원하는 제품에서 실행 가능한 위협 인텔리전스 데이터 세트를 선별하기 위해 항상 노력하고 있습니다. Cloudflare는 '어떤 데이터를 제공하면 고객이 복잡한 데이터, 관계, 구성을 관리하도록 하지 않고도 보안을 강화할 수 있을까?'라는 질문을 기준 삼아 나아갑니다. 보안 위협 범주는 다양하게 제공되지만 주요 초점 영역은 다음과 같습니다.
- 맬웨어 배포
- 맬웨어 및 봇넷 명령 및 제어
- 피싱,
- 신규 및 새로 확인된 도메인
이메일, SMS, 캘린더 초대나 공유 문서, 또는 기타 수단 등 잠재적인 피싱 링크가 어떤 방식으로 조직에 침투하든, 피싱은 위협입니다. 그렇기 때문에 Cloudflare의 위협 데이터 팀은 거의 처음 만들어졌을 때부터 피싱 도메인을 감지하고 차단하는 작업 영역을 적극적으로 개발해왔습니다.
앞으로 이러한 작업 영역을 Cloudflare Area 1의 피싱 이메일 감지 프로세스에 통합할 수 있을 것입니다. 발신자, 전달 헤더, 메시지 본문이나 이메일 링크에 도메인이 나타날 때, Cloudflare의 피싱 도메인 목록은 악의적인 이메일을 식별하는 데 유용할 수 있습니다.
1+1 = 3: Cloudflare와 Area 1이 서로 공유한 것보다 더욱 큰 데이터세트
위협 행위자는 오랫동안 공평하지 않은 이점을 누리고 있었습니다. 행위자가 갖추고 있는 표적에 대한 지식, 표적을 노린 특정 캠페인을 마련해야 하는 시기로 인해 이러한 이점이 생겼습니다. 위협 행위자는 시간적인 차원을 이용해 인프라를 적절히 준비하고, 정찰하며, 캠페인을 준비하고, 테스트를 프로빙하며, 결과를 관찰, 반복, 개선한 다음 '프로덕션' 캠페인을 시작할 수 있습니다. 이 시간 요소를 정확히 이용하면 캠페인이 의도한 결과를 달성하기 전에 캠페인 인프라를 발견하고 평가하여 미리 필터링할 수 있는 기회가 생깁니다. 하지만 이 기회를 효과적으로 찾아내려면 공용 IP 공간 전반에 걸쳐 위협 활동에 대한 가시성과 지식을 갖추고 있어야 합니다.
Cloudflare의 광범위한 네트워크와, DNS 또는 이메일, 웹 트래픽 출처에 대한 글로벌 인사이트는 Cloudflare Area 1의 캠페인 전술, 기술, 절차(TTP), 시드 인프라 및 위협 모델 데이터 세트와 결합되었습니다. Cloudflare는 조직이 정교한 위협 행위자 활동으로부터 보호받고, 오랫동안 악당들이 주로 차지했던 이점을 되찾을 수 있도록 돕는 데 그 어느 때보다 유리한 위치를 점하게 되었습니다.
Zero Trust를 이메일 보안 기능에 확장해 지능형 위협을 차단하려면, Customer Success 관리자에게 문의하거나 여기에서 피싱 위험 평가를 요청하세요.