1P by neo 4달전 | favorite | 댓글 1개

2023년 추수감사절 보안 사건

  • 2023년 11월 23일 추수감사절에 Cloudflare는 자체 호스팅된 Atlassian 서버에서 위협 행위자를 탐지함.
  • 보안 팀은 즉시 조사를 시작하고 위협 행위자의 접근을 차단함.
  • 11월 26일에는 CrowdStrike의 포렌식 팀을 독립적인 분석을 위해 불러들임.
  • CrowdStrike는 조사를 완료하고 Cloudflare는 이 블로그 포스트를 통해 보안 사건의 세부 사항을 공유함.
  • Cloudflare 고객 데이터나 시스템은 이 사건으로 인해 영향을 받지 않았음을 강조함.
  • 접근 제어, 방화벽 규칙, Zero Trust 도구를 사용한 하드 보안 키 강제 적용으로 인해 위협 행위자의 수평 이동 능력이 제한됨.

“코드 레드” 복구 및 강화 작업

  • 위협 행위자가 환경에서 제거된 후, 보안 팀은 회사 전반에 걸쳐 필요한 모든 사람들을 동원하여 침입 조사 및 접근 차단을 완료함.
  • 11월 27일부터 기술 인력을 동원하여 "코드 레드"라는 프로젝트에 집중함.
  • 이 프로젝트는 환경 내 모든 제어를 강화하고 검증하여 미래의 침입에 대비하고 위협 행위자가 환경에 다시 접근하지 못하도록 하는 것이 목표임.
  • CrowdStrike는 위협 행위자의 활동 범위와 정도에 대한 독립적인 평가를 수행함.

공격 타임라인

  • 공격은 10월 Okta의 보안 침해로 시작되었으며, 위협 행위자는 11월 중순부터 Okta 침해로 얻은 자격 증명을 사용하여 Cloudflare 시스템을 대상으로 함.
  • 10월 18일 Okta 침해로 인해 위협 행위자가 자격 증명에 접근함.
  • 11월 14일부터 위협 행위자는 시스템 탐색 및 접근 시도를 시작함.
  • 11월 15일에는 Atlassian Jira와 Confluence에 성공적으로 접근함.
  • 11월 16일에는 Atlassian 사용자 계정을 생성함.
  • 11월 17일부터 20일까지는 Cloudflare 시스템에 접근하지 않음.
  • 11월 22일에는 지속적인 접근을 위해 Sliver Adversary Emulation Framework를 설치함.
  • 11월 23일에는 보안 팀이 위협 행위자의 존재를 감지하고 접근 차단을 시작함.

결론

  • 이 사건은 국가 주도의 공격자에 의한 것으로 추정되며, Cloudflare는 이 사건의 영향을 제한하고 미래의 공격에 대비하기 위해 많은 노력을 기울임.
  • Cloudflare의 엔지니어링 팀은 시스템을 보호하고 위협 행위자의 접근을 이해하며 즉각적인 우선 사항을 해결하고 전반적인 보안을 개선하기 위한 계획을 수립함.
  • CrowdStrike는 독립적인 평가를 수행하였으며, 최종 보고서가 완료된 후 Cloudflare는 내부 분석과 침입에 대한 조치에 자신감을 가지고 이 블로그 포스트를 공개함.

GN⁺의 의견:

  1. 이 사건은 Cloudflare의 Zero Trust 아키텍처의 중요성을 강조함. 이는 시스템 간의 격리를 통해 전체 조직에 대한 위협의 확산을 제한하는 방식으로 작동함.
  2. Cloudflare의 신속한 대응과 "코드 레드" 프로젝트를 통한 보안 강화 노력은 기업이 사이버 보안 위협에 대응하는 방식에 대한 통찰력을 제공함.
  3. 이 글은 사이버 보안 사고가 발생했을 때 조직이 어떻게 대응하고, 어떤 조치를 취해야 하는지에 대한 이해를 돕는 유익한 사례로 작용함.
Hacker News 의견
  • 클라우드플레어(Cloudflare)의 블로그 포스트와 같은 행동들이 신뢰를 주는 이유

    • 클라우드플레어가 완벽하지는 않지만, 공학적 사고방식과 심각한 문제에 대한 대처로 신뢰할 만함.
    • 블로그 포스트에 대한 감사 표현.
  • 데이터 유출의 문제점

    • 데이터가 한 번 유출되면 영구적으로 통제 불가능.
    • 사건 후 강화 작업과 대화는 중요하지만 이미 발생한 일을 막을 수는 없음.
  • Okta 시스템의 보안 문제

    • Okta 시스템의 두 번째 타격을 받은 것에 대한 우려.
  • 회전되지 않은 서비스 토큰과 계정

    • 사용되지 않는다고 잘못 믿어져서 회전되지 않았음.
    • 왜 완전히 취소되지 않았는지에 대한 의문.
  • 공격자의 제한된 접근과 대응 조치

    • 공격자의 접근이 제한적이라고 믿었지만, 모든 생산 자격증명을 회전시키고, 시스템을 포렌식 분석하고, 재이미징 및 재부팅하는 등의 광범위한 조치를 취함.
    • 브라질 데이터 센터의 새로운 시스템에 대한 접근 시도는 실패했으며, 장비는 제조업체에 반환되어 검사를 받고 교체됨.
  • 공격자의 목적 분석

    • 위키 페이지, 버그 데이터베이스, 소스 코드 저장소 분석을 통해, 클라우드플레어의 글로벌 네트워크 아키텍처, 보안, 관리 정보를 찾으려는 것으로 보임.
  • 클라우드플레어의 BitBucket 사용에 대한 놀라움

    • 클라우드플레어가 BitBucket을 사용한다는 사실에 대한 놀라움 표현.
  • 사용되지 않는 자격증명에 대한 처리

    • 사용되지 않는다고 여겨진 자격증명에 대해 회전이 아닌 삭제가 적절했을 것임.
  • Okta 사건 후 자격증명 회전과 허니팟 제안

    • 유출된 자격증명을 회전시킨 후, 공격자의 행동을 관찰하기 위해 허니팟을 사용할 것을 제안함.
  • 제로 트러스트(ZT)에 대한 의문

    • 단일 베어러 토큰으로 애플리케이션에 접근할 수 있는 것이 제로 트러스트의 정의에 부합하지 않는다고 지적함.

배경 지식: 클라우드플레어는 인터넷 보안 서비스 및 분산 도메인 이름 서버 서비스를 제공하는 회사이며, Okta는 신원 및 접근 관리 서비스를 제공하는 회사임. 제로 트러스트는 네트워크 보안의 한 모델로, 기본적으로 모든 사용자와 장치를 신뢰하지 않고 검증하는 접근 방식을 말함.