Kant's Times

[혁신의 시작, 보안①] MS “400만달러 상금 걸고 AI·클라우드 버그바운티 진행” - 데이터넷 [혁신의 시작, 보안①] MS “400만달러 상금 걸고 AI·클라우드 버그바운티 진행” - 데이터넷[데이터넷] 급변하는 사이버 위협 환경 속에서 보안은 모든 조직이 최우선 고려해야 할 과제가 되었다. 특히 AI 발전으로 새로운 공격이 등장하고 있으며, 기존 보안 체계로 대응하기 어려운 새www.datanet.co.kr [혁신의 시작, 보안②] 아틀라스 콥코 “MS 노출관리, 효과적 위협 대응 지원” - 데이터넷 [혁신의 시작, 보안②] 아틀라스 콥코 “MS 노출관리, 효과적 위협 대응 지원” - 데이터넷[데이터넷] 급변하는 사이버 위협 환경 속에서 보안은 모든 조직이 최우선 고려해야 할 과제가 되었다. 특..

준비된 기업에만 유용한 버그 바운티 준비된 기업에만 유용한 버그 바운티기업 외부의 보안 연구원이 소프트웨어 취약점을 발견하면 금전적 인센티브를 제공하는 버그 바운티 프로그램은 새로운 개념 같다. 그러나 버그 바운티 플랫폼 업체인 해커원(HackerOne)에 따르면www.itworld.co.kr 버그 바운티 프로그램의 개요외부 보안 연구원이 소프트웨어 취약점을 발견해 신고하면 금전적 보상을 제공하는 프로그램기업의 보안 취약점을 발견하고 수정하며, 사이버보안 강화를 도모초기 사례: 1983년 헌터 앤 레디가 칩 운영체제 오류 발견에 1,000달러 지급버그 바운티 프로그램의 이점내부에서 발견하지 못한 취약점을 발견 가능다양한 사고방식을 가진 외부 연구원을 활용하여 보안 개선보안 강화와 함께 규제 기관 및 시장..

[웨비나중계] “클라우드·AI·SaaS 도입 시 SASE 플랫폼은 필수” - 데이터넷 [웨비나중계] “클라우드·AI·SaaS 도입 시 SASE 플랫폼은 필수” - 데이터넷[데이터넷] 데이터넷TV가 주최한 제7회 SASE & SD-WAN 인사이트 2024의 시작은 팔로알토네트웍스가 열었다. 배준호 팔로알토코리아 부사장이 ‘글로벌 최신 SASE 구축 이유, ROI 절감 및 MSSP NaaS 상품 유www.datanet.co.kr [웨비나중계] “다양한 기능 통합된 시스코 유저 프로텍션 스위트로 제로 트러스트 구현” - 데이터넷 [웨비나중계] “다양한 기능 통합된 시스코 유저 프로텍션 스위트로 제로 트러스트 구현” - 데[데이터넷] 데이터넷TV가 주최한 제7회 SASE & SD-WAN 인사이트 2024의 두 ..

"내년 제로 트러스트·엣지 컴퓨팅이 IT 핵심 될 것" "내년 제로 트러스트·엣지 컴퓨팅이 IT 핵심 될 것"내년부터 제로 트러스트와 엣지 컴퓨팅이 보안과 인공지능(AI) 핵심축으로 자리 잡을 전망이다.16일 클라우드플레어가 전 세계 최고정보책임자(CIO)와 최고보안책임자(CSO), IT실무진을 위해 발표zdnet.co.kr 제로 트러스트의 중요성제로 트러스트는 신뢰를 배제하고 모든 디지털 상호작용을 지속적으로 검증하는 강력한 보안 원칙기존 네트워크 경계가 사라지는 클라우드 네이티브 및 분산 업무 환경에서 필수적 보안 전략으로 자리 잡음공항 보안 검색대처럼 지속적인 검증과 모니터링이 주요 특징엣지 컴퓨팅의 역할AI 혁신과 엣지 컴퓨팅: 연산 능력을 데이터가 필요한 위치 근처로 이동해 지연 시간을 줄이고 ..

맨디언트, “견고한 거버넌스로 생성형 AI 보안 강화해야” 맨디언트, “견고한 거버넌스로 생성형 AI 보안 강화해야”기업이 생성형 인공지능(AI) 도입으로 인한 내부정보 유출 등 사이버 보안 문제에 관심을 갖지만, 정작 AI 거버넌스가 취약하다거나 데이터를 부실하게 관리하는 등 잠재적인 보안 실수를 저지르www.etnews.com 생성형 AI 도입과 보안 문제생성형 AI 도입으로 내부정보 유출 및 보안 문제 발생 가능성 증가기업 내 AI 거버넌스 취약성과 데이터 관리 부실이 주요 원인주요 문제점과 해결 방안부실한 AI 거버넌스문제점업무용 생성형 AI 사용으로 보안 및 프라이버시 리스크 증가과도한 제한으로 직원들이 '쉐도우 AI' 활용해결 방안반복적이고 유연하며 명확한 커뮤니케이션 기반의 거버넌스 설계이해..

OWASP 선정 주요 취약점 대응 위한 API 보안기술 TOP 6 OWASP 선정 주요 취약점 대응 위한 API 보안기술 TOP 6API(Application Programming Interface)는 각기 다른 애플리케이션을 연결해 주는 인터페이스로, 각각의 서비스들을 하나로 묶는 중요한 역할을 한다. API 보안의 기본은 웹 애플리케이션 보안이다. 버퍼www.boannews.com API 보안의 중요성API(Application Programming Interface)는 서로 다른 애플리케이션 간의 연결을 제공하며, 데이터 교환과 서비스 통합에 필수적임민감 정보 보호, 접근 제한, 로그 관리, 크리덴셜 스터핑(Credential Stuffing) 방지 등을 통해 API 보안이 강화되어야 함OWASP ..

용서를 위한 성탄절인데, 보안에는 ‘용서하기 힘든’ 실수가 있다? 용서를 위한 성탄절인데, 보안에는 ‘용서하기 힘든’ 실수가 있다?각종 소프트웨어 제품들에서 지속적으로 발견되는 취약점들이 몇 가지 있다. 그 중 하나는 ‘경로 조작 취약점(path traversal)’이다. 소프트웨어 업계도 이 사실을 잘 알고 있다. 그래서 지난 20여www.boannews.com 경로 조작 취약점의 정의와 위험성경로 조작 취약점(Path Traversal)은 사용자가 입력값을 조작하여 소프트웨어가 의도하지 않은 디렉토리에 접근하거나 민감한 데이터를 열람할 수 있게 만드는 취약점공격자는 이를 통해 민감한 데이터를 유출하거나, 악의적인 콘텐츠를 삽입하며, 심각한 시스템 손상을 초래할 수 있음클라우드 서비스 환경에서도 동일하..

New Glutton Malware Exploits Popular PHP Frameworks Like Laravel and ThinkPHP 개요Glutton은 새로운 PHP 기반 백도어로 중국, 미국, 캄보디아, 파키스탄, 남아프리카를 목표로 공격 발생QiAnXin XLab에 의해 2024년 4월 하순 발견Winnti(에이피티(ATP)41) 그룹과 연관 가능성 제기되나, 특유의 은폐 기법 부족 등으로 확정적 평가는 어려움주요 특징인기 PHP 프레임워크(Baota(BT), ThinkPHP, Yii, Laravel) 대상 코드 삽입ELF 백도어(PWNLNX와 유사) 설치 후, 민감 정보 수집 및 원격 명령 실행C2 통신 암호화 미흡 (HTTP만 사용), 파일 난독화/암호화도 없음모듈형 설계로 PHP 프로세스..

NoviSpy Spyware Installed on Journalist's Phone After Unlocking It With Cellebrite Tool 사건 개요독립 언론인 슬라비샤 밀라노프의 휴대폰이 세르비아 경찰에 의해 셀레브라이트(Cellebrite) 도구로 잠금 해제된 직후 NoviSpy 스파이웨어에 감염NoviSpy는 감염된 기기에서 민감 정보를 수집하고, 원격으로 마이크와 카메라를 활성화해 감시 수행이 사건은 고도 침투형 기술 두 가지(포렌식 추출 도구 + 스파이웨어)가 동시에 사용된 이례적 사례로 주목스파이웨어 침투 과정언론인이 구금된 상황에서 Android 디바이스가 물리적으로 확보되어, 셀레브라이트 도구를 통해 잠금 해제이후 ADB(Android Debug Bridge) 명령을 사용..

DeceptionAds Delivers 1M+ Daily Impressions via 3,000 Sites, Fake CAPTCHA Pages DeceptionAds 캠페인 개요DeceptionAds는 악성광고를 통해 정보 탈취형 악성코드를 배포하는 캠페인단일 광고 네트워크를 활용해 하루 100만 건 이상의 광고 노출을 발생시키며, 3,000개 이상의 웹사이트를 통해 피해자를 유도피해자는 가짜 CAPTCHA 페이지를 통해 Base64로 인코딩된 PowerShell 명령을 실행하도록 속여, Lumma 같은 정보 탈취형 악성코드가 설치됨주요 공격 기법가짜 CAPTCHA 페이지불법 영화 사이트나 클릭 유도 콘텐츠 사이트 방문자를 가짜 CAPTCHA 페이지로 유도사용자에게 악성 스크립트를 실행하도록 유도하여 계..