보안 코드 실행의 미래: 협업 eBPF 접근 방식 수용

사이버 보안 분야에서는 항상 강력하고 신뢰할 수 있는 코드 실행 방법을 찾고 있습니다.eBPF (확장된 버클리 패킷 필터) 및 특수 샌드박싱 기술과 같은 도구가 핵심 솔루션이 되었습니다.

그러나 2024년 여름에 열리는 두 가지 이벤트는 이러한 도구의 강점과 약점을 모두 강조합니다.

• 2024년 6월: 향상된 버클리 패킷 필터 (eBPF) 코드 검증 프로그램의 버그로 인해 주요 EDR (엔드포인트 탐지 및 대응) 공급업체의 Linux 드라이버가 Linux 커널을 충돌시켜 Linux 고객 사이에서 심각한 운영 중단이 발생했습니다.

• 2024년 7월: 같은 공급업체가 자체 개발한 보안 코드 실행 환경의 버그로 인해 업데이트로 인해 커널이 충돌하고 시스템을 부팅할 수 없게 되었습니다.이로 인해 Windows 고객의 운영 중단은 더욱 심각해졌으며 널리 알려졌습니다.

이 두 가지 사건은 라이브 시스템에 낮은 수준의 시스템 업데이트를 적용하는 두 가지 다른 방법과 코드 실행을 안전하게 유지하기 위해 통합되고 개방적인 접근 방식을 선호해야 하는 이유를 보여줍니다.

빠른 코드 업데이트와 시스템 안정성의 균형 유지

빠르게 변화하는 오늘날의 위협 환경에서는 위협이 문제를 일으키기 전에 위협을 차단하기 위해 보안 도구에 업데이트를 신속하게 전송하는 것이 중요합니다.이러한 업데이트는 몇 분 또는 몇 시간 내에 모든 보안 시스템에 적용되어야 합니다.위협으로 인해 그러한 양이 필요한 경우 공급업체가 EDR “센서”를 하루에 여러 번 원격으로 라이브 패치할 수 있습니다.

하지만 균형이 있습니다.

• 운영 체제와 긴밀하게 통합된 보안 도구에 업데이트를 보내면 때때로 심각한 운영 중단이 발생할 수 있습니다.

• 하지만 업데이트를 너무 오래 기다리면 멀웨어가 확산될 수 있습니다.

해결책은 코드의 취약성을 신속하게 완화하고 운영 체제 코드가 보안 도구와 인터페이스해야 하는 위치를 정의하는 안전한 방법을 찾는 것입니다.

보안 코드 실행 솔루션: 고급 샌드박싱과 eBPF

실행 전에 코드가 안전하고 정확한지 확인하는 데 도움이 되는 두 가지 기술이 등장했습니다.

특수 샌드박싱 기술

샌드박싱은 작고 집중된 가상 머신 (VM) 과 검증기를 사용하여 안전하고 승인된 코드만 실행되도록 합니다.

이러한 VM은 전체 운영 체제를 실행하는 기존 하이퍼바이저 기반 시스템과는 다릅니다.대신 특정 가상 지침 세트 (예: VMware가 아닌 Java 또는 JavaScript VM의 작동 방식) 를 사용하여 프로그램을 안전하게 실행하도록 구축되었습니다.

검증기가 핵심입니다. 실행 전에 코드를 검사하여 코드가 안전하고 올바른지 확인합니다.이 접근 방식은 잠재적으로 위험한 작업을 격리하여 코드를 실행할 안전한 공간을 만듭니다.

샌드박스에서 실행되는 프로그램은 어셈블리 언어 프로그램과 비슷합니다.이들은 대부분의 프로세서에서 작동할 수 있는 작고 기본적인 명령 세트를 사용합니다.이러한 단순한 설계는 코드를 효율적으로 만들고 샌드박스 또는 커널 환경에서 안전하게 실행할 수 있도록 합니다.

eBPF

확장 버클리 패킷 필터는 특히 Linux 시스템에서 보다 통합된 접근 방식을 취합니다.이를 통해 커널 내에서 코드를 안전하게 실행할 수 있으므로 시스템 안정성에 영향을 주지 않으면서 가시성과 제어력을 높일 수 있습니다.

eBPF에는 코드가 안전한지 확인하는 강력한 내장 검증기가 있습니다.이를 통해 안전하지 않은 명령이 포함된 코드가 실행되는 것을 방지할 수 있으며 코드를 보다 효율적이고 효율적으로 실행할 수 있습니다.

2024년 7월 IT 운영 중단: 보안 코드 실행에 대해 알게 된 내용

보호 기능이 있음에도 불구하고 최근의 사건들은 샌드박싱 도구와 eBPF 기술에 취약한 것으로 나타났습니다.

eBPF 검증기의 버그로 인해 운영 체제가 실패했기 때문에 Linux 중단이 발생한 것은 사실입니다.이는 eBPF와 같은 고급 도구에도 문제가 있을 수 있다는 것을 보여줍니다. 따라서 경계를 늦추지 않고 지속적으로 개선하는 것이 중요합니다.하지만 eBPF 검증 도구를 고친 결과는 커뮤니티 솔루션의 일부이기 때문에 미래에 미치는 영향은 다릅니다.

검증 프로그램 버그가 발견되자 커뮤니티는 신속하게 협력하여 문제를 해결했습니다.이러한 공동 노력은 모든 사람의 eBPF를 개선하고 유사한 문제가 다시 발생할 가능성을 줄이는 데 도움이 됩니다.

Windows 환경에서 발생한 죽음의 블루 스크린 (BSOD) 사고는 메모리 오류로 인해 발생했습니다.이러한 오류는 특수 샌드박싱 도구와 해당 검증 시스템의 어레이 크기가 일치하지 않아 발생했습니다.사고를 분석하고 완화하려는 노력을 통해 강력한 검증 프로세스를 갖추는 것이 얼마나 중요한지 알 수 있었습니다.이를 통해 취약성이 시스템 안정성을 손상시키는 것을 방지할 수 있습니다.

eBPF와 달리 독점 샌드박싱 VM 및 검증 시스템은 폐쇄된 에코시스템에서 작동합니다.확인된 버그를 수정할 수는 있지만 이러한 개선 사항은 단일 공급업체 사용자에게만 도움이 됩니다.이렇게 사일로화된 작업 방식은 보안 개선 사항의 공유 속도를 늦추고 다른 곳에서 유사한 문제가 발생할 가능성을 높입니다.

통합 접근 방식을 향하여: eBPF의 사례

이와 대조적인 사건들은 보안 코드 실행을 위해 공유된 개방형 시스템을 사용하는 것이 중요하다는 것을 보여줍니다.

eBPF의 협업 접근 방식은 다양한 플랫폼에서 보안 도구를 개선하기 위한 강력한 기반을 제공합니다.조직은 운영 체제에 내장된 단일 VM과 검증 도구를 사용하여 일관성이 떨어지고 잠재적으로 안전하지 않을 수 있는 DIY 시스템을 여러 개 만드는 것을 피할 수 있습니다.

이 아이디어의 좋은 예가 eBPF를 Windows에 도입하기 위해 진행 중인 작업입니다.조직은 eBPF를 운영 체제에 추가함으로써 낮은 수준의 보안 도구를 실행할 수 있는 안전하고 표준화된 환경을 만들 수 있습니다.이러한 변경으로 인해 운영 체제가 더 안전해질 뿐만 아니라 업계 전반에 걸쳐 eBPF의 검증된 접근 방식 사용이 촉진됩니다.

안전한 커널 통합을 통해 여러 운영 체제에서 보안 기반을 혁신하려는 노력은 이러한 아이디어의 잠재력을 보여줍니다.이러한 프로젝트는 eBPF의 기능을 사용하여 보안 도구가 다양한 운영 체제에서 작동할 수 있는 더 안전하고 연결된 시스템을 구축하는 것을 목표로 합니다.

eBPF가 사이버 보안의 미래에 미치는 영향

보안 도구의 최근 문제점은 eBPF 채택이 사이버 산업에 어떻게 도움이 될 수 있는지를 보여줍니다.조직은 개방적이고 협업적인 모델을 통해 eBPF를 솔루션에 통합할 때 얻을 수 있는 잠재적 이점을 고려할 수 있습니다.

eBPF를 사용하면 커널 패닉과 같은 시스템 충돌에 대한 책임이 운영 체제 공급자에게 넘어갑니다.이들은 이러한 문제를 처리하고 시스템을 안전하고 안정적으로 유지할 수 있는 역량을 더 잘 갖추고 있습니다.

또한 eBPF의 보안을 유지하기 위해 신뢰할 수 있는 운영 체제 제공업체를 활용함으로써 조직은 고객에게 더 빠르고 안정적인 업데이트를 제공하는 데 집중할 수 있습니다.이 방법은 보안을 희생하지 않고도 빠른 개선을 가능하게 한다는 목표를 뒷받침합니다.

업데이트를 시작하기 전에 주의 깊게 테스트하는 것이 여전히 중요하지만 eBPF에 내장된 안전 기능을 사용하면 시스템 실행 중에 문제가 발생할 가능성을 크게 낮출 수 있습니다.

협업을 수용하는 것이 보안 코드 실행의 미래입니다.

코드 실행 문제로 인해 발생한 최근의 사례를 보면 견고하고 안정적인 환경을 유지하는 것이 복잡하다는 것을 알 수 있습니다.

전용 샌드박싱 VM 및 검증 도구를 사용하면 조직에 더 많은 제어 및 사용자 지정 기능을 제공할 수 있지만 광범위한 보안 개선에는 걸림돌이 됩니다.반면, eBPF의 개방적이고 협력적인 접근 방식은 지속적인 개선과 공유 보안 혜택을 허용하는 강력한 시스템을 구축합니다.

산업이 발전함에 따라 협업과 표준화를 장려하는 eBPF와 같은 모델을 사용하면 더 강력하고 안전한 시스템을 만들 수 있습니다.조직은 커뮤니티의 공유 지식을 활용하여 보안을 강화함으로써 도구에 eBPF를 추가함으로써 많은 이점을 얻을 수 있습니다.

이러한 협력 정신으로 사이버 보안의 미래는 모두에게 더 밝고 더 안전해 보입니다.

오늘 저희에게 연락하세요 Illumio 제로 트러스트 세그멘테이션 플랫폼에 대해 자세히 알아보십시오.