CMS 재해 방지: WordPress 보안을 한 단계 끌어올리기

아무도 고객 데이터 유출이나 치명적인 사이트 붕괴로 고통받는 다음 속보 헤드라인이 되고 싶어하지 않습니다.

오늘날 온라인 위협은 알려진 취약점을 검색하는 봇에서 스크립트 키디, 사이버 갱, 국가 행위자에 이르기까지 다양한 형태로 존재합니다.

곤경에 처한 IT 팀의 경우 온라인 상태가 손상되지 않도록 하는 것은 "그냥 가만히 서 있기 위해 실행하는" 정규직 이상처럼 느껴질 수 있습니다. 불행히도 사이트, 인프라 및 비즈니스를 미래 상태에 대비하는 실제 작업에 필요한 대역폭이 거의 남지 않는 경우가 많습니다.

CMS 재해 방지 시리즈의 네 번째에서는 조직과 IT 수호자가 악의적인 공격으로부터 사이트와 애플리케이션을 강화하고 민감한 고객 데이터를 보호하며 비즈니스를 항상 열린 상태로 유지할 수 있는 5가지 방법을 탐구합니다.

• 취약점 관리
• 네트워크 보안
• 데이터 보호
• 액세스 및 인증
• 침해 복구

1. 취약점 관리

소프트웨어 취약점을 식별하고 완화하는 것은 규모가 가장 큰 IT 팀에게도 엄청난 작업이 될 수 있습니다.

취약성 관리에는 조직의 인프라 내에서 취약성에 대한 지속적인 식별, 분류, 우선 순위 지정, 관리 및 수정이 필요합니다. 영국의 국가 사이버 보안 센터(National Cyber ​​Security Centre)에 따르면 "소프트웨어의 알려진 취약점 악용은 보안 사고의 가장 큰 원인으로 남아 있습니다."

취약점 스캔

새로운 취약점이 있는지 모니터링하기 위해 네트워크를 주기적으로 검색하거나 시스템에 대한 의도하지 않은 공개 액세스를 모니터링하는 것은 공격 표면을 최소화하려는 조직의 필수 사항입니다. 안타깝게도 스캔 소프트웨어 유지 관리, 스캔 결과 검토 및 조치는 바쁜 IT 부서의 우선 순위 목록에 포함되지 않는 경우가 많습니다.

WordPress VIP 답변:

당사 플랫폼은 에지 보안에서 구성 요소 간 전송 중인 데이터 보호에 이르기까지 네트워크 전체에 보안을 제공합니다. 예를 들어 DDoS 보호는 웹 트래픽을 지속적으로 모니터링하고 의심스러운 활동이 감지되면 능동적인 완화 조치를 취합니다. 실시간 알림 프로세스가 있는 네트워크 및 호스트 기반 방화벽은 무단 액세스 시도를 방지합니다.

취약점 수정

애플리케이션 계층을 업데이트된 상태로 유지하는 것은 프로세스의 한 단계일 뿐입니다. 모든 지원 계층과 인프라도 최신 상태로 유지해야 합니다. 때로는 즉각적인 패치가 없거나 코드베이스에서 완화가 필요한 취약점이 노출됩니다.

애플리케이션 인프라를 최신 상태로 유지하려면 다음을 포함한 여러 단계가 필요합니다.

• 소프트웨어의 각 부분에 대한 업데이트 확인
• 새 릴리스 빌드
• 비프로덕션 아키텍처에서 테스트
• 새로운 문제가 발생하지 않았는지 확인하고 문제가 있는 사항을 수정합니다.
• 프로덕션 애플리케이션을 유지 관리 모드로 전환하고 업데이트 출시

참고: 이 모든 단계는 애플리케이션의 모든 계층에서 사용할 수 있는 모든 패치로 수행해야 합니다.

특히 WordPress의 경우 핵심 및 기본 인프라를 최신 상태로 유지하는 것만이 아닙니다. 타사 테마 및 플러그인은 정기적으로 업데이트 및 패치되어야 합니다. WordPress 사이트에 추가된 타사 플러그인의 품질을 인식하는 것도 중요합니다. 일부는 부주의하거나 악의적으로 코딩이 잘못되었거나 보안 취약성을 유발할 수 있습니다. WPScan, SonarQube 또는 PHP_CodeSniffer와 같은 도구는 도입되는 원치 않는 악용을 포착하기 위해 코드 검토를 자동화하는 데 도움이 될 수 있습니다.

WordPress VIP 답변 :

우리 플랫폼은 WordPress 커뮤니티의 활성 회원이 관리합니다. 문제가 발생하면 수정 사항이 WordPress 핵심 코드에 푸시되기 전에 즉시 패치합니다. 한편, 우리는 모든 고객에게 1) 예정된 자동 WordPress 업데이트, 최신 버전의 당사 플랫폼에 있는지 확인, 2) 플러그인 악용 및 플랫폼 수준에서 이러한 문제 패치 시도에 대해 사전에 경고합니다. .

더 깊이 들어가면 애플리케이션의 GitHub 리포지토리에서 생성된 풀 요청에 대해 자동화된 코드 스캔을 사용합니다. 이것은 코드가 프로덕션에 들어가기 전에 잠재적인 보안 문제를 식별할 수 있습니다(그리고 더 넓은 WordPress 에코시스템에서 플러그인을 평가하는 데 유용합니다.). WordPress VIP는 Kubernetes 오케스트레이션을 활용하여 고객의 애플리케이션에 다운타임 배포를 제로로 제공합니다.

마지막으로, WordPress를 대규모로 실행한 수년간의 경험을 바탕으로 취약점에 대한 인프라를 지속적으로 테스트하고 독립적인 제3자가 이에 대한 침투 테스트를 실행함으로써 일반적인 공격 벡터를 완화할 수 있습니다.

2. 네트워크 보안

네트워크 보안은 조직의 온라인 존재에 있어 중요한 부분입니다.

동급 최고의 보안이란 경계 기반 보안과 내부 네트워크 보안을 모두 관리하는 것을 의미합니다. 여기에서 사용자와 해당 데이터를 효과적으로 보호하려면 여러 요소를 고려하고 관리해야 합니다.

침입 탐지 시스템

모든 네트워크 트래픽을 모니터링하고 기록하는 것은 악의적이거나 의심스러운 활동을 식별하는 데 필수적입니다. 무단 액세스를 방지하기 위해 보안 팀은 자동화된 규칙을 사용하거나 시스템 관리자에게 의심스러운 트래픽을 검토하고 적절한 조치를 취하도록 경고해야 합니다.

방화벽

네트워크를 통과할 수 있는 트래픽과 네트워크 안팎에서 애플리케이션이 통신하는 방법을 이해하는 것은 보안 위험을 최소화하는 데 필수적입니다. 이는 소프트웨어 또는 하드웨어 방화벽을 사용하여 수신/송신 규칙을 설정하고 검토하는 것을 의미하며, 이는 애플리케이션 실행에 필수적인 네트워크 트래픽만 허용합니다.

잘못된 트래픽을 차단하거나 허용하면 중요한 시스템의 성능이 저하되거나 데이터베이스가 세상에 노출될 수 있습니다.

물리적 네트워크 보안

네트워크는 물리적 보안만큼 안전합니다. 최고의 방화벽, 침입 탐지 시스템 및 위협 관리 소프트웨어는 서버에 물리적으로 액세스하는 악의적인 행위자가 모두 우회할 수 있습니다.

데이터 센터에는 다음과 같은 여러 수준의 물리적 보안이 필요합니다.

• 물리적 접근 통제
• 환경 모니터링
• 알람 및 센서
• 감시
• 백업 전원

또한 이러한 모든 항목은 보안 모범 사례를 충족하는지 확인하기 위해 정기적인 감사가 필요합니다.

3. 데이터 보호

전 세계가 볼 수 있도록 데이터 유출이 haveibeenpwned.com에 표시되는 것을 원하는 회사는 없습니다.

사용자는 데이터를 기대하는 수준까지 보호하지 않는 회사에 대해 빠르게 신뢰를 잃습니다. 권한이 부여되고 역할이 지정된 사용자만 민감한 고객 데이터에 액세스할 수 있도록 하려면 여러 계층의 보호가 필요합니다.

데이터 암호화

제3자가 데이터를 가로채거나 변조하는 것을 방지하려면 애플리케이션과 사용자 간의 통신을 전송 중에 암호화해야 합니다. TLS(전송 계층 보안)는 일반적으로 데이터를 암호화하는 데 사용됩니다. 이를 위해서는 TLS 인증서를 생성하고 갱신해야 합니다.

미사용 데이터도 암호화할 수 있기 때문에 백업과 같은 저장 매체에 보관된 데이터를 보호해야 합니다. 악의적인 행위자가 액세스 권한을 얻은 경우 실제로 데이터를 사용하려면 데이터 암호화 키가 여전히 필요합니다.

키 관리는 데이터 암호화의 중요한 부분입니다. 키의 수명 주기에는 생성, 배포, 사용, 백업, 순환 및 폐기의 여러 단계가 있습니다. 각 단계에서 데이터를 안전하게 유지하기 위해 따라야 할 모범 사례가 있습니다.

감사 추적

스택의 모든 수준에서 애플리케이션 내에서 발생하는 모든 활동을 시간순으로 기록하는 것은 모든 기업에 필수적입니다. 감사 로그는 포렌식 조사, 보안 위반 및 그 영향 감지, 시스템 오류 이해에 필요합니다.

감사 추적은 여러 계층 및 응용 프로그램에 대한 로그를 수집해야 하며 사용자가 변경할 수 없도록 충분히 안전해야 합니다. 그리고 그들은 연대순 정확성을 보장해야 합니다. 이를 위해서는 어떤 작업을 기록해야 하는지 알고, 여러 시스템을 Kibana와 같은 ELK 도구에 연결하고, NTP(네트워크 시간 프로토콜)를 사용하여 시스템을 동기화하고, 타임스탬프가 의미가 있도록 하고, 로그에 대한 액세스를 관리해야 합니다.

자동 알림

보안 사고를 정의하는 항목, 수동 평가가 필요한 항목 및 관리 방법을 아는 것 자체가 예술입니다.

자동화된 로그 분석은 초기 단계에서 의심스러운 동작에 플래그를 지정할 수 있습니다(무엇을 찾아야 하는지 알고 있는 경우). 사전 정의된 또는 사용자 정의 규칙이 있는 도구는 애플리케이션에 따라 생성할 수 있습니다. 이를 위해서는 다음과 같은 경우를 알기 위해 로그 분석 내에서 매개변수를 설정해야 합니다.

• 공격 및 악의적인 트래픽으로부터 보호하려면 자동화된 작업을 실행해야 합니다.
• 시스템 팀은 수동으로 개입하여 패턴을 검사하고 잘못 플래그가 지정된 양성 동작인지 또는 조치가 필요한지 여부를 결정해야 합니다.

이 모든 것은 잘 구성된 도구와 애플리케이션의 사용 패턴을 이해하는 숙련된 보안 팀에 의존합니다. 어떤 기업도 콘텐츠가 입소문을 일으키기를 바라지 않습니다. 단지 시스템이 이를 DDoS 공격으로 플래그 지정하고 트래픽을 차단하기만 하면 됩니다.

WordPress VIP 답변 :

우리는 각각 고유한 인증을 사용하여 모든 클라이언트와 애플리케이션에 대해 별도의 컨테이너화된 데이터베이스 인프라를 유지 관리합니다. 이는 애플리케이션 간의 무단 액세스 위험을 완화하고 각 고객의 데이터를 보호하며 공격 위험을 줄입니다. 데이터베이스, 파일 시스템, 애플리케이션 및 데이터 센터 보안은 물론 매시간 암호화된 백업을 제공합니다. 또한 당사의 원본 데이터 센터는 ISO(국제 표준화 기구), IEC(International Electrotechnical Commission) 27001 인증, SSAE(Standards for Attestation Engagements) No. 18(SOC1) 및 SOC2 Type 2를 충족합니다.

"보안과 개인 정보 보호는 가장 먼저 생각해야 하는 부분입니다. 우리는 우리를 지나치게 경계해야 합니다."

—David "Hos" Hostetter, 디지털 CTO, Al Jazeera Media Network

사례 연구: Al Jazeera의 영향력과 영향력이 전 세계적인 언론 매체의 경우 악의적인 행위자에 대해 강화된 CMS 플랫폼으로 자산을 마이그레이션하는 것이 필수적이었습니다. 그들이 WordPress VIP를 선택한 이유를 읽어보십시오.

4. 접근 및 인증

Telesign에 따르면 소비자의 절반 이상이 온라인 생활 전체에서 5개 이하의 암호를 사용하고 소비자의 거의 절반이 5년 동안 변경되지 않은 암호에 의존합니다.

사용자 계정에 대한 액세스 권한을 얻는 것은 보안 시스템에 액세스하는 가장 쉬운 방법 중 하나일 수 있습니다. 그렇기 때문에 세분화된 액세스 제어, 다단계 인증 및/또는 싱글 사인온이 보안에 민감한 조직에 매우 중요합니다.

액세스 제어

세분화된 액세스 제어 및 "최소 권한" 정책 구현은 데이터를 안전하게 유지하고 애플리케이션의 공격 표면을 줄이는 데 중요합니다. 최소 권한 정책은 사용자에게 작업을 완료하는 데 필요한 권한만 부여해야 한다고 명시합니다. 예를 들어 모든 사용자에게 관리자 권한이 없도록 하는 것은 악의적인 행위자가 사용자의 자격 증명을 획득한 경우 심각한 피해를 입힐 가능성이 제한된다는 것을 의미합니다.

싱글 사인온(SSO)

SSO를 사용하면 사용자는 하나의 로그인 자격 증명 세트를 통해 여러 서비스에 로그인합니다. 특정 서비스에 사용자가 없는 경우 서비스의 아이덴티티 공급자의 사용자 매핑을 활용하여 사용자를 즉시 ​​프로비저닝할 수 있습니다. Azure AD, Google Apps, AuthO 또는 OneLogin과 같은 서비스는 SSO 기능을 제공합니다.

SSO는 IT 부서에서 사용자에 대한 중앙 집중식 규칙을 설정하고 분실한 비밀번호를 복구하는 시간을 줄이며 온보딩/오프보딩 중에 사용자를 수동으로 프로비저닝 및 프로비저닝 해제할 필요를 제거하는 데 도움이 됩니다.

다단계 인증

MFA를 사용하면 조직의 사용자가 손상되지 않도록 보호 계층을 추가로 제공합니다.

MFA에서 로그인하려면 두 가지 이상의 인증 방법을 조합해야 합니다. 일반적으로 사용자 이름과 비밀번호를 인증의 첫 번째 계층으로 사용하고 그 뒤에 Google Authenticator와 같은 하드웨어 장치나 소프트웨어를 통해 생성된 시간 기반 인증 토큰을 사용하여 구성합니다. 이 프로세스의 이점은 사용자 이름과 암호가 손상되더라도 사용자는 인증 토큰 없이는 로그인할 수 없으며 그 반대의 경우도 마찬가지입니다.

WordPress VIP 답변 :

WordPress VIP는 다단계 인증, 무차별 대입 보호, 데이터 액세스 감사 추적 및 물리적 보안을 포함한 세분화된 액세스 제어 및 권한을 기반으로 구축되었습니다. 이는 손상된 암호에 대한 추가 보호 계층을 제공하고, 권한이 없는 직원이나 계약자가 고객 데이터에 액세스하는 것을 방지하고, 비정상적인 동작이 감지될 때 네트워크 수준에서 동적으로 제한을 적용합니다.

5. 침해 복구

자동화된 백업 및 하드웨어 이중화는 일상적인 온라인 비즈니스 운영을 원활하게 실행하는 데 필수적입니다.

백업

백업은 데이터 손실 방지, 랜섬웨어 공격 방지, 정전 시 신속한 복구에 매우 중요합니다. 모든 조직에서 데이터를 완벽하게 제어하고 중복성을 확보하기 위해 따라야 하는 여러 백업 모범 사례가 있습니다.

1. 정기 백업 . RPO(복구 시점 목표)를 줄이고 데이터 손실을 최소화한다는 면에서 자주할수록 좋습니다.
2. 백업 중복 . 여러 위치(예: 오프사이트)에 백업을 저장하면 주 서버에 대한 액세스 권한을 상실하더라도 백업에 계속 액세스할 수 있습니다.
3. 암호화된 백업 . 백업 스토리지가 손상되더라도 암호화 키가 없으면 데이터는 쓸모가 없습니다.
4. 정기 테스트 . 정기적으로 백업을 추출하고 비프로덕션 환경에서 테스트하여 팀이 실제로 사이트를 복원할 수 있는지 확인하십시오.

하드웨어 이중화

백업을 사용할 수 있다는 것은 복원할 백업 하드웨어 없이는 거의 또는 아무 소용이 없습니다.

이를 위해서는 기본 데이터 센터 내부와 외부에 중복 하드웨어가 필요합니다. 단일 서버 또는 전체 데이터 센터에 문제가 있더라도 팀은 이 하드웨어에 액세스하여 신속하게 온라인 상태로 돌아갈 수 있습니다.

WordPress VIP 답변 :

드물지만 침해 사고가 발생하는 경우 다양한 수준의 백업(원본 데이터 센터 및 오프사이트 위치)과 재해 복구 및 보안 침해 절차를 통해 고객이 신속하게 복구하고 비즈니스를 재개할 수 있도록 지원합니다. 또한 백업을 자체 S3 스토리지로 자동 배송하여 자체 데이터 보존 정책을 설정하거나 자동화된 복구 테스트를 실행할 수 있는 기능도 제공합니다. 여러 수준의 중복 스토리지를 활용하여 데이터가 손실되기 전의 원래 상태 또는 마지막으로 복제된 상태로 데이터를 재구성할 수 있습니다. WordPress VIP에는 또한 단일 데이터 센터 오류가 발생할 가능성이 없는 경우 사이트를 마이그레이션할 수 있는 여러 원본 데이터 센터가 있습니다.

결론적으로

취약점 관리에서 침해 복구에 이르기까지 WordPress VIP 작업은 조직이 위협에 직면하여 유명하고 규모가 큰 WordPress 기반 사이트를 온라인으로 유지하고 안전하게 유지한 수년간의 경험을 활용할 수 있는 기회를 제공합니다.

에지 보호, 보안 네트워킹, 강력한 액세스 제어, 지속적인 보안 모니터링 및 코드 스캔을 포함한 여러 수준의 보안 제어 및 보호로 구축된 WordPress VIP는 가장 엄격한 보안 요구 사항을 충족합니다. 이것이 은행, 제약, 공공 시설 및 정부와 같은 고위험 산업의 고객이 신뢰하는 이유입니다. 또한 FedRAMP 운영 권한(ATO)을 달성한 유일한 WordPress 플랫폼입니다.

전투 테스트를 거친 보다 안전한 CMS로 업그레이드하고 싶으십니까? 오픈 소스 소프트웨어에 대한 깊은 뿌리를 포함하여 WordPress VIP에 대해 자세히 알아보십시오. 기록을 위해 지금 바로 WordPress VIP 플랫폼 상태를 확인할 수 있습니다.