랜섬웨어에 집중: 랜섬웨어 대응 네트워크 구축을 위한 3가지 진실

와 국가 사이버 보안 인식의 달 먼저, 확실히 듣게 될 한 가지 주제는 랜섬웨어.

랜섬웨어가 있기 때문에 이는 놀라운 일이 아닙니다. 가장 일반적인 유형의 사이버 공격 조직은 직면합니다.

주변 환경에서 의심스러운 무언가가 감지된 것 같다는 전화를 받을 때를 대비해야 합니다.

이번 달에는 랜섬웨어 랜섬웨어 공격의 확산으로부터 네트워크를 보호하기 위한 견고한 기반을 구축하기 위해 모든 조직이 수용하고 그에 따라 행동해야 하는 세 가지 중요한 “진실”에 초점을 맞추십시오.

일루미오의 수석 에반젤리스트인 나다나엘 아이버슨 (Nathanael Iversen) 으로부터 조직이 랜섬웨어에 대비할 수 있도록 하는 방법에 대해 들어보십시오.

자세히 알아보려면 계속 읽어보세요.

진실 #1: 랜섬웨어 공격에 대비하여 네트워크를 사전에 설계하십시오.

당신이 받는다고 상상해 보세요 더 콜.그 순간에는 선택한 탐지 및 센서 기술 네트워크가 제 역할을 했을 것이며 사고 대응 기능이 매우 중요할 것입니다.결국, 이미 배포되고, 활성화되고, 세심하게 준비된 기술로만 대응할 수 있습니다.

공격이 진행 중일 때 즉석에서 새로운 능력을 구축할 시간이 있는 사람은 아무도 없습니다.

건축가는 건물을 설계할 때 모든 층, 사무실 및 계단통 입구에 방화문을 설계해야 합니다.이러한 문은 열려 있는 경우가 많거나 대부분의 경우 일반 문처럼 작동합니다.

하지만 화재가 시작되면 이 문은 화재와 연기를 막아주고 사람들이 건물 밖으로 나갈 수 있는 안전한 출구를 제공합니다.

다음과 같은 세 가지 기능을 통해 랜섬웨어 공격에 효과적으로 대응하고 그 영향을 최소화할 수 있습니다.

1. 할 수 있는 능력 교통 흐름 시각화 및 공격 반경.NetFlow 데이터를 많이 보유하는 것은 도움이 되지 않습니다.현재로서는 완전하고 자동화된 애플리케이션 종속성 맵을 갖추는 것이 중요합니다. 과 모든 네트워크 포트에서 활동을 쿼리할 수 있습니다.종합하면 공격이 어디에 있고, 공격이 있었으며, 어떤 공격을 시도하고 있는지 정확히 알 수 있습니다.
2. 다음은 사전 설정 보안 정책 이를 통해 네트워크의 일부를 차단하고 공격이 아직 액세스하지 않은 모든 곳에 안전 지대를 만들 수 있습니다.이를 통해 랜섬웨어의 확산을 막고 감염된 시스템이 소독 후 이동할 수 있는 “클린 존”이 생성됩니다.
3. 마지막으로 꽉 경계 손상된 기계 주변에 설치해야 합니다. 명령 및 제어 네트워크, 확산 또는 정찰과의 연결을 제거합니다.네트워크 방화벽이 이러한 작업을 수행할 만큼 세분화될 가능성은 거의 없습니다.사전 설치된 호스트 기반 세그멘테이션 솔루션을 사용하면 필요할 때 올바른 기능을 사용할 수 있습니다.

활성 멀웨어가 탐지되면 누구나 이 세 가지 기능을 갖추기를 원하므로 필요하기 전에 구현하는 것이 좋습니다.효과적인 억제를 통해 치료 활동을 완료할 시간을 확보할 수 있습니다.

진실 #2: 위험을 제거하는 것이 관리하는 것보다 낫다

공격이 시작되면 이를 탐지하고 조치를 취할 수 있는 도구가 많이 있습니다.

하지만 한 가지 더 깊은 진실이 있습니다. 공격은 오직 가능하다는 것입니다. 전파 열린 포트를 통해경로가 없으면 스프레드도 없습니다.

불필요하게 열린 모든 포트가 닫히면 위험이 줄어듭니다.운영 네트워크의 크기가 줄어들어 위험이 제거되고 공격 대상이 줄어듭니다.

이 작업을 어떻게 수행할 수 있을까요?

1. 위험도가 높고 가치가 높으며 자주 남용되는 포트 폐쇄.대부분의 상용 랜섬웨어는 널리 공개되지 않아도 되는 RDP 및 SMB와 같이 잘 알려진 소수의 프로토콜을 사용하여 확산됩니다.대부분의 침투 전문가는 표준 도구 키트를 사용하여 환경을 탐색하고 잘 알려진 포트에서 흔히 발생하는 취약점을 찾습니다.대부분의 경우 이러한 잘 알려진 포트를 전 세계적으로 개방할 필요는 없습니다.포트를 닫는다고 해서 위험이 줄어드는 것은 아닙니다. 실제로 이러한 벡터가 모두 제거됩니다.제거할 수 있는 것을 왜 관리해야 할까요?
2. 링펜스 고부가가치 애플리케이션.불행하게도 사용자 환경에서 문제가 발견되면 가장 먼저 떠오르는 것은 가장 중요한 애플리케이션과 데이터일 것입니다.엣지 또는 엔드포인트에서 보안 침해가 감지될 가능성이 높지만, 문제는 “가장 중요한 사항”입니다.그때가 되면 모든 사람들이 완전히 차단되고 엄격한 제로 트러스트 세그멘테이션 정책이 적용되기를 바랄 것입니다.지금 정책을 수립하세요. 그러면 해당 정책이 시행될 것이며 이러한 중요 자산은 이미 네트워크 공격으로 인한 위험을 대부분 제거했을 것입니다.
3. 관리자 액세스 제어.대부분의 조직에서는 점프 호스트를 사용합니다.환경에 적합한 사용자 및 점프 호스트에 대해 모든 형태의 관리 액세스를 엄격하게 제어해야 합니다.어떤 애플리케이션이나 포트도 특히 사용자 환경에서의 임의 관리 액세스에 응답해서는 안 됩니다.모든 관리 프로토콜을 근본적으로 줄이면 많은 종류의 공격이 제거됩니다.

존재하지 않는 위험은 관리할 필요가 없습니다.어떤 기술로도 보완적인 기술의 필요성이 사라지지는 않지만, 타겟팅 세분화의 탄탄한 기반이 있으면 엄청난 양의 보안 침해 확산 위험을 없앨 수 있다는 것은 사실입니다.

진실 #3: 필요합니다 둘 다 랜섬웨어 확산을 막기 위한 제로 트러스트 세그멘테이션 및 EDR

보안 침해 확산을 방지하기 위해 할 수 있는 최선의 방법은 배포하는 것입니다. 제로 트러스트 세그멘테이션 기존 엔드포인트 탐지 및 대응 (EDR) 제품에 추가로

비숍 폭스 최근에 에뮬레이션 시리즈를 수행했습니다. 랜섬웨어 공격 EDR로만 보호되는 네트워크와 EDR로만 보호되는 네트워크를 공격자가 손상시키려고 시도한 경우 EDR 및 제로 트러스트 세그멘테이션.

이들은 EDR이 많은 공격을 탐지하고 궁극적으로 해결하는 데 매우 효과적이긴 하지만, Zero Trust Segmention으로 보호되는 네트워크에서도 공격이 4배 더 빠르게 억제되고 침해되는 호스트도 크게 줄었다는 사실을 발견했습니다.

세그멘테이션 정책이 좋을수록 EDR의 효율성이 높아집니다.제로 트러스트 세그멘테이션을 배포에 추가하여 대응력을 극대화하여 EDR의 강력한 기능을 제공하십시오.

불가피한 랜섬웨어 공격에 대비하세요

랜섬웨어는 현대 사용자 및 컴퓨팅 환경의 골칫거리입니다.하지만 보안 침해가 재해가 아니라 이벤트가 되도록 효과적인 준비를 할 수 있습니다.

양질의 사전 예방 및 사후 대응 사고 대응 세분화 정책에 투자하면 보안 팀이 대응의 중요한 첫 몇 분 안에 중요한 제어 기능을 확보할 수 있습니다.

이벤트 발생 전에 위험을 제거하는 팀은 중요한 애플리케이션을 널리 노출하고 위험도가 높은 포트와 관리 프로토콜을 널리 공개한 팀보다 항상 할 일이 적습니다.그리고 누가 EDR이 제대로 작동하지 않기를 바라겠는가? 4배 더 빠름 손상된 호스트의 수가 적은 편인가요?

더 일루미오 제로 트러스트 세그멘테이션 플랫폼 위험을 제거하고 대응 능력을 향상시킬 수 있는 이러한 기본 기능을 제공합니다. 이것이 바로 이번 달의 전부입니다!

이번 사이버 보안 인식의 달에 제로 트러스트 세그멘테이션에 집중해야 하는 이유에 대한 새로운 통찰력을 제공할 예정이므로 다음 주에 참여하세요.