Illumio를 사용하여 CISA의 포보스 랜섬웨어 지침을 충족하는 방법

최근 연방 수사국 (FBI), 사이버 보안 및 인프라 보안국 (CISA), 다주 정보 공유 및 분석 센터 (MS-ISAC) 는 새로운 내용을 발표했습니다. 사이버 보안 자문 정부 및 주요 인프라 조직에 Phobos 랜섬웨어로부터 보호하는 방법을 알리는 것을 목표로 합니다.

이 블로그 게시물에서는 Phobos 랜섬웨어가 무엇인지, 정부 공무원이 Phobos에 대비할 것을 권장하는 방법, Illumio의 랜섬웨어 보호 대시보드가 이러한 권장 사항을 달성하는 데 어떻게 도움이 되는지 알아봅니다.

Phobos 랜섬웨어는 무엇인가요?

포보스 랜섬웨어는 Elking, Eight, Devos, Backmydata 및 Faust 랜섬웨어를 포함한 여러 랜섬웨어 변종과 관련이 있습니다.Backmydata 변종은 2024년 2월 루마니아에서 발생한 공격에 사용되었으며, 그 결과 시스템이 거의 오프라인 상태가 되었습니다. 100개의 헬스케어 시설.

이 권고는 최근 2024년 2월에 관찰된 Phobos 랜섬웨어 변종과 관련된 알려진 전술, 기법 및 절차 (TTP) 와 침해 지표 (IOC) 를 공유합니다.포보스는 서비스형 랜섬웨어 (RaaS) 모델로 운영되며 2019년 5월부터 정부, 응급 서비스, 의료 및 교육을 포함한 다양한 부문을 대상으로 하고 있습니다.

Phobos 랜섬웨어로부터 보호하는 방법

이 권고는 Phobos 랜섬웨어 활동을 완화하기 위한 세 가지 주요 사항을 제공합니다.

1. RDP 포트를 보호하여 위협 행위자가 RDP 도구를 악용 및 활용하지 못하도록 방지합니다.

2. 악용된 것으로 알려진 취약점을 우선적으로 해결하세요.

3. EDR 솔루션을 구현하여 위협 행위자 메모리 할당 기술을 방해합니다.

더 일루미오 제로 트러스트 세그멘테이션 플랫폼 이 세 가지 권장 사항을 모두 해결하는 데 도움이 될 수 있습니다.

1.Illumio의 랜섬웨어 보호 대시보드를 사용하여 RDP 포트를 보호하세요

조직은 몇 가지 간단한 단계만 거치면 악의적인 공격자를 차단하고 환경 내 측면 이동을 방지하는 방향으로 크게 개선할 수 있습니다.측면 이동을 방지할 수 있다면 공격자가 침입하더라도 멀리 가지 못하거나 미션 크리티컬 애플리케이션에 액세스하지 못하도록 할 수 있습니다.

다음을 사용하여 RDP 포트를 보호하는 세 단계를 살펴보겠습니다. 랜섬웨어 보호 대시보드:

1. 어디에 있는지 확인 RDP 트래픽 사용자 환경에서

2. Illumio 랜섬웨어 보호 대시보드에서 권장하는 조치를 따르십시오.

3. 랜섬웨어 보호 점수의 개선도 측정

사용자 환경의 RDP 트래픽 식별

Illumio의 랜섬웨어 보호 대시보드는 사용자 환경에서 가장 위험한 서비스를 쉽게 추적합니다.이러한 서비스 중 하나가 RDP입니다.정책이 이를 통제하지 않고 사용자 환경에 노출되는 경우 상위 5개 위험 서비스 보고서에 해당 내용이 표시될 수 있습니다.또는 맵에서 RDP 트래픽을 구체적으로 검색할 수도 있습니다.

위 이미지를 보면 RDP가 상위 5개 위험 서비스에 속하지만 이 서비스를 제어하는 정책이 마련되어 있지 않음을 알 수 있습니다.

여기에서 비즈니스 분석을 수행하여 영향을 이해할 수 있습니다.예를 들어, RDP 사용 능력이 필요한 조직 내 특정 사람들이 있습니다.이는 현장에 없는 직원이 문제를 해결하도록 도와야 하는 IT 담당자에게 매우 유용합니다.하지만 일반적인 워크로드를 처리할 수 있어야 하는 것은 아닙니다.

여기서 대시보드의 권장 작업이 실행됩니다.

랜섬웨어 보호 대시보드의 권장 조치 따르기

대시보드에서 권장되는 조치 중 하나는 거부 규칙을 만드는 것입니다.이렇게 하면 규모가 더 커질 수도 있는 작업을 진행하면서 보호 기능을 빠르게 구축할 수 있는 쉬운 방법입니다. 제로 트러스트 여정.

이 경우 CISA는 RDP 포트 보안을 권장하므로 다음 단계는 이 트래픽을 차단하는 거부 규칙을 만드는 것입니다.필요에 따라 예외를 추가할 수 있지만 일반적으로 제한될 수 있습니다.이는 모든 Phobos 랜섬웨어 공격에 대한 사전 예방적 보호를 제공합니다.

Illumio에서 거부 규칙을 적용하면 규모에 관계없이 몇 분 만에 새 정책이 조직 전체에 배포됩니다.

랜섬웨어 보호 점수의 보안 개선 측정

환경 보호의 진행 상황을 측정하는 좋은 방법 중 하나는 대시보드의 랜섬웨어 보호 점수를 사용하는 것입니다.정책을 배포하고 RDP 트래픽 차단과 같은 주요 변경을 수행하면 점수가 올라가는 것을 확인할 수 있습니다.

Illumio는 현재 점수뿐만 아니라 시간 경과에 따른 이 점수도 제공합니다.이는 끊임없이 진화하는 위협으로부터 조직을 어떻게 보호하고 있는지 측정할 수 있는 좋은 방법입니다.

2.제로 트러스트 세그멘테이션을 통해 악용된 것으로 알려진 취약점을 해결합니다.

제로 트러스트 세그멘테이션 (ZTS) 은 위치를 파악하고 해결하여 Phobos와 같은 랜섬웨어 공격의 영향을 줄이는 데 도움이 됩니다. 네트워크의 취약성 착취당했습니다.

보안 격차 확인 및 해결

더 일루미오 지도 통신이 과도하거나 불필요하거나 규정을 준수하지 않는 시스템 또는 애플리케이션을 찾아내는 데 도움이 됩니다.심지어 이 정보를 취약성 스캐너의 데이터와 결합할 수도 있습니다.

보안팀은 이러한 통찰력을 사용하여 세분화되고 유연한 세분화 정책을 설정하여 취약성 노출을 줄이고 불가피한 보안 침해의 확산을 막을 수 있습니다.컨텍스트와 노출을 이해하면 패치가 출시되기 전에 워크로드를 신속하게 보호할 수 있습니다.

취약성에 대한 데이터 기반 인사이트를 통한 위험 정량화

Phobos 랜섬웨어와 같은 위협에 직면한 경우 네트워크 내의 잠재적 취약성을 식별하는 것뿐만 아니라 정량화하는 것도 중요합니다.Illumio는 팀이 가장 필요한 곳에 사전 조치를 정확히 구현할 수 있도록 네트워크의 약점을 보여줍니다.

이 인사이트는 부서 간 팀이 전체 환경에서 격차 해소, 데이터 기반 의사 결정 촉진, 위험 완화 전략 강화를 위한 실행 가능한 통찰력을 확보할 수 있도록 합니다.

사전 예방적 취약성 방어 구축

고위험 자산의 세분화된 세분화를 보상 제어로 모델링, 테스트 및 배포하여 패치 적용이 불가능하거나 운영 복잡성이 용납될 수 없는 경우 중요한 시스템을 보호합니다.

인식이 핵심입니다.트래픽이 알려진 취약점이 있는 포트로 연결되면 보안 운영 센터 (SOC) 는 Illumio에서 제공한 데이터를 포함한 취약성 및 심각도 컨텍스트를 포함하여 위반 경보를 받습니다.

3.EDR과 제로 트러스트 세그멘테이션을 결합하여 측면 움직임을 감지하고 자동으로 차단합니다.

일루미오 컴플리먼트 EDR 공격자가 조작할 여지를 거의 남기지 않는 제로 트러스트 세그멘테이션 정책으로 공격 표면을 줄임으로써 말이죠.Illumio는 공격 패턴에 구애받지 않고 사고와 탐지 사이의 격차를 해소합니다.

사이버 보안 권고에 따르면 EDR은 Phobos와 같은 랜섬웨어 공격으로부터 보호하는 데 중요한 요소입니다.그러나 공격이 결국 엔드포인트를 침해하는 경우 EDR은 해당 보안 침해가 조직의 네트워크를 통해 계속해서 측면 방향으로 이동하는 것을 막을 방법이 없습니다.그렇기 때문에 EDR과 ZTS를 결합하는 것이 필수적입니다.EDR 시스템이 보안 침해를 감지하면 ZTS는 감염된 워크로드를 자동으로 종료하고 격리할 수 있습니다.

ZTS와 같은 사전 예방적 기술을 모든 엔드포인트에서 EDR과 같은 반응형 기술과 결합하면 체류 시간 약점이 줄어드는 동시에 대응 능력도 크게 향상됩니다.실제로 테스트에 따르면 비숍 폭스EDR과 Illumio를 결합한 결과 공격자가 확산되는 것을 크게 줄이고 탐지 속도를 4배 더 높였습니다.

저희에게 연락하세요 제로 트러스트 세그멘테이션이 CISA의 지침을 준수하고 오늘날 Phobos와 같은 랜섬웨어 공격을 차단하는 데 어떻게 도움이 되는지 알아보십시오.