공격자에 대한 기준 높이기: 마이크로 세그멘테이션을 통해 Kaseya와 유사한 공격으로부터 조직을 보호하는 방법

IT 보안 공급업체가 경계를 늦출 수 없는 이유 중 하나는 사이버 범죄 커뮤니티의 지속적인 혁신입니다.지식은 지하 포럼을 통해 널리 퍼져 나가기 때문에 많은 조직이 놀라움을 금치 못할 정도입니다.악명 높은 회사에서 사용된 몇 가지 기법을 봤을 때 솔라윈즈 캠페인 최근의 Kaseya 랜섬웨어 공격에 적용되었으니 놀라지 않았을 것입니다.

그러나 마이크로 세그멘테이션을 적절한 위치에 배포함으로써 조직은 초기 위험을 최소화하는 측면에서 악의적인 공격자의 삶을 훨씬 더 어렵게 만들 수 있었습니다. 제로데이 익스플로이테이션 후속 명령 및 제어 통신을 차단합니다.

카세야 공격에서 무슨 일이 있었나요?

카세야 주로 관리 서비스 제공업체 (MSP) 에게 소프트웨어를 제공하여 중소기업의 패치 적용 및 원격 모니터링과 같은 필수 IT 작업을 간소화합니다.SolarWinds 소프트웨어의 경우와 마찬가지로 카세야 VSA 이 공격의 표적이 된 제품에는 네트워크와 컴퓨팅 장치를 원격으로 모니터링하고 관리하는 핵심 작업을 수행할 수 있는 높은 권한 액세스 권한이 부여되므로 멀웨어를 광범위하게 퍼뜨리는 데 이상적인 선택입니다.

를 위한 추가 혜택 리빌 랜섬웨어 계열사 공격의 배후에는 Kaseya 고객의 성격이 있습니다.MSP로서 각 고객에는 공격자가 감염시키고 갈취할 수 있는 자체 고객이 여러 명 있습니다.이는 돈을 쉽게 벌고자 하는 사이버 범죄자들에게는 꽤 좋은 ROI입니다.

카세야가 자세히 설명해 드렸어 공격에 대한 대응.벤더는 미국의 휴일 주말 직전인 7월 2일에 처음으로 침해 사실을 통보받았는데, 위협 행위자들은 다음을 사용한 것으로 보입니다. 제로데이 인증 바이패스 익스플로잇 온-프레미스 Kaseya VSA의 웹 인터페이스에서이를 통해 인증된 세션을 확보하고 페이로드를 업로드한 다음 SQL 인젝션을 통해 명령을 실행할 수 있었습니다.

MSP의 Kaseya VSA 서버에 대한 액세스를 통해 이들 조직의 고객에게 “Kaseya VSA Agent Hot-Fix”라는 가짜 업데이트를 배포할 수 있었습니다. 사실 이 업데이트는 Revil/Sodinokibi였습니다. 랜섬웨어.

잠재적 고객 40,000명 중 60명 미만의 MSP 미만이 영향을 받은 것으로 추정됩니다.하지만 연쇄적인 영향으로 인해 MSP의 다운스트림 고객이 랜섬웨어에 감염되어 학교부터 슈퍼마켓까지 전 세계 총 1,500개 조직이 랜섬웨어에 감염되었습니다.

악용된 제로데이 취약점에 대한 패치가 출시되었지만, 피해를 입은 기업들에게는 이미 너무 늦었습니다.

마이크로 세그멘테이션이 도움이 되는 방법: 인바운드 트래픽

MSP는 Kaseya VSA 웹 인터페이스에 대한 관리자 액세스를 제한하여 초기 보안 침해를 완화할 수 있었을 것입니다.이렇게 하면 소수의 권한 있는 특정 사용자만 사용할 수 있습니다. 배스천 호스트 관리 포트에서 Kaseya 소프트웨어에 액세스할 수 있습니다.

실제로 그들은 마이크로 세그멘테이션을 사용하여 공격 표면을 줄임으로써 사이버 범죄자들이 제로데이 익스플로잇을 배포하는 데 훨씬 더 많은 노력을 기울여야 하는 추가 장벽을 만들 것입니다.여기에 권한이 제한된 사용자를 위한 다단계 인증을 결합하면 사이버 범죄자가 네트워크에 침입하는 것이 기하급수적으로 더 어려워집니다.

직원이 잠기지 않은 문을 찾기 위해 네트워크를 뒤질 때 더 많은 시간을 할애하고 더 많은 “소음”을 내도록 하면 위협 탐지 및 대응 툴이 어둠 속에서 몰래 돌아다닐 때 이를 “알아들을” 수 있습니다.

마이크로 세그멘테이션이 도움이 되는 방법: 아웃바운드 트래픽

마이크로 세그멘테이션이 도움이 되는 두 번째 방법은 감염된 엔드포인트에서 인터넷으로의 아웃바운드 통신입니다.

사이버 범죄자는 일반적으로 C&C (Command and Control) 서버와 통신하여 지침을 제공하고 다운로드해야 하는 시점이 도래합니다. 악성 페이로드.정책에 따라 Kaseya 인프라의 아웃바운드 연결이 잘 알려지고 사전 승인된 IP 주소로만 제한되도록 함으로써 공격자가 추적하는 것을 막을 수 있습니다.범죄자가 자신의 서버와 통신할 수 없다면 공격의 다음 단계로 넘어갈 수 없습니다.

제로 트러스트는 세그멘테이션으로 시작됩니다

Kaseya 및 SolarWinds와 같은 랜섬웨어 공격으로부터 조직을 보호하려면 조직은 강력하고 포괄적인 개발을 해야 합니다. 제로 트러스트 전체 IT 인프라에 걸친 정책 및 관행그리고 Zero Trust는 세분화에서 시작됩니다. 보안 침해가 발생하고 범죄자들은 네트워크 어딘가에서 잠기지 않은 문을 찾을 수 있기 때문입니다.핵심은 이들이 더 이상 나아가지 못하도록 하는 것입니다.

보안에는 만능 총알이 없습니다.하지만 이런 마이크로 세그멘테이션을 적용하면 공격자의 삶을 훨씬 더 어렵게 만들고, 최소한 탐지 가능성을 높이고, 이상적으로는 공격자가 포기하고 계속 나아가도록 강요할 가능성이 큽니다.