글로벌 로펌이 Illumio를 사용하여 랜섬웨어 공격을 차단한 방법

글로벌 로펌이 타격을 입었습니다. 랜섬웨어.

공격은 빠르게 12대의 서버로 확산되었습니다.

공격자들은 전체 네트워크에 침투하여 회사를 인질로 잡을 준비가 되어 있었습니다.

하지만 이 법률 사무소는 준비가 되어 있었습니다.일루미오가 있었죠.그리고 우리 기술을 사용함으로써 그들은:

• 단 12대의 서버에 대한 공격을 차단했습니다.
• 손상된 시스템을 식별하고 몇 초 만에 격리했습니다.
• 최초 침해 발생 후 불과 몇 시간 만에 공격을 중단했습니다.
• 공격자가 민감한 데이터를 암호화하거나 도용하여 회사와 고객에게 해를 입히기 전에 위협을 종식시켰습니다.

이 게시물에서는 글로벌 로펌이 전례 없는 속도로 랜섬웨어 공격을 막으면서 IT 시스템, 비즈니스, 그리고 가장 중요한 클라이언트에 대한 심각한 피해를 피한 방법을 설명합니다.

침입에서 퇴거까지 몇 시간 만에 완료: 공격 타임라인

재앙이었어야 했는데

이 로펌은 전 세계 수십 곳에 수천 명의 사용자, 서버 및 워크스테이션을 보유하고 있었습니다.이 회사는 수백 명의 고객을 보유하고 있으며 디지털 인프라에 풍부한 민감한 데이터와 법률 문서를 저장했습니다.

이 회사는 랜섬웨어의 주요 표적이 되었고 어느 날 랜섬웨어가 발생했습니다.공격을 받았죠.

하지만 공격은 실패했습니다.사이버 범죄자들은 몇 시간 만에 퇴거되었습니다.여기 있어요 어떻게 된 일이야법률 회사의 사고 대응을 주도한 IT 책임자가 Illumio에게 말한 대로입니다.

이 사건의 민감한 특성으로 인해 모든 이름과 식별 정보는 공개되지 않았습니다.

최초 위반: 월요일 이른 오후

회사 직원 중 한 명이 공격자의 공격을 받은 고객으로부터 온 피싱 이메일을 받았습니다.

“해커들은 교활했습니다.” 라고 경영진은 말합니다.“Excel 파일로 추정되는 URL을 보냈는데 하이퍼링크가 아니었어요.그래서 직원이 파일을 다운로드하기 위해 브라우저에 URL을 복사했습니다.”

하지만 아무 일도 일어나지 않았어요.그래서 그녀는 회사의 IT 헬프 데스크에 파일에 대한 액세스를 도와달라고 요청했지만, 아직 악성 코드라는 사실을 모르고 있었습니다.

오후 2:00: 공격 시작

헬프 데스크 직원이 URL을 브라우저에 복사했습니다.이로 인해 무기화된 파일이 멀웨어를 실행하게 되었습니다.

“Excel 파일은 악의적인 행위자가 자신의 워크스테이션을 손상시키고 계정 권한에 액세스할 수 있도록 하는 매크로를 실행했습니다.” 라고 경영진은 설명합니다.

오후 2:00 — 오후 3시 40분: 공격자가 탐지되지 않음

IT 기술자의 컴퓨터가 거의 두 시간 동안 온라인 상태였고 확인되지 않았기 때문에 범죄자들은 공격을 가장 잘 수행할 수 있는 방법을 탐색하고 평가할 시간을 주었습니다.

“악의적인 공격자들은 네트워크 스캔을 매우 조심스럽고 느리게 수행했기 때문에 움직임을 거의 감지할 수 없었습니다.” 라고 그는 말합니다.

결국 공격자들은 헬프 데스크 워크스테이션에서 획득한 권한으로 액세스할 수 있는 서버를 찾았습니다.이때가 바로 그들이 총에 맞았을 때였습니다.

오후 3시 40분~오후 4시: 공격자들이 움직입니다.

공격자들은 처음에 SQL 서버의 데이터베이스 파일을 암호화했습니다.이로 인해 서버가 다운되었습니다.로펌의 IT 그룹은 즉시 충돌을 알아차리고 조사를 실시한 결과 랜섬웨어의 징후를 확인했습니다.

“우리 데이터베이스 관리자가 오후 6시에 저에게 전화를 걸어 우리가 그랬던 것 같다고 말했습니다. 랜섬웨어 공격“라고 그는 말합니다.

오후 4:00 — 오후 4:50: 전쟁실 만들기

IT 임원은 CIO에게 무슨 일이 있었는지 알렸습니다.어떤 CIO도 받고 싶어하지 않는 전화였습니다.그는 최악의 상황을 두려워했습니다.그들은 시계가 째깍거리기 시작했다는 걸 알았어요.

이 로펌은 신속한 대응을 조율해야 했습니다.

“약 15분 만에 Zoom 통화를 시작하고 IT 및 보안 팀 구성원을 만났습니다.” 라고 그는 설명합니다.“로그를 자세히 살펴보면서 무슨 일이 있었는지, 무엇이 이미 손상되었는지를 알아냈습니다.”

오후 4:50 — 오후 6:15: 공격에 대한 이해

“우리는 악성 URL과 랜섬웨어 파일을 호스팅한 IT 헬프 데스크 워크스테이션인 '페이션트 제로 (Patient Zero) '를 가리키는 로그를 빠르게 찾았습니다.” 라고 그는 말합니다.

하지만 그걸로는 충분하지 않았어요.그들은 공격이 다른 곳으로 확산됐을지 알아내야 했어요.

경영진은 이렇게 설명합니다. “그 시점에서는 회의록이 짧아지고 있습니다.“우리는 빠르게 격리됨 워크스테이션에서 공격 범위를 파악하기 위해 환경 전체를 살펴보기 시작했습니다.”

대응팀이 가져왔습니다. 매니지드 보안 서비스 프로바이더 (MSSP) 해커를 추적하는 데 도움이 됩니다.

MSSP는 Illumio의 실시간 애플리케이션 트래픽 데이터를 포함하는 SIEM (보안 정보 및 이벤트 관리) 도구를 사용하여 SIEM을 쿼리하고 공격자가 Microsoft Azure에서 실행되는 클라우드 기반 서버 1대를 포함하여 11개의 다른 서버에 침입했다는 것을 확인할 수 있었습니다.

팀이 작업하면서 실시간 원격 측정을 통해 공격 범위가 눈앞에서 확대되고 있다는 것을 알 수 있었습니다.시간이 얼마 남지 않았어요.

오후 6:20: 일루미오가 공격을 종료합니다

법률 사무소는 보안 침해를 막기 위해 신속하게 조치를 취해야 했습니다.

팀은 Illumio를 사용하여 Azure 클라우드 인스턴스를 포함한 12개 서버를 모두 즉시 한 곳에 배치할 수 있었습니다. 세그멘테이션 링 펜스, 네트워크 또는 컴퓨팅 리소스에 액세스할 수 없습니다.

결국 이것은 공격의 추위를 막아낸 결정적 행동이었습니다.

“말 그대로 몇 번의 드래그 앤 드롭 클릭으로 영향을 받은 모든 시스템을 격리할 수 있었습니다.” 라고 경영진은 말합니다.“기존 방법으로 그렇게 하려고 했다면 훨씬 더 오래 걸렸을 것이고 악의적인 공격자들이 다른 시스템으로 뛰어들어 계속 확산할 수 있는 기회도 많았을 것입니다.Illumio를 사용하면서 시스템을 즉시 종료할 수 있었습니다.그들은 다른 데로 뛰어들어 우리를 피해 계속 퍼져나갈 방법이 없었어요.그들의 즐거운 저녁 시간은 끝났어요.”

오후 6:20 — 오전 1시: 피해 평가

위협은 끝났지만 아직 해야 할 일이 남아 있었습니다.

경영진은 “악의적인 공격자가 데이터를 훔쳤는지 확인하기 위해 전체 공격을 조사해야 했습니다.” 라고 말합니다.“로펌으로서 데이터가 손실되면 고객에게 이를 알려야 했습니다.그렇게 하면 평판이 나빠질 수 있고, 이로 인해 심각한 타격을 입을 수 있습니다.”

그는 한 남자와 약혼했다 사고 대응 (IR) 회사 공격의 전체 범위를 조사하기 위해서죠.

화요일 — 금요일: 유출된 데이터의 증거 찾기

로펌의 IT 그룹은 IR 회사의 소프트웨어 에이전트를 설치한 다음 Illumio를 사용하여 손상된 시스템에서 파일을 안전하게 전송했습니다 (실수로 재감염되지 않도록).IR 팀은 작업에 착수했습니다.

경영진은 이렇게 말합니다. “거기서부터는 그냥 기다리기만 하면 됐어요.

주말에 IR 팀은 조사를 마쳤습니다.

“그들은 돌아와서 다른 시스템이 손상되지 않았다고 말했고 데이터 유출은 없었다는 것을 확인했습니다.” 라고 그는 말합니다.

뉴스가 이보다 더 좋을 수는 없었습니다.그 결과는 전례가 없었죠.

“사고 대응 팀부터 MSSP에 이르기까지 모든 직원이 랜섬웨어 공격에 이렇게 빠르게 대응하는 기업은 본 적이 없다고 말했습니다.” 라고 경영진은 말합니다.“그들은 공격이 너무 빠르게 확산되기 때문에 한 공격을 12개 시스템으로 제한하는 것은 전례가 없다고 말했습니다.하지만 Illumio 덕분에 바로 그 일을 해냈습니다.”

더욱 쉬워진 랜섬웨어 방어

IT 경영진은 Illumio가 보안 침해를 사후 대응적으로 차단하는 데 중추적인 역할을 했지만 배포는 다음과 같다고 말합니다. 일루미오의 제로 트러스트 세그멘테이션 보안 침해 이전의 기능 또한 중요한 차이를 만들었습니다.

회사는 겨우 겨우 겨우 일루미오 배포 완료 시 40% 완료, 이미 설정된 액세스 제어로 인해 해커가 공격 중에 사용할 수 있었던 경로와 옵션이 크게 제한되어 해커의 속도를 늦추고 네트워크 내에서 액세스할 수 있는 항목이 크게 제한되었습니다.

경영진은 “환경을 세분화하기 위해 Illumio를 아직 구현하지 않았다면 이 공격은 훨씬 더 심각했을 것”이라고 말합니다.“악의적인 공격자들은 워크스테이션을 벗어나는 여러 경로를 찾아내고 훨씬 더 멀리, 훨씬 더 빠르게 확산했을 가능성이 있습니다.”

로펌이 랜섬웨어 공격을 성공적으로 방어하면서 얻은 교훈은 분명합니다. 올바른 리더십, 올바른 팀, 올바른 통제 보안 침해 발생 시 즉시 대응할 준비가 되어 있습니다.

경영진은 “보안 침해 사례가 발생하는 것은 시간 문제일 뿐입니다.” 라고 말합니다.“이 시대에는 마이크로세그멘테이션 구현에 필수 해커나 멀웨어가 필연적으로 네트워크에 침입할 때 측면 이동을 제한합니다.Illumio를 통해 이전에는 불가능했던 방식으로 이 작업을 수행할 수 있었습니다.그게 큰 차이를 만들었죠.”

지금 Illumio를 조직에 도입하여 회사를 인질로 잡기 전에 랜섬웨어를 차단할 준비를 하십시오.

• 더 읽어보기 전체 사례 연구 회사의 공격에 대한 자세한 내용은 여기를 참조하십시오.
• 가져와 제로 트러스트 임팩트 리포트조직이 제로 트러스트에 접근하고 세분화를 구현하여 정량화할 수 있는 이점을 얻는 방법에 대한 연구를 위한 것입니다.
• 가이드에서 빠르고 간단하며 확장 가능한 제로 트러스트 세그멘테이션을 구현하는 방법을 알아보세요. Illumio를 통한 제로 트러스트 세그멘테이션 달성.
• 스케줄 제로 트러스트 세그멘테이션 전문가와의 무료 상담 및 데모