MoveIT에서 얻은 교훈: 조직이 레질리언스를 구축할 수 있는 방법

지난 주 뉴스는 세부 정보가 지배적이었습니다. 무브IT 데이터 침해.사이버 범죄자들은 대량 공격을 통해 취약점을 악용했습니다. MoveIt 파일 전송 애플리케이션 — 전 세계 수천 개의 조직에서 동료 또는 외부 당사자와 파일을 안전하게 공유하는 데 사용하는 도구입니다.아니면 그들은 이렇게 생각했습니다... 그럼 뭐가 잘못된 걸까요?

우리가 뭘 알아요?

이 공격은 악의적인 공격자가 MoveIt 파일 전송 도구라고 알려진 이전에 알려지지 않은 새로운 취약점을 악용할 수 있었기 때문에 발생했습니다. 제로데이 공격. 이로 인해 급여 및 인사 부서의 IT 서비스 공급업체인 Zellis가 BBC, Boots, Aer Lingus 및 Ofcom을 비롯한 고객의 데이터와 함께 사용하던 MoveIt의 인스턴스가 손상되었습니다.그리고 이 공격은 영국에만 국한된 것이 아니라 캐나다와 미국의 조직도 영향을 받은 것으로 확인되었습니다.

더 클롭 랜섬웨어 갱 는 공격에 대한 책임을 주장하며 해당 기업이 몸값을 지불하지 않는 한 6월 14일까지 피해를 입은 조직에서 도난당한 모든 데이터를 공개하겠다고 위협하고 있습니다.하지만 전 세계 법 집행 기관으로부터 거부감을 느끼는 것은 차치하더라도 몸값을 지불하는 것은 더 많은 공격을 야기할 뿐입니다.그렇다면 조직은 앞으로 유사한 공격으로부터 스스로를 보호하기 위해 무엇을 할 수 있고 또 해야 할까요?

우리는 무엇을 배울 수 있을까요?

이 공격은 두 가지 모두가 야기하는 위험을 잘 상기시켜줍니다. 공급망 및 소프트웨어 공급망.조직에서는 급여와 같은 시스템이나 기능을 아웃소싱할 때 민감한 데이터를 보호하고 저장하기 위해 공급업체를 너무 많이 암묵적으로 신뢰하는 경우가 많습니다.하지만 공급업체가 공격을 받으면 조직은 곧 간접적으로 피해를 입을 수 있습니다.

이 사례에서 Zellis는 인터넷 연결로 인해 위험에 노출될 위험이 높은 소프트웨어인 MoveIt 소프트웨어에 의존하게 된 것이 분명합니다.하지만 제로 데이 공격은 소프트웨어 업데이트를 통해 언제든지 발생할 수 있으며 이러한 공격은 맹목적으로 또는 자동으로 받아들여지는 경우가 많습니다.

MoveIt과 같은 공격에 대한 복원력을 구축하는 5단계

모든 업데이트에 대한 엄격한 테스트는 불가능하므로 기업은 취약점으로 인해 심각한 피해가 발생하지 않도록 복원력과 안전 장치를 구축해야 합니다.

조직이 레질리언스를 강화하기 위해 취해야 하는 주요 단계는 다음과 같습니다.

1.항상 위반을 가정하세요

MoveIT 공격에서 가장 먼저 배울 점은 사이버 공격으로부터 자유로운 조직은 없다는 것입니다.랜섬웨어는 이제 가장 일반적인 공격 유형이므로 반드시 채택해야 합니다.”위반을 가정하다” 랜섬웨어를 진입 지점에서 격리하기 위해 예방보다는 보안 침해 억제에 초점을 맞추는 사고방식

2.기본을 제대로 익히세요

둘째, 기본을 소홀히하지 마십시오.대부분의 위험 노출은 잘못된 위생, 잘못된 공정, 작업자 오류에서 비롯됩니다.방어 진영은 100% 옳아야 하지만 공격자는 단 1% 의 확률만 제대로 해내면 성공할 수 있으므로 실수가 용납될 여지가 없다는 점을 기억하세요.

제로데이 공격은 항상 발생해왔고 앞으로도 일어날 것입니다. 하지만 아직도 너무 많은 기업이 기본을 제대로 이해하지 못하고 있습니다.위험을 줄이는 가장 좋은 방법은 철저한 보안 위생과 심층 방어 접근 방식을 실천하는 것입니다. 즉, 최소한 정기적인 패치 적용, 알려진 취약점이 있는 시스템 및 서비스에 대한 액세스 제한, 최소 권한 전략 시행을 의미합니다.

3.가시성이 핵심입니다

레질리언스 구축의 중요한 단계는 가시성을 확보하는 것입니다.가시성을 통해 일반적인 상황을 파악할 수 있으므로 예기치 않은 연결이 발생하거나 예상치 못한 대량의 데이터가 전송되는 것을 발견할 때 기존 SIEM (보안 정보 및 이벤트 관리) 기술을 사용하여 탐지하고 조치를 취할 수 있습니다.

또한 가시성을 통해 해당 시스템과 관련된 종속성을 이해하고 “알려진 문제”를 파악할 수 있습니다.MoveIT 침해의 영향을 받는 모든 조직은 MoveIt이 설치된 모든 인바운드 및 아웃바운드 연결을 파악할 수 있어야 합니다.

4.최소 권한 액세스 전략을 배포하세요.

소프트웨어 공급망과 같이 통제력이 떨어지는 영역의 경우 나머지 환경과 잘 구분해야 합니다.구현을 철저히 제한적 허용 목록 정책 이는 워크로드가 네트워크의 나머지 부분에 거의 액세스하지 못하도록 하고 공격자가 네트워크에 대해 발견하고 측면으로 이동할 수 있는 범위를 제한합니다.

특히 MoveIt의 경우 iMoveIt 워크로드 앞에 허용 목록 지정을 적용하여 애플리케이션 및 활동 계층에서의 액세스를 제한하십시오.

5.링펜스 고부가가치 애플리케이션

지적 재산, 비공개 재무 데이터, 법률 문서 또는 민감한 개인 정보를 처리하는 고부가가치 애플리케이션을 차단하기 위한 조치를 취하십시오.링펜싱은 보안 경계를 서브넷 또는 VLAN에서 단일 애플리케이션으로 축소합니다.애플리케이션당 단 한 줄의 보안 정책만으로 East-West 트래픽 이동을 위한 잠재적 공격 표면의 90% 를 차단할 수 있어 가장 큰 영향을 미치며 작업량을 최소화합니다.

Illumio 제로 트러스트 세그멘테이션 (ZTS) 이 어떻게 도움이 될까요?

일루미오 ZTS 쉽고 빠르게 취약점을 파악하고 조직을 보호하기 위한 간단한 조치를 취할 수 있습니다.Illumio ZTS는 소프트웨어 공급망 공격을 막을 수는 없지만 이를 통해 이익을 얻을 수 있습니다. 공격 표면 가시성, 의심스러운 행동을 파악하고 가 포함되어 있습니다 보안 침해의 확산.

Illumio ZTS를 사용하면 다음을 수행할 수 있습니다.

• 모든 워크로드에서 '정상' 또는 '예상' 동작이 어떻게 보이는지 설정하세요.
• 허용 가능한 기준에서 벗어나는 부분이 있는지 확인합니다 (예: 전송된 연결 또는 데이터 양의 변화, 액세스한 새롭고 특이한 IP 또는 도메인).
• 공격이 진행 중인 동안 워크로드의 상태를 확인할 때까지 워크로드를 신속하게 격리합니다.
• 정책에 의해 승인된 범위를 벗어나는 액세스가 불가능하도록 워크로드에 대한 액세스를 사전에 제한합니다.

소프트웨어 및 공급망 공격에 대한 레질리언스 구축

초연결성으로 인해 풍부하고 밀집된 중요한 상호 의존성이 발생하여 공격자는 소프트웨어 공급망을 손상시켜 효율성과 수익성을 높일 수 있다는 사실을 알고 있습니다.따라서 기업은 소프트웨어 공급망을 신속하게 관리해야 합니다. 그러지 않으면 유사한 보안 침해 위험을 감수해야 합니다.

오늘날에도 사이버 보안에 필요한 노력과 예산의 99% 는 나쁜 일이 발생하지 않도록 막는 데 사용됩니다 (탐지 및 치료).하지만 기업은 사이버 보안 예산을 3배로 늘려도 여전히 보안 침해 사례가 발생할 수 있습니다.

조직은 선제적으로 강화해야 합니다 탄력성 항상 보안 침해를 가정하고 격리 기능을 구축하여 공격 확산을 제한합니다.즉, 확장된 자산 공격 영역 전반의 데이터 흐름을 파악하고 네트워크 내의 주요 기능을 분리하여 보안 침해가 중요 자산으로 확산되는 것을 방지하는 데 초점을 맞춘 위험 기반 접근 방식을 채택해야 합니다.

더 알아보고 싶으세요? 오늘 저희에게 연락하세요 무료 데모 및 상담을 제공합니다.