.png)
랜섬웨어에 대한 이해: 가장 일반적인 공격 패턴
디지털 혁신은 이제 1위입니다 전략적 비즈니스 목표.시드니에서 샌프란시스코에 이르기까지 이사회는 클라우드, AI, IoT 등의 성능을 최대한 활용하여 성공을 이끌어낼 수 있는 방법을 모색하고 있습니다.이들의 노력은 새로운 고객 경험을 창출하고 비즈니스 프로세스를 간소화하는 데만 중요한 것이 아닙니다.또한 팬데믹의 잿더미에서 빠르게 부상하고 있는 새로운 하이브리드 작업 모델을 지원하는 데도 중요합니다.
그러나 조직이 디지털 입지를 넓히기 위해 지불하는 대가는 사이버 공격 표면을 확장하고 있습니다.이로 인해 사이버 위험, 특히 피해 위협이 발생합니다. 랜섬웨어 위반.
수많은 랜섬웨어 개발자 및 제휴 그룹이 현재 전 세계에서 활동하고 있습니다.즉, 다양한 공격 전술, 기법 및 절차도 유통되고 있습니다.그렇다고 해서 기본 공격 방식을 구분할 수 없다는 뜻은 아닙니다.운영 방식.더 좋은 점은 이러한 일반적인 공격 패턴을 바탕으로 간단한 3단계 프로세스를 적용하여 랜섬웨어 위험을 완화할 수 있다는 것입니다.
이것이 바로 의 가치입니다 마이크로 세그멘테이션네트워크 자산의 통신과 위협 행위자가 사용하는 일반적인 경로에 대한 포괄적인 가시성을 기반으로 합니다.
이 블로그 게시물에서는 랜섬웨어의 작동 원리와 중지 방법에 대한 일반적인 질문에 대한 답변을 제공합니다.
랜섬웨어가 왜 중요할까요?
랜섬웨어 도달 한 공급업체가 전 세계적으로 5억 건에 가까운 보안 침해 시도를 기록하는 등 2021년 첫 3분기에 기록적인 수준을 기록했습니다.최근 몇 년간 공격은 데이터 유출이 일상화될 정도로 진화하면서 비즈니스 위험의 완전히 새로운 요소가 추가되었습니다.즉, 조직은 단순히 데이터를 백업하고 손을 쓸 수 없습니다.데이터 침해만으로도 금전적, 평판에 타격을 줄 수 있는 실질적인 위험이 도사리고 있습니다.
오늘날 소위 “이중 강탈” 공격은 다음과 같은 결과를 초래할 수 있습니다.
- 규제 벌금
- 생산성 손실
- 판매 손실
- 복구 및 조사에 드는 IT 초과 근무 비용
- 법률 비용 (예: 데이터 침해 발생 시 집단 소송)
- 고객 이탈
- 주가 하락
모든 조직과 모든 공격은 서로 다릅니다.일부 평론가들은 다음과 같이 추정하기도 하지만 평균 재정적 영향 오늘날 거의 2백만 달러에 달합니다. 일부 레이드에는 비용이 듭니다 수억 명의 희생자.따라서 위협에 대응하기 위한 사전 조치를 취하는 것이 필수적입니다.
랜섬웨어는 어떻게 작동하나요?
다행인 것은 오늘날 다양한 변종과 제휴 그룹이 운영되고 있음에도 불구하고 대부분의 공격에 대한 기본 패턴을 식별할 수 있다는 것입니다.간단히 말해서 위협 행위자는 다음과 같습니다.
- 공격하기 전에 몇 달 동안 네트워크 내부에 숨어 있으십시오.
- 초기 네트워크 액세스와 지속적인 측면 이동을 위한 공통 경로를 활용합니다.
- 목표를 달성하기 위해 여러 단계에 걸쳐 작업을 수행합니다.
이들 각각에 대해 더 자세히 살펴보겠습니다.
공격자는 어떻게 그렇게 오랫동안 탐지되지 않을 수 있을까요?
공격자의 목표는 대량의 민감한 데이터를 훔치고 랜섬웨어를 어디에나 배포할 수 있을 정도로 피해자의 네트워크 내에서 강력한 입지를 구축할 때까지 숨어 있는 것입니다.
이를 위해 그들은:
- 취약하거나 노출되었는지 몰랐던 자산 (예: 인터넷 및 기타 네트워크 자산에 대한 개방형 연결을 사용하는 장치, 애플리케이션 또는 워크로드) 을 침해합니다.
- 조직이 미해결 상태인지 몰랐고 모범 사례 보안 정책에 따라 폐쇄되어야 하는 경로/데이터 흐름을 사용합니다.
- 여러 기능을 포괄하는 여러 시스템을 손상시키면 팀이 단일 인시던트로 모든 것을 추적하기가 어려워집니다.
공격자는 일반적인 경로를 어떻게 악용할까요?
대부분의 랜섬웨어가 도착합니다. 피싱 이메일을 통해 RDP 침해 또는 소프트웨어 취약점 악용공격 성공 가능성을 높이기 위해 공격자는 다음을 찾습니다.
- RDP 또는 SMB와 같이 위험도가 높고 널리 사용되는 소수의 경로입니다.이러한 방식은 일반적으로 조직 전체에 적용되고 매핑이 용이하며 잘못 구성되는 경우가 많습니다.
- 스크립트와 크롤러를 사용한 자동 스캔을 통해 포트와 악용 가능한 자산을 엽니다.
- 이러한 고위험 경로를 사용하여 단 몇 분 만에 조직 전체로 확산하여 신속하게 측면 방향으로 이동할 수 있는 방법
다단계 공격은 어떻게 작동할까요?
대부분의 공격은 일반적으로 하이재킹하기 쉽기 때문에 가치가 낮은 자산을 손상시키는 것으로 시작됩니다.위협 행위자는 추가 단계를 거쳐 데이터를 훔치거나 암호화할 수 있는 귀중한 자산에 도달하여 피해 조직을 강탈할 때 활용할 수 있는 비결을 마련합니다.
이를 위해 공격자는 보통 다음과 같은 조치를 취합니다.
- 조직의 낮은 가시성, 정책 제어 및 세분화를 활용하십시오.
- 인터넷에 연결하면 공격의 다음 단계에 도움이 되는 추가 도구를 다운로드하거나 해당 서버가 제어하는 서버로 데이터를 유출할 수 있습니다.
- 대부분의 피해는 네트워크에서 자산에서 자산으로 이동하는 프로세스인 측면 이동을 통해 발생합니다.
랜섬웨어를 차단하는 간단한 3단계
CISO는 이러한 일반적인 공격 패턴을 염두에 두고 대응 방안을 고안하기 시작할 수 있습니다. 바로 다음과 같은 세 가지 간단한 구성 요소를 기반으로 하는 새로운 보안 아키텍처입니다.
1.환경 전반의 통신 흐름에 대한 포괄적인 가시성을 개발하십시오.
그러면 공격자는 숨을 곳이 없어 초기 애셋을 손상시키려 하거나 측면 이동 중에 마스킹을 해제할 수 있습니다.
이렇게 하려면 다음을 수행해야 합니다.
- 모든 자산에 대한 실시간 가시성을 개발하여 불필요하거나 변칙적인 데이터 흐름을 해결할 수 있습니다.
- 환경에 대한 실시간 맵을 구축하여 어떤 워크로드, 애플리케이션 및 엔드포인트가 열려 있어야 하고 어떤 워크로드, 애플리케이션 및 엔드포인트가 폐쇄될 수 있는지 식별합니다.
- 모든 운영 팀이 작업할 수 있는 통신 흐름과 위험 데이터에 대한 통합된 뷰를 만들어 내부 마찰을 줄이세요.
2. 랜섬웨어 차단 기능 구축
단순히 통신 흐름을 매핑하고 어떤 자산을 폐쇄할 수 있는지 이해하는 것만으로는 충분하지 않습니다.공격 표면을 줄이고 진행 중인 공격을 차단하기 위한 조치를 취해야 합니다.
다음과 같이 하십시오.
- 가능한 많은 고위험 경로를 폐쇄하고 열려 있는 경로를 실시간으로 모니터링합니다.
- 열지 않아도 되는 포트를 모두 닫아 자동 스캔으로 노출된 자산을 찾을 가능성이 줄어듭니다.
- 공격 발생 시 네트워크 통신을 제한하기 위해 몇 초 만에 시작할 수 있는 비상 격리 스위치를 만듭니다.
3.중요 자산 분리
마지막 단계는 공격자가 중요 자산에 접근하지 못하도록 차단하여 공격자가 탐지하기 쉬운 조치를 취하도록 하는 것입니다.
여기에는 다음이 포함됩니다.
- 고부가가치 자산의 침해를 방지하는 링 펜싱 애플리케이션.
- 신뢰할 수 없는 IP에 대한 아웃바운드 연결 차단, 승인된 IP의 IP만 허용”허용 목록.”
- 중요 자산을 보호하고 공격 확산을 막기 위한 침해 후 보안 조치를 개발합니다.
반격은 여기서부터 시작됩니다
오늘날 어떤 조직도 침해에 100% 대비할 수 없습니다. 공격자는 너무 단호하고 리소스가 풍부하며 수적으로 많습니다.하지만 네트워크 가시성, 정책 제어 및 세분화에 초점을 맞춘다면 조직을 구축할 수 있습니다. 더 스마트한 보안 아키텍처 위협을 격리할 가능성이 더 높습니다.
대부분의 위협 행위자는 기회주의적이어서 빠르고 쉬운 ROI를 추구합니다.이 세 단계를 밟아 그들의 계획을 무산시키세요. 그러면 심각한 손상을 피할 수 있는 좋은 기회가 생깁니다.
자세히 알아보기:
- e북의 각 단계를 자세히 살펴보세요. 랜섬웨어 공격을 차단하는 방법
- Illumio가 어떻게 도움을 줄 수 있는지 알아보십시오. Illumio를 사용하여 랜섬웨어와 싸워야 하는 9가지 이유
.webp)
