랜섬웨어 확산을 막는 3단계

에서 이전 게시물, 가시성의 개념과 가시성이 잠재적 경로를 찾는 데 어떻게 도움이 되는지 살펴보았습니다. 랜섬웨어 및 기타 악성코드가 확산될 수 있습니다. 다음, 취약점으로 인한 위험을 시각화, 정량화하고 완화하는 방법을 설명했습니다.

이러한 요소들이 갖춰져 있으면 이제 멈출 수 있는 좋은 위치에 있습니다. 랜섬웨어 사전 조치와 사후 조치를 모두 사용합니다.

랜섬웨어가 왜 그렇게 효과적일까요?

A 2020년 분석 랜섬웨어 공격으로 인한 다운타임으로 인해 기업들이 210억 달러의 손실을 입었다는 것을 보여줍니다.이 수치만으로도 랜섬웨어 전술이 얼마나 효과적인지 알 수 있습니다.

랜섬웨어가 범죄자에게 그토록 유리한 이유는 무엇일까요?인간의 취약점은 쉽게 악용될 수 있는 취약점으로, 보안 위협에 대한 경각심을 가지고 강화할 수 있습니다.오래된 하드웨어와 소프트웨어는 랜섬웨어 범죄자들이 혜택을 받을 수 있는 또 다른 취약점입니다.

랜섬웨어를 효과적으로 만드는 중요한 고려 사항 중 하나는 많은 기업이 직면하고 있는 기술적 방어 수단이 부족하다는 것입니다.다행스럽게도 적절한 전략과 기술이 있다면 랜섬웨어의 확산을 막을 수 있습니다.

랜섬웨어를 차단하기 위한 모범 사례

랜섬웨어는 모든 주요 산업의 크고 작은 기업에 큰 피해를 줍니다.하지만 여기에는 아킬레스건이 있습니다.보통은 매우 예측 가능한 패턴으로 움직입니다.

첫째, 멀웨어는 취약한 경로를 통해 조직의 IT 환경에 침입합니다.이를 확인하지 않고 방치하면 몇 주 또는 몇 달에 걸쳐 네트워크, 장치 및 서버 전체에 스파이더웨빙으로 확산되는 경우가 많습니다.마지막으로, 제자리에 설치되면 누군가 스위치를 뒤집어 활성화하면 랜섬웨어가 갑자기 튀어나오는 것처럼 보입니다.

방화벽은 일반적으로 데이터 센터 상단에 위치하며 보호하는 시스템 근처에 있지 않기 때문에 대부분의 환경에서 측면 방향으로 이동하기가 비교적 쉽기 때문에 이러한 프로세스가 발생할 수 있습니다.

랜섬웨어, 멀웨어 및 기타 사이버 공격의 확산을 막으려면 다음과 같은 3단계 프로세스가 필요합니다.

1.랜섬웨어가 시스템에 처음 침입하는 데 사용할 수 있는 위험한 포트와 벡터를 차단하십시오.

2.멀웨어가 침입할 경우 해당 환경을 가로질러 이동하지 못하도록 장벽을 설치하세요.

3.사고 대응을 위해 활성화할 보조 정책을 설정하여 침입 후 대응을 개선하십시오.

1.불필요한 연결 제거

모든 것은 다음과 같이 시작됩니다. 격리 불필요한 커뮤니케이션을 제거함으로써 중요한 자산을 확보할 수 있습니다.

화상 회의를 예로 들어 보겠습니다.일반적으로 컨퍼런스 주최자의 랩톱이 RDP 또는 SMB 포트를 통해 컨퍼런스에 로그인한 다른 장치와 직접 통신할 이유가 없습니다.따라서 관리자는 환경의 다른 요소에 영향을 주지 않고 두 장치의 해당 포트를 자유롭게 닫을 수 있습니다.또 다른 예로, 대부분의 경우 환경 내에서 오래되고 매우 취약한 FTP 및 텔넷 프로토콜을 종료할 수 있습니다.

필요한 통신만 허용하고 장치와 네트워크 간의 불필요한 경로를 제거하면 워크플로와 시스템을 다음과 같이 강화할 수 있습니다. 랜섬웨어 포함.

위의 예와 같이 단일 애플리케이션, 지리적 위치 또는 전체 네트워크에서 개별 포트를 통한 모든 통신을 차단하여 이를 수행할 수 있습니다.

최상의 결과를 얻으려면 이러한 제어를 사전 예방적 및 사후 대응적으로 구현해야 합니다.

• 사전 대응이란 밤에 잠자리에 들 때 현관문을 잠그는 것과 마찬가지로 공격이 발생하기 전에 데이터 센터 또는 기타 영역에서 사용하지 않는 포트를 모두 폐쇄하는 것을 의미합니다.
• 사후 대응적으로 행동한다는 것은 환경 어디에서든 맬웨어의 존재를 알거나 의심되는 경우에도 활성화할 수 있는 정책을 마련하여 사고에 대응하는 것을 의미합니다.

가장 가치가 높은 애플리케이션 또는 자산 주변에 보호 링을 두는 것부터 시작하세요.이렇게 하면 맬웨어가 사용자 환경의 장치나 네트워크를 침해하더라도 작은 영역 내에서만 단단히 격리되어 나머지는 그대로 유지됩니다.

우리가 탐구한 바와 같이 이전 게시물, 일부 포트는 다른 포트보다 더 위험하므로 폐쇄 우선 순위가 가장 높습니다.여기에는 소수의 서버만이 데이터 센터의 다른 시스템과 통신하는 데 사용하는 고도로 연결된 포트가 포함됩니다.

대부분의 경우 비관리 서버는 P2P 통신을 지원하는 RDP 및 SMB 포트와 같은 취약한 포트를 절대 사용하지 않아야 합니다.다행인 것은 이러한 포트가 이를 보완한다는 것입니다. 가장 멀웨어에 대한 공격 벡터즉, RDP, SMB, Win RM과 같은 진입로를 제한하면 뉴스에 등장하는 대부분의 맬웨어를 제거할 수 있습니다.

또한 데이터베이스 및 코어 서비스에서 사용하는 잘 알려진 포트를 고려해 보십시오.이 목록에는 Linux 배포판에 일반적으로 번들로 제공되는 응용 프로그램 및 서비스가 포함됩니다.이들 중 상당수는 핵심적으로 매우 오래된 것들이며 수년에 걸쳐 취약점이 축적되어 있습니다.

다행스럽게도 간단하고 위험 기반 제어 데이터 센터 내 모든 시스템의 인바운드 측에서 정책을 적용하면 이러한 잘 알려진 취약점을 처리하여 멀웨어를 차단할 수 있습니다.

아웃바운드 포트의 경우 데이터 센터에 있는 대부분의 서버는 인터넷과 통신하지 않거나 명확하고 구체적으로 정의된 방식으로만 통신할 수 있습니다.

무단 데이터가 조직 밖으로 유출되지 않도록 통신을 강화하면 랜섬웨어의 명령 및 제어 기능이 집에 전화를 걸어 치명적인 암호화 폭탄을 발사하는 것을 막을 수 있습니다.

물론 클라우드 시스템과 지나치게 광범위한 사용자 액세스 권한으로도 동일한 작업을 수행할 수 있습니다.아웃바운드 트래픽을 제한하여 애플리케이션, 장치 및 사용자가 광범위한 인터넷과 통신하는 시기와 방법을 제어하기만 하면 됩니다.이러한 방식으로 랜섬웨어 억제 전략을 신속하게 구현할 수 있습니다.

감염된 자산을 격리하고 나머지 환경을 보호하는 것이 전부입니다.또한 환경을 잘 파악하면 시간이 지남에 따라 패턴을 파악할 수 있어 한 걸음 더 나아갈 수 있습니다.

2.랜섬웨어 보호를 위한 가시성 사용

우리 안에서 이전 게시물, Illumio가 라우터, 스위치 및 기타 온프레미스 인프라에서 클라우드 및 최종 사용자 시스템과 함께 연결 데이터 및 흐름 정보를 가져오는 방법을 보여줍니다.

Illumio는 이 정보를 사용하여 IT 전문가를 위한 애플리케이션 종속성 맵과 보안 자동화를 위한 API 인터페이스를 만듭니다.

관리자는 이 정보를 통해 어떤 자산과 어떤 자산을 다른 자산과 공유해야 하는지에 대해 고품질의 결정을 내릴 수 있습니다.그런 다음 이들은 시스템, 클라우드 네이티브 방화벽, 네트워크 스위치 등에서 작동하여 위협으로부터 보호하는 사전 예방적 정책을 개발할 수 있습니다. 이러한 정책은 기본적으로 장벽을 만들고 중요한 자산과 시스템을 억제합니다.

요컨대, 두 사용자 간의 침해는 클라우드나 데이터 센터의 다른 사용자나 자산에 영향을 미치지 않아야 하며, 가시성이 좋으면 공격 전에 이러한 잠재적 취약점을 강조할 수 있습니다.

3.침입 후 대응 개선

Illumio는 침입 후 대응에도 도움이 됩니다.

예를 들어 주변 환경에서 의심스러운 활동이 이동하는 것을 발견했다고 가정해 보겠습니다.이런 경우에는 핵심 데이터베이스를 보호하기 위한 장벽을 설치하는 것이 좋습니다. PCI 결제 시스템, 의료 기록, 거래 정보 및 기타 민감한 자산

이 경우 필요한 것은 일상적인 작업에서 실행하는 것보다 더 제한적일 수 있는 억제 기능입니다.그 목적은 멀웨어가 소스에서 확산되는 것을 막는 것입니다.

공격이 발생하기 전에 IT 관리자는 사고 대응 런북의 일부로 활성화할 보조 정책을 만들고자 할 수 있습니다.아이디어는 손상을 초래할 수 있는 연결성을 제거하여 시스템을 격리하고 보호하는 것입니다.대신, 격리 정책은 예를 들어 필수적이지 않은 RDP 통신을 제한함으로써 멀웨어의 추가 전파를 차단합니다.

Illumio는 관리자가 예상치 못한 방식으로 흐르는 트래픽을 발견하고 원치 않는 연결을 차단하는 정책을 신속하게 구현할 수 있도록 함으로써 이를 지원합니다.

Illumio 제로 트러스트 세그멘테이션으로 방화벽을 넘어서다

Illumio를 사용하면 데이터 센터에 있든, 클라우드에 있든, 이러한 환경 간에 (예: 웹과 데이터베이스 워크로드 사이) 에 있든 관계없이 해당 환경에서 실행되는 워크로드를 확인할 수 있습니다.

이 시각적 맵을 사용하면 안전하지 않은 교통의 문을 빠르게 닫을 수 있습니다.랜섬웨어가 워크로드 간에 이동하는 일반적인 방법의 예로 RDP를 사용하면 해당 트래픽만 차단하는 규칙을 만들 수 있습니다.또한 다양한 유형의 워크로드 및 물리적 위치에 대한 레이블과 같은 메타데이터를 기반으로 장벽을 정의할 수 있습니다.

이러한 장벽을 일종의 역방향 방화벽으로 생각할 수 있습니다.방화벽에서는 일반적으로 원하는 트래픽을 정의하는 규칙을 만들고 다른 모든 것은 기본적으로 허용되지 않기 때문입니다.Illumio를 사용하면 이 워크플로를 역방향으로 전환하여 거부된 트래픽을 먼저 정의할 수 있습니다.그런 다음 예외를 설정하여 개별 사례에 대한 커뮤니케이션을 활성화합니다.

또한 모두 자동화되어 있으므로 긴급 정책을 만들어 즉시 실행하여 단 몇 번의 클릭만으로 공격으로부터 환경을 보호할 수 있습니다.

간단히 말해 Illumio는 취약한 워크로드와 시스템을 찾아내고, 공격 전에 불필요한 포트를 차단하고, 멀웨어 감염이 확산되기 전에 격리하는 데 필요한 가시성을 제공합니다.이처럼 사전 예방적 제어와 사후 대응적 제어를 통해 공격이 사이버 재해로 이어지지 않도록 신속하게 차단할 수 있습니다.

오늘 저희에게 연락하세요 Illumio로 랜섬웨어 공격을 억제하는 방법을 알아보십시오.