러시아-우크라이나 위기: 세분화를 통한 위험 완화 방법

우크라이나 분쟁으로 인해 전 세계 조직은 위협 모델링을 재검토하고 사이버 위험을 재평가해야 합니다.바이든 대통령의 3월 21일의 경고 미국의 중요 인프라에 대한 “러시아 정부가 잠재적 사이버 공격에 대한 옵션을 모색하고 있다”는 사실로 인해 전국의 이사회에서 활발한 활동이 이루어졌습니다.하지만 이 외에도 우크라이나, 러시아 또는 벨라루스에서 사업을 운영하는 조직은 어떨까요?

이러한 위치에 있는 Illumio 고객은 이미 해당 지역의 위협이 미국 및 기타 지역의 IT 시스템으로 확산되는 것을 방지하기 위해 무엇을 할 수 있는지 문의했습니다.일반적으로 다음과 같은 두 그룹의 의견을 듣고 있습니다.

1. 우크라이나, 러시아 또는 벨로루시에 지사를 둔 다국적 조직은 악의적인 공격자가 해당 지역의 IT 재산을 침해할 수 있다고 우려하고 있습니다.따라서 공격자는 2017년 우크라이나에서 퍼진 악명 높은 파괴성 컴퓨터 바이러스인 NotPetya와 유사한 방식으로 옆으로 이동하여 집 근처의 네트워크에 침투할 수 있는 기회를 제공할 수 있습니다.
   
2. 이 지역에 거주하지 않는 사람들조차도 러시아에 대한 서방의 제재 가능성에 대해 우려하고 있습니다. 푸틴은 이미 분쟁 행위와 유사하다고 주장했습니다.CISA처럼 “쉴즈 업” 이니셔티브 바이든 대통령의 경고는 미국과 동맹국의 모든 조직이 보복 공격에 대비해야 한다고 주장하고 있습니다.금융 서비스, 의료, 유틸리티 및 에너지와 같은 중요 인프라 부문의 경우 특히 그렇습니다.

다행히 Illumio의 세분화된 네트워크 가시성과 세그멘테이션 기능 사이버 공격으로부터 조직을 보호하는 강력한 도구 세트를 구성하십시오.

Illumio의 세그멘테이션이 도움이 되는 방법

Illumio는 두 시나리오 모두에서 고객을 지원할 수 있습니다.우크라이나, 러시아, 벨로루시와 같은 고위험 국가에 자산과 네트워크를 보유한 고객의 경우 디지털 자산을 보호하는 세 가지 방법이 있습니다.

1. Illumio는 풍부한 위험 기반 가시성과 애플리케이션 종속성 매핑을 제공하여 개별 워크로드 수준까지 위험한 연결을 강조 표시합니다.고객은 동유럽으로부터의 트래픽을 차단하기로 결정하기도 전에 우크라이나, 러시아, 벨로루시에 있는 자산과 나머지 조직 구성원 간의 상호 작용을 명확하게 파악할 수 있습니다.
   
   예를 들어 이전에는 볼 수 없었던 새로운 트래픽 흐름이나 이러한 자산에서 전송되는 데이터의 양이 크게 증가하는 것을 발견할 수 있습니다.그러면 이 인텔리전스를 위협 탐지 및 대응 플레이북에 반영하고 완화 조치를 적용할 수 있습니다.
   
2. Illumio를 이들 국가 이외의 지역에 배포하고 조직이 우크라이나, 러시아 및 벨로루시에서 어떤 IP 주소를 사용하고 있는지 알고 있다면 사이버 위험을 완화하는 것은 매우 간단합니다.몇 분 만에 Illumio에서 해당 네트워크로 들어오고 나가는 트래픽을 차단하는 정책을 구현할 수 있습니다.또한 이러한 시스템에 대한 포렌식 액세스를 보장하기 위해 예외를 작성하는 것도 간단합니다.
   
   이는 Illumio의 덕분에 가능해졌습니다. 집행 경계이를 통해 조직은 모든 포트, 워크로드, 워크로드 그룹 또는 IP 범위에 대해 빠르고 쉽게 보호 경계를 만들 수 있습니다.몇 분 만에 완료할 수 있고 대규모로 적용하여 효과적으로 만들 수 있습니다.”허용 목록” 최소한의 번거로움이 있는 규칙.
   
3. Illumio를 우크라이나, 러시아 및 벨로루시에 기반을 둔 자산을 포함한 모든 자산에 배포하면 고객은 레이블을 사용하여 동일한 차단 기능을 구현할 수 있습니다.“자산이 이러한 국가에 있는 경우 해당 트래픽을 차단하십시오.” 라는 정책을 작성하기만 하면 됩니다.이 또한 몇 분이면 설정할 수 있는 쉽고 빠른 조치입니다.

마이크로세그멘테이션을 통한 보호

우크라이나 분쟁에 직접 노출되지는 않았지만 잠재적 “유출”이 우려되는 조직이라면 지금이 보안 정책 업데이트를 고려하기에 좋은 시기입니다.

위험 노출을 이해하려면 경계 수준에서 가시성을 확보하는 것뿐만 아니라 디지털 하이브리드 인프라 내부의 상황을 파악하는 것도 중요합니다.결국, 단호한 공격자가 피싱, 자격 증명 도용 및 기타 기술을 사용하여 네트워크 경계를 침해하는 것이 그 어느 때보다 쉬워졌습니다.

보안 팀은 적절한 제한을 적용함으로써 의심스러운 트래픽 흐름을 제한하여 측면 이동을 차단하고 공격자의 명령 및 제어 호출을 차단할 수 있습니다.이는 RDP, SMB, SSH와 같이 랜섬웨어가 일반적으로 사용하는 서비스의 포트를 차단하는 것만큼 거칠게 느껴질 수 있습니다.또는 고부가가치 애플리케이션 및 자산을 보호하기 위해 좀 더 세밀하게 조정할 수도 있습니다.

DNS, 인증 시스템, Active Directory와 같은 중요한 IT 인프라를 격리하는 정책을 작성할 수도 있습니다.

우크라이나, 러시아 또는 벨로루시에 자산이 없는 조직에는 트래픽을 차단하는 데 사용할 수 있는 특정 IP 주소가 없습니다.위협 피드 정보를 활용하여 경계 구역의 모든 악성 IP에 대한 전면 차단을 강화하고 세분화 정책에서 보다 표적화된 차단을 강화하여 다중 방어 계층을 구축할 수 있습니다.

러시아가 대대적인 파괴적 공격을 퍼부을 수 있을 뿐만 아니라 규정 준수의 관점에서도 위험 관리 전략을 업데이트해야 하는 필요성이 대두되고 있습니다.예를 들어, 미국 연방 정부는 최근에 법적 요구 사항입니다. 주요 인프라 운영자가 72시간 이내에 사이버 공격을 공개할 수 있도록 합니다.

Illumio의 세그멘테이션 기능이 어떻게 도움이 되는지 자세히 알아보시겠습니까? 심층 방어를 강화하여 조직을 보호하세요 오늘날 날로 증가하고 있는 사이버 위협으로부터? 문의하기 오늘.