제로 트러스트 세분화로 멀웨어를 차단하는 5단계

사이버 공격의 빈도와 정교함이 증가하면서 조직의 보안이 위험에 처하고 있습니다. 지난 한 해 동안 전 세계 기업의 3분의 1 이상이 랜섬웨어 공격 또는 데이터 유출로 인해 데이터 액세스가 차단되는 피해를 입었습니다.

리서치 기관 IDC가 500명 이상의 보안 전문가를 대상으로 실시한 설문조사에 따르면 기업들은 보안 침해의 가장 빈번한 원인으로 지능형 멀웨어를 꼽았습니다.

지능형 위협으로부터 보호하기 위해 IT 조직은 다양한 보안 투자를 해야 합니다. 여기에는 멀웨어 탐지를 위한 안티바이러스 소프트웨어와 같은 전통적인 보안 제품이 포함됩니다. 또한 직원을 위한 보안 교육에도 투자해야 합니다.

하지만 제로 트러스트 세분화 전략을 채택하는 또 다른 중요한 단계가 있습니다.

네트워크를 세분화하려면 엔드포인트에 '허용 목록' 정책 제어를 배포하여 합법적인 비즈니스 운영에 필요한 특정 유형의 트래픽만 허용합니다. 이 접근 방식은 공격이 불가피하다는 것을 인식합니다. 수천, 수십만 개의 엔드포인트가 있는 대규모 조직에서는 멀웨어가 어딘가에서 어떻게든 침투할 수 있습니다.

그러면 멀웨어가 엔드포인트에서 엔드포인트로 이동하지 못하도록 차단하는 것이 최선의 방어책이 되는데, 이를 "측면 이동"이라고 합니다.

엔드포인트에 제로 트러스트 세분화를 적용하면 멀웨어와 랜섬웨어가 확산되어 심각한 피해를 입힐 수 없습니다. 회사 전체나 한 부서를 휩쓸지는 않을 것입니다. 대신 노트북 한 대에 모두 담을 수 있습니다.

엔드포인트에서 제로 트러스트 적용을 위한 5단계 접근 방식 취하기

IDC의 보안 연구 책임자인 마이클 수비는 최근 IDC 기술 스포트라이트에서 제로 트러스트 ('허용 목록') 접근 방식을 통해 멀웨어 및 랜섬웨어 공격의 확산을 억제하기 위한 5단계 프로세스를 다음과 같이 권장했습니다.

1단계: 트래픽 흐름 시각화

엔드포인트 트래픽을 제한하는 목적은 멀웨어가 네트워크를 통해 쉽게 확산되는 것을 방지하는 것입니다. 이 전략은 엔드포인트 트래픽을 관리하기 위해 호스트 운영 체제에 내장된 방화벽을 활용합니다.

IT 팀은 경량 에이전트로 이러한 방화벽을 제어함으로써 데이터 액세스를 비즈니스에 필요한 액세스 권한으로만 제한할 수 있습니다. 즉, 직원과 엔드포인트가 필요한 애플리케이션과 데이터에만 액세스하고 그 외에는 액세스하지 못하도록 허용할 수 있습니다.

직원에게 필요한 액세스 권한을 결정하기 위해 IDC는 IT 조직이 애플리케이션 및 데이터 사용량의 정상적인 변동을 고려하기 위해 가급적 30일 정도 트래픽 흐름을 모니터링해야 한다고 말합니다. 모니터링은 온프레미스, 원격 위치, 클라우드를 오가는 데이터 흐름을 추적하는 포괄적인 방식으로 이루어져야 합니다.

최상의 결과를 얻으려면 단일 서버에서 모든 디바이스의 모든 위치에서 모든 트래픽을 모니터링하기보다는 호스트 기반 소프트웨어 및 네트워크 인프라 보고 기능을 활용하세요.

2단계: 엔드포인트 그룹화

트래픽을 허용하고 허용하지 않는 정책을 만드는 일은 금방 복잡해질 수 있습니다. 이 작업을 간소화하려면 엔드포인트를 공통 특성에 따라 그룹화하고 그에 따라 허용 목록 정책을 개발하세요. 엔드포인트 그룹에는 다음이 포함될 수 있습니다:

• 위치(예: 뉴욕 사무실, 원격지 등)
• 디바이스 유형(예: 노트북)
• 직원 소속(예: 부서, 역할 등)
• 운영 시간(예: 표준 근무 시간 또는 근무 외 시간)

이러한 그룹에 엔드포인트를 할당함으로써 IT 관리자는 다음 단계에서 정책을 만들고 미세 조정하는 작업을 간소화할 수 있습니다.

3단계: 허용 목록 정책 정의 및 테스트하기

다음 단계는 일상적인 비즈니스 운영을 지원하는 데 필요한 특정 네트워크 포트, 주소 및 프로토콜을 사용하는 트래픽을 허용하는 정책을 정의하는 것입니다. 가장 제한적인 정책부터 시작하여 해당 정책이 시행될 경우 트래픽에 어떤 영향을 미치는지 모니터링하는 것이 좋습니다. 일반적인 원칙은 트래픽을 최대한 제한하여 멀웨어가 이동할 수 있는 기회를 최대한 적게 제공하는 것입니다.

4단계: 허용 목록 정책 적용

다음 단계는 허용 목록 정책을 적용하여 정책에 의해 구체적으로 식별된 트래픽만 허용하는 것입니다. 이론적으로 이 단계를 수행하려면 IT 관리자가 복잡한 방화벽 규칙을 직접 만들고 각 규칙 집합을 적절한 엔드포인트 그룹에 배포해야 할 수 있습니다.

하지만 일루미오 엣지 및 일루미오 코어와 같은 솔루션을 사용하면 관리자가 방화벽 규칙을 직접 작성하거나 관리할 필요가 없습니다. 대신 원하는 허용 목록 정책을 정의하면 Illumio가 해당 정책을 엔드포인트는 물론 데이터 센터 및 클라우드 워크로드에 쉽게 배포할 수 있는 세부 방화벽 규칙으로 자동 변환합니다.

5단계: 허용 목록 정책 구체화

이 프로세스의 마지막 단계는 필요에 따라 허용 목록 정책을 지속적으로 모니터링하고 개선하여 비즈니스 운영에 지장을 주지 않으면서 최대한 액세스를 제한하는 것입니다.

제로 트러스트 세분화를 통한 멀웨어 억제의 이점

일루미오 엣지 및 일루미오 코어와 같은 솔루션을 사용하는 이러한 접근 방식의 이점은 상당합니다:

• 엔드포인트 트래픽 및 잠재적 위협에 대한 가시성이 향상되었습니다.
• 멀웨어, 랜섬웨어 및 기타 사이버 공격으로 인한 피해 감소.
• 허용 목록 정책을 빠르고 쉽게 정의, 배포 및 구체화할 수 있는 자동화 기능입니다.
• 대규모 엔터프라이즈 네트워크에 적합한 확장성.
• SIEM 시스템 및 기타 IT 보안 도구와 통합하여 허용 목록 정책이 IT 보안에 대한 더 크고 다층적인 접근 방식의 일부로 작동할 수 있도록 합니다.
   

이러한 단계와 IDC의 연구에 대해 자세히 알아보려면 IDC 기술 집중 조명, 포괄적인 가시성 및 허용 목록 정책 제어로 멀웨어 확산 억제에서 확인하세요.