사이버 회복탄력성에 다시 집중하세요: 사이버 회복탄력성 향상을 위한 3가지 모범 사례

사이버 보안 인식의 달 시리즈를 마무리하면서 사이버 복원력과 네트워크에서 침입이 감지되는 불행한 상황에서 여러분이 할 수 있는 일에 대해 살펴봅니다.

사이버 복원력 향상에는 다음이 포함됩니다:

• 공격자가 취할 행동을 예측합니다.
• 이러한 공격에서 조직이 가장 원하는 대응 능력은 다음과 같습니다.
• 이러한 기능을 갖추고, 교육을 받았으며, 필요한 순간을 대비하여 운영할 준비가 되어 있는지 확인합니다.

목표는 랜섬웨어 공격이나 기타 침해가 발생했을 때 사후 대응에서 회복력 있는 대응으로 전환하는 것입니다. 하지만 그렇게 하려면 먼저 침해가 어떻게 발생하는지, 그리고 침해가 성공할 수 있는 자질을 알아야 합니다.

일루미오의 수석 에반젤리스트인 나다니엘 아이버슨(Nathanael Iversen)으로부터 조직의 사이버 복원력 구축이 왜 중요한지 들어보세요:

 
사이버 복원력을 개선하기 위한 3가지 모범 사례를 계속 읽어보세요.

랜섬웨어 공격의 작동 방식

거의 모든 성공적인 공격은 이 패턴을 따릅니다:

• 감지에 실패했습니다. 모든 스캐너, 휴리스틱, 알고리즘, AI 기반의 건초더미에서 바늘 찾기 솔루션에도 불구하고 공격자들은 여전히 성공을 거두고 있습니다. 또한 네트워크 경계나 사용자의 노트북에 탐지되지 않고 침입할 수 있는 경우, 이들은 천천히 시간을 들여 조용히 자신의 영역을 확장하는 방법을 배울 수 있습니다. 랜섬웨어나 멀웨어를 설치하는 것은 첫 번째 단계가 아니라 마지막 단계입니다.
• 침해가 확산됩니다. 단일 시스템에 대한 안정적인 액세스가 안정화되면 공격자는 탐지를 피하기 위해 조용하고 인내심을 가지고 탐색, 잠복, 학습을 시작합니다. 안타깝게도 세분화가 없는 평면 네트워크는 이러한 움직임에 무방비 상태입니다.
• 중요한 자산이 손상되었습니다. 공격자가 즉시 중요한 시스템을 손상시키는 경우는 드뭅니다. 대개 사용자 데스크톱이나 운영 기술(OT) 시스템에서 시작되는 경우가 많습니다. 그런 다음 10~20개의 시스템을 점차적으로 필터링하여 중요한 데이터베이스, 애플리케이션 또는 서비스를 찾습니다. 일단 그곳에 도착하면 데이터를 유출하여 규제 프레임워크를 위반할 수 있습니다. 마지막 모욕으로 멀웨어는 시스템을 잠그고 몸값을 요구할 수도 있습니다.

이 단순하지만 정확한 설명을 통해 공격의 성공 요인을 파악할 수 있습니다.

랜섬웨어 공격은 기회주의적이며 이 땅이 제공하는 것을 이용합니다.

초기 공격은 알려진 익스플로잇, 제로데이 익스플로잇, 소셜 엔지니어링 피싱 메시지 또는 노트북을 이더넷 포트에 꽂는 것만으로도 첫 번째 네트워크 액세스 지점을 제공합니다. 스캔을 통해 호스트, 열린 포트, 실행 중인 서비스, 즉 사용 가능한 공격 표면을 열거합니다.

익스플로잇, 탈취한 인증정보, 기존 신뢰 등 기회주의적 공격 벡터를 통해 액세스 권한을 얻습니다. 

랜섬웨어 '페이로드'는 위의 과정이 반복되는 동안 실행되어 액세스를 유지하고 확산을 계속하는 횡방향 이동 공격입니다.

간단히 요약하면 다음과 같습니다:제로 트러스트 세분화를 통해 침해는 이동해야 합니다.

사이버 회복탄력성 향상을 위한 3가지 모범 사례

알려지지 않은 익스플로잇 툴 모음을 사용할 가능성이 높은 공격자에 맞서 회복력을 유지하려면 어떻게 해야 할까요? 다음은 3가지 모범 사례입니다.

사전 예방적 및 사후 대응적 랜섬웨어 차단 전략 구현

소수의 사용자 노트북에서 침해가 의심되거나 발견되었다는 통보를 받았다면 즉시 두 가지 조치를 취해야 합니다. 오염된 시스템을 격리하고 중요한 시스템을 안전하게 보호하기 위해 추가 장벽을 설치하는 것입니다.

이를 통해 침해가 발생하기 전에 미리 알려야 합니다.

침해가 발생하기 전에 미리 예방할 수 있는 기회가 있습니다:

• 관리 액세스 권한에 대한 세분화를 강화하세요.
• 위험 기반 가시성이 전체 환경을 포괄하도록 보장하여 다음과 같은 작업을 쉽게 수행할 수 있습니다.
• 컴퓨팅 환경 전반에서 모든 포트 또는 프로토콜을 검색하고 추적할 수 있습니다.
• 엄격하게 제한적이고 사후 대응적인 세분화 정책을 미리 설정하세요.

이러한 정책을 일상적으로 활성화하지는 않겠지만 공격이 발생했을 때 즉시 차단하고 싶은 환경은 어떤 것이 있을까요? 이러한 대응 정책은 보안 팀이 미리 만들고 교육을 통해 구현해야 하는 정책입니다.

불필요하고 위험하며 일반적으로 악용되는 포트를 선제적으로 닫습니다.

연결성이 높은 포트는 일반적으로 특정 환경의 대부분 또는 전체와 통신하기 때문에 위험이 집중됩니다. 즉, 전체 환경이 이를 수신하고 있으며 해커가 한 환경에서 다른 환경으로 확산하려는 시도로부터 보호해야 합니다.

피어 투 피어 포트는 모든 컴퓨터에서 모든 컴퓨터로 작동하도록 작성되었기 때문에 위험합니다. 가장 널리 사용되는 랜섬웨어 벡터 중 일부가 이러한 포트를 사용한다는 것이 문제입니다. 실제로 전체 랜섬웨어 공격의 70%가 원격 데스크톱 프로토콜(RDP)을 사용하여 네트워크를 침입합니다.

잘 알려진 포트는 문제가 있습니다. 이들은 오랜 역사를 가지고 있으며, 이미 잘 알려진 많은 취약점을 가지고 있습니다. 그리고 이러한 기능은 사용 목적이 없더라도 기본적으로 켜져 있는 경우가 많습니다. 이를 닫으면 공격 표면이 즉시 줄어듭니다.

제로 트러스트 세분화는 몇 시간 내에 위험한 포트를 제어하여 침해가 확산될 위험을 획기적으로 줄일 수 있습니다.

영향을 받지 않는 고가치 애플리케이션 및/또는 감염된 시스템을 격리합니다.

대부분의 사용자 시스템에는 랜섬웨어를 성공적으로 실행할 수 있는 충분한 데이터가 없기 때문에 공격자는 고가의 자산을 확보하고자 합니다.

기업 환경에서 가장 중요한 시스템과 데이터는 이미 알고 있을 테니, 해커가 측면으로 이동하는 것이 거의 불가능하도록 각 애플리케이션에 단단한 울타리를 치는 것은 어떨까요?

제로 트러스트 세분화는 모든 조직이 제로 트러스트 세분화를 통해 몇 주 안에 완료할 수 있는 저비용 고효율 프로젝트입니다.

제로 트러스트 세분화로 사이버 복원력 확보

제로 트러스트 세분화는 클라우드, 사용자 디바이스, 데이터센터 자산 전반의 세분화에 최소 권한 액세스 원칙을 적용합니다. 인시던트에 대응할 때 가장 필수적인 기능은 애플리케이션, 환경, 위치 또는 전체 글로벌 네트워크의 모든 포트에서 네트워크 통신을 신속하게 차단하는 것입니다.

이 기본 기능은 침해를 억제하고, 깨끗한 구역과 오염된 구역을 설정하고, 안심하고 시스템을 복구하여 '깨끗한' 구역에 배치할 수 있는 제어 기능을 제공합니다. 이 기능이 없으면 '두더지 잡기' 게임은 몇 달 동안 계속됩니다.

침해는 열린 네트워크 포트에 따라 이동합니다. 하지만 제로 트러스트 세분화는 침해가 확산되는 것을 막을 수 있는 가장 강력한 솔루션입니다.

지금 더 강력한 사이버 복원력 구축 시작하기

열려 있지 않은 포트는 침입 시도를 전달할 수 없습니다.

즉, 세분화 정책을 강화할 때마다 효과적으로 세분화할 수 있습니다:

• 운영 네트워크의 규모를 줄입니다.
• 발견, 측면 이동 및 멀웨어 전파 경로를 제거합니다.

연결에 대한 통제력을 향상하는 것은 더 강력한 사이버 복원력을 구축하는 데 필요한 가장 중요한 역량 중 하나입니다. 위험 정보에 기반한 제로 트러스트 세분화 배포는 생각보다 짧은 시간 내에 사이버 복원력을 획기적으로 개선할 수 있습니다.

올해 사이버 보안 인식의 달은 보안 태세를 개선하기 위한 방법을 되돌아보고, 다시 집중하고, 계획할 수 있는 기회를 제공했습니다. 참여해 주셔서 감사합니다.