랜섬웨어에 다시 집중하기: 랜섬웨어에 대비한 네트워크 구축을 위한 3가지 진실

전국 사이버 보안 인식의 달이 시작되면서 랜섬웨어에 대해 가장 많이 듣게 될 주제는 단연 랜섬웨어입니다.   

랜섬웨어는 조직이 직면하는 가장 일반적인 사이버 공격 유형이므로 이는 놀라운 일이 아닙니다.  

환경 내에서 의심스러운 것이 감지되었다는 전화를 받는 순간에 대비해야 합니다.  

이번 달에는 랜섬웨어 공격의 확산으로부터 네트워크를 보호하기 위한 견고한 기반을 구축하기 위해 모든 조직이 반드시 받아들이고 행동해야 하는 세 가지 중요한 '진실'에 초점을 맞춰보세요.  

일루미오의 수석 에반젤리스트인 나다니엘 아이버슨이 랜섬웨어에 대비하는 방법에 대해 설명합니다:

자세히 알아보려면 계속 읽어보세요.

진실 #1: 랜섬웨어 공격에 대비해 선제적으로 네트워크를 설계해야 합니다. 

전화를 받는다고 상상해 보세요. 그 순간에는 어떤 탐지 및 센서 기술 네트워크를 선택하든 제 역할을 다하고 사고 대응 능력이 중요해질 것입니다. 결국, 이미 배포되고 활성화되어 있으며 신중하게 준비된 것만 가지고 대응할 수 있습니다.   

공격이 진행 중일 때는 누구도 새로운 기능을 즉석에서 구축할 시간이 없습니다.    

건축가는 건물을 설계할 때 모든 층, 사무실, 계단실 입구에 방화문을 설계해야 합니다. 이러한 문은 종종 열려 있거나 대부분의 경우 일반 문으로만 작동합니다.  

하지만 화재가 발생하면 이 문은 화재와 연기를 차단하고 사람들이 안전하게 건물을 빠져나갈 수 있는 출구를 제공합니다.   

세 가지 기능을 통해 랜섬웨어 공격에 효과적으로 대응하고 그 영향을 최소화할 수 있는 '방화벽'을 확보할 수 있습니다: 

1. 트래픽 흐름과 공격 반경을 시각화하는 기능. NetFlow 데이터가 많다고 해서 도움이 되는 것은 아닙니다. 현재로서는 완전하고 자동화된 애플리케이션 종속성 맵과 모든 네트워크 포트의 활동을 쿼리할 수 있는 기능을 갖추는 것이 중요합니다. 이를 종합하면 공격이 현재 어디에 있고, 과거에 있었고, 어디로 이동하려고 하는지 정확히 파악할 수 있습니다. 
2. 다음은 네트워크의 일부를 차단하고 공격이 아직 접근하지 않은 모든 곳에 안전 영역을 생성할 수 있는 사전 설정된 보안 정책입니다. 이렇게 하면 랜섬웨어가 확산되는 것을 막고 감염된 컴퓨터가 소독된 후 이동할 수 있는 '클린 존'이 생성됩니다. 
3. 마지막으로, 손상된 컴퓨터 주변에 엄격한경계를 설정하여 명령 및 제어 네트워크에 대한 연결, 확산 또는 정찰을 제거해야 합니다. 네트워크 방화벽이 이를 수행할 수 있을 만큼 세분화되어 있지 않을 가능성이 높습니다. 사전 설치된 호스트 기반 세분화 솔루션은 필요할 때 올바른 기능을 사용할 수 있도록 보장합니다.   

활성 멀웨어가 탐지되면 누구나 이 세 가지 기능이 있으면 좋겠다고 생각하기 때문에 필요하기 전에 구현하는 것이 좋습니다. 효과적인 봉쇄는 복구 활동이 완료될 때까지 시간을 벌 수 있습니다. 

진실 #2: 위험을 제거하는 것이 관리하는 것보다 낫습니다. 

공격이 진행 중이면 이를 발견하고 조치를 취할 수 있는 많은 도구가 있습니다.   

하지만 더 깊은 진실이 있습니다. 공격은 열린 포트를 통해서만 확산될 수 있다는 것입니다. 경로가 없으면 확산도 없습니다.   

불필요하게 열려 있는 모든 포트가 닫히면 위험이 줄어듭니다. 운영 네트워크의 규모가 축소되어 위험이 제거되고 공격 표면이 줄어듭니다.   

이를 어떻게 달성할 수 있을까요? 

1. 고위험, 고가치, 자주 악용되는 포트는 폐쇄하세요. 대부분의 상업용 랜섬웨어는 전 세계에 공개될 필요가 없는 RDP 및 SMB와 같이 잘 알려진 몇 가지 프로토콜을 사용하여 확산됩니다. 대부분의 모의 침투 전문가는 표준 도구 키트를 사용하여 환경을 탐색하고 잘 알려진 포트에서 일반적인 취약점을 찾으려고 합니다.  거의 대부분의 경우 이러한 잘 알려진 포트는 전 세계적으로 개방되어 있지 않아도 됩니다. 이를 닫는다고 해서 위험이 줄어드는 것이 아니라 실제로 모든 벡터가 제거됩니다. 제거할 수 있는 것을 왜 관리할까요?   
2. 고부가가치 애플리케이션을 링펜스합니다. 불행히도 사용자 환경에서 나쁜 것이 발견되는 경우 가장 먼저 생각나는 것은 가장 가치가 높은 애플리케이션과 데이터입니다. 에지 또는 엔드포인트에서 침해가 탐지될 가능성은 있지만 "가장 중요한 것"이 문제입니다. 그 순간, 모든 사람이 완전한 링펜스와 엄격한 제로 트러스트 세분화 정책을 적용했으면 좋겠다고 생각할 것입니다. 지금 정책을 구축하면 중요한 자산은 이미 네트워크 공격으로 인한 위험의 대부분을 제거할 수 있습니다. 
3. 관리자 액세스를 제어합니다. 대부분의 조직은 점프 호스트를 사용합니다. 환경에 적합한 사용자 및 점프 호스트에 대한 모든 형태의 관리 액세스가 엄격하게 제어되는지 확인하세요. 애플리케이션이나 포트는 특히 사용자 환경의 임의 관리 액세스에 응답해서는 안 됩니다. 모든 관리 프로토콜을 근본적으로 축소하면 많은 종류의 공격이 제거됩니다. 

존재하지 않는 위험은 관리할 필요가 없습니다. 하나의 기술이 보완 기술의 필요성을 없애지는 못하지만, 타깃 세분화의 탄탄한 기반이 침해 확산의 엄청난 위험을 제거할 수 있다는 것은 사실입니다. 

진실 #3: 랜섬웨어 확산을 막으려면 제로 트러스트 세분화와 EDR이 모두 필요합니다. 

침해 확산을 방지하기 위해 할 수 있는 최선의 방법은 기존 엔드포인트 탐지 및 대응(EDR) 제품에 제로 트러스트 세분화를 배포하는 것입니다.   

비숍 폭스는 최근 공격자들이 EDR로만 보호되는 네트워크와 EDR 및 제로 트러스트 세분화로 보호되는 네트워크를 손상시키려는 일련의 에뮬레이트된 랜섬웨어 공격을 수행한 바 있습니다.  

연구팀은 EDR이 많은 공격을 탐지하고 궁극적으로 해결하는 데 매우 효과적이었지만, 제로 트러스트 세분화로 보호된 네트워크는 공격을 4배 더 빠르게 차단하고 손상된 호스트의 수는 훨씬 더 적다는 사실을 발견했습니다.   

세분화 정책이 우수할수록 EDR의 효과는 더욱 높아집니다. 제로 트러스트 세분화를 배포에 추가하여 EDR에 강력한 기능을 부여하여 응답성을 극대화하세요.   

피할 수 없는 랜섬웨어 공격에 대비하세요. 

랜섬웨어는 현대 사용자 및 컴퓨팅 환경의 재앙입니다. 그러나 침해가 재앙이 아닌 사건으로 이어지지 않도록 효과적으로 대비할 수 있습니다.   

수준 높은 사전 예방적 및 사후 대응적 사고 대응 세분화 정책에 투자하면 보안팀은 중요한 대응 초기 몇 분 동안 귀중한 제어권을 확보할 수 있습니다.   

이벤트가 발생하기 전에 위험을 제거하는 팀은 중요한 애플리케이션을 광범위하게 노출하고 고위험 포트와 관리 프로토콜을 열어둔 팀보다 항상 할 일이 적습니다. 그리고 손상된 호스트의 수를 줄이면서 EDR이 4배 더 빠르게 작동하는 것을 원하지 않을 사람이 어디 있을까요?   

일루미오 제로 트러스트 세분화 플랫폼은 이러한 기본 기능을 제공하여 위험을 제거하고 대응 능력을 향상시킬 수 있으며, 이번 달의 주제는 바로 이러한 인식에 관한 것입니다!   

다음 주에는 이번 사이버 보안 인식의 달에 제로 트러스트 세분화에 집중해야 하는 이유에 대한 새로운 인사이트를 소개합니다.