랜섬웨어 감소 101: 엔드포인트 간 측면 이동

최악의 상황에서 랜섬웨어는 그 어느 때보다 큰 위협이 되어 IT 운영을 펜과 종이로 되돌리고, 가장 여유가 없는 시기에 비즈니스를 중단시킵니다. 팬데믹의 한가운데서 의료 랜섬웨어가 지속적으로 증가하는 것을 확인했습니다. 원격으로 학습하는 자녀가 있는 가정에서는 랜섬웨어가 새로운 설날을 맞이했습니다.

랜섬웨어 공격이 여전히 많은 이유는 무엇인가요?

측면 이동이란 무엇인가요?

측면 이동은 침입자나 공격이 경계를 침범한 후 환경을 가로질러 다른 컴퓨터로 측면 이동하여 훨씬 더 크고 비용이 많이 드는 데이터 유출을 초래하는 경우입니다. 이는 엔드포인트 또는 손상된 데이터 센터 워크로드에서 시작하여 수만 대의 최종 사용자 컴퓨터를 다운시키거나 가장 중요한 데이터 센터 자산을 전략적으로 표적으로 삼을 수도 있습니다.

MITRE의 ATT& CK 프레임워크는 이를 명확하게 설명합니다: "공격자는 사용자 환경을 통해 이동하려고 합니다." 즉, 위협이 발판을 마련하는 것을 막는 것뿐만 아니라 공격자의 측면 이동을 막는 데도 집중해야 합니다. 이는 이제 수비수 업무의 기본이 되었으며, MITRE ATT&CK는 측면 이동을 방어해야 할 주요 공격자 기술로 지적하고 있습니다. 

멀웨어가 엔드포인트 간의 측면 이동을 이용해 성공적으로 전파되는 이유는 무엇일까요? 이런 일이 발생하는 이유를 이해하려면 먼저 기존 애플리케이션 보안이 데이터 센터를 보호하는 데 어떻게 작동하지만 항상 엔드포인트를 보호하지는 않는지 살펴봐야 합니다.

데이터 센터의 측면 이동

데이터 센터 보안은 엔드포인트에서 서버로의 클라이언트-서버 통신에 중점을 둡니다. 오늘날 대부분의 브라우저 기반 비즈니스 애플리케이션에서 사용자가 브라우저 창에 애플리케이션의 URL을 입력하면 브라우저는 데이터 센터 또는 퍼블릭 클라우드에서 실행되는 웹 서버에 대한 연결을 엽니다. 최종 사용자 컴퓨터는 80 및 443과 같은 표준 포트를 통해 이러한 프런트엔드 서버와 통신합니다. 기업 경계 뒤에 있는 웹 서버는 방화벽, IPS, 탐지 및 대응, 기타 데이터 센터 보안 기술로 보호됩니다. 프런트엔드 서버는 데이터 센터 또는 클라우드 환경의 범위 내에서 비즈니스 로직, 데이터베이스 및 기타 유형의 서버에 연결됩니다.

측면 이동이 피해를 입힐 수 있는 곳입니다. 외부를 향한 서버 또는 워크로드가 취약점을 통해 손상된 경우 공격자는 손상된 워크로드에서 데이터베이스 서버와 같이 중요한 데이터가 있는 곳으로 측면 이동합니다. 마이크로 세분화가 없는 플랫 네트워크에서는 이 작업이 전혀 어렵지 않습니다.

효과적인 세분화를 적용하면 이러한 모든 '내부' 서버가 외부 위협으로부터 보호됩니다. 마이크로 세분화는 공격자나 위협이 데이터 센터, 클라우드 또는 캠퍼스 네트워크에서 횡방향 또는 '동서방향'으로 확산되거나 이동하는 것을 방지합니다.  위협은 배치된 네트워크 세그먼트 또는 호스트 세그먼트에 포함되므로 공격자가 환경의 다른 부분으로 이동할 수 없습니다. 이렇게 하면 침해의 규모와 영향을 제한하여 조직을 침해로부터 더 잘 보호할 수 있습니다.

엔드포인트에서 엔드포인트로의 측면 이동

랜섬웨어를 막기에 충분하지 않은 이유는 무엇인가요? 랜섬웨어는 전파를 위해 서버와 통신할 필요가 없다는 것이 정답입니다. 엔드포인트에서 엔드포인트로 수만 대의 머신으로 순식간에 확산될 수 있습니다.

랜섬웨어는 일반적으로 엔드포인트에서 시작하여 RDP, SMB, SIP, Skype 등을 통해 다른 엔드포인트로 직접 확산됩니다. 엔드포인트 간의 P2P(피어 투 피어) 애플리케이션은 엔드포인트와 서버 간의 통신을 포함하지 않는 이러한 횡방향 이동 또는 동서 연결을 생성합니다. 대부분의 최신 엔터프라이즈 애플리케이션은 아웃바운드 연결(서버에 대한 연결을 시작하는 엔드포인트)에만 의존하지만 P2P 기술은 인접 엔드포인트의 인바운드 연결을 활용합니다. 이러한 엔드포인트는 서버나 데이터 센터를 통해 트래픽을 헤어핀하지 않고 통신하므로 엔드포인트 자체에 존재하는 보안에 의존합니다.

엔드포인트 간 측면 이동 방지

엔드포인트 간 측면 이동을 보호하는 데 있어 어떤 어려움이 있나요?

가시성 - 예를 들어 동일한 서브넷에 있는 엔드포인트 간의 측면 연결은 방화벽과 게이트웨이에 보이지 않으므로 이러한 보안 장치가 관련 위협을 탐지하고 방지하는 데 전혀 효과적이지 않습니다. 이는 또한 원격으로 근무하는 직원들이 집에서 무슨 일이 일어나고 있는지에 대한 가시성이 완전히 부족하다는 것을 의미합니다.

엔드포인트 보안은 어떤가요? 탐지 및 대응은 가능하지만 엔드포인트에서 실행되는 EDR 및 EPP 도구는 위협에 사후적으로 대응합니다. 즉, 처음부터 유출을 방지하는 것이 아니라 유출이 발생한 후에만 작동합니다.

엔드포인트를 위한 제로 트러스트

침해 확산을 방지하는 모범 사례는 제로 트러스트 보안 정책을 채택하는 것입니다. 즉, 승인된 서비스가 엔드포인트 간에 실행되도록 허용 목록을 의무적으로 나열하고 합법적인 비즈니스 목적의 액세스에 대해서만 권한을 부여해야 합니다.

새 직장에서 인터넷이 연결되지 않은 노트북에 Skype와 같은 P2P 앱을 다운로드하여 설치했다가 IT 부서로부터 불쾌한 프로그램을 받아본 적이 있다면 어떻게 작동하는지 이해하실 것입니다. 사용자는 모든 사람의 보호를 위해 회사에서 승인한 리소스에만 액세스해야 합니다.

보안 위협이 진화하고 국가가 후원하는 해커가 점점 더 정교해짐에 따라 보안 솔루션은 관련성을 유지하기 위해 이를 따라잡아야 합니다. 제로 트러스트 솔루션은 여러 시스템을 선제적으로 보호할 수 있으며, 퍼스트-프린트 기반의 보안 범위와 낮은 오탐률을 제공합니다. 일루미오 엣지와 같은 소프트웨어 툴은 확장 가능한 호스트 기반 방화벽 관리 분야를 선도하며 악의적인 측면 이동에 대한 전례 없는 보안 보호 및 방어 기능을 제공합니다.

웹 사이트에서 Illumio Edge에 대해 자세히 알아보거나 12월 21일 웨비나에 지금 바로 등록하세요.