일루미오로 CISA의 포보스 랜섬웨어 지침을 충족하는 방법

최근 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA), 다국가 정보 공유 및 분석 센터(MS-ISAC)는 정부 및 중요 인프라 조직에 포보스 랜섬웨어로부터 보호하는 방법을 알리는 새로운 사이버 보안 권고문을 발표했습니다.  

이 블로그 게시물에서는 포보스 랜섬웨어가 무엇인지, 정부 당국이 포보스에 대비할 것을 권장하는 방법, 그리고 일루미오의 랜섬웨어 보호 대시보드가 이러한 권장 사항을 달성하는 데 어떻게 도움이 되는지 알아보세요.  

포보스 랜섬웨어란 무엇인가요?

포보스 랜섬웨어는 엘킹, 에이트, 데보스, 백마이데이터, 파우스트 랜섬웨어 등 여러 랜섬웨어 변종과 관련이 있습니다. 백마이데이터 변종은 2024년 2월 루마니아에서 발생한 공격에 사용되어 약 100개 의료 시설의 시스템을 오프라인 상태로 만들었습니다.

이 권고문은 2024년 2월에 관찰된 포보스 랜섬웨어 변종과 관련된 알려진 전술, 기술 및 절차(TTP)와 침해 지표(IOC)를 공유합니다. 포보스는 서비스형 랜섬웨어(RaaS) 모델로 운영되며 2019년 5월부터 정부, 응급 서비스, 의료, 교육 등 다양한 분야를 대상으로 공격하고 있습니다.  

포보스 랜섬웨어로부터 보호하는 방법

이 권고문은 포보스 랜섬웨어 활동을 완화하기 위한 세 가지 핵심 사항을 제공합니다:

1. 위협 행위자가 RDP 도구를 악용하고 활용하지 못하도록 RDP 포트를 보호하세요.

2. 악용된 것으로 알려진 취약점을 우선적으로 해결하세요.

3. EDR 솔루션을 구현하여 위협 행위자의 메모리 할당 기술을 방해하세요.

일루미오 제로 트러스트 세분화 플랫폼은 이 세 가지 권장 사항을 모두 해결하는 데 도움이 될 수 있습니다.  

1. 일루미오의 랜섬웨어 보호 대시보드를 사용하여 RDP 포트를 보호합니다.

몇 가지 간단한 단계만 거치면 조직은 악의적인 행위자를 차단하고 환경 내 횡적 이동을 방지하는 데 큰 개선을 이룰 수 있습니다. 측면 이동을 방지할 수 있다면 공격자가 침입하더라도 멀리 접근하거나 미션 크리티컬 애플리케이션에 액세스하지 못하도록 할 수 있습니다.  

랜섬웨어 보호 대시보드를 사용하여 RDP 포트를 보호하는 세 가지 단계를 살펴보세요:  

1. 사용자 환경에서 RDP 트래픽이 있는 위치 파악하기  

2. Illumio의 랜섬웨어 보호 대시보드에서 권장 조치를 따르세요.  

3. 랜섬웨어 보호 점수 개선 측정  

사용자 환경의 RDP 트래픽 식별  

Illumio의 랜섬웨어 보호 대시보드는 사용자 환경에서 가장 위험도가 높은 서비스를 쉽게 추적합니다. 이러한 서비스 중 하나가 RDP입니다. 정책으로 제어하지 않고 환경에 노출된 경우 상위 5대 위험 서비스 보고서에 해당 서비스가 표시될 수 있습니다. 또는 지도로 이동하여 RDP 트래픽을 구체적으로 검색할 수도 있습니다.  

위 이미지에서 RDP가 상위 5개 위험 서비스에 포함되어 있지만 이 서비스를 통제하는 정책도 마련되어 있지 않다는 것을 알 수 있습니다.  

여기에서 비즈니스 분석을 수행하여 영향을 파악할 수 있습니다. 예를 들어 조직에 RDP를 사용할 수 있는 기능이 필요한 특정 사람들이 있습니다. 이는 현장에 있지 않은 직원의 문제 해결을 도와야 하는 IT 부서에 매우 유용합니다. 그러나 평균적인 워크로드에서 사용할 수 있는 것은 아닙니다.  

여기에서 대시보드의 권장 작업이 작동합니다.  

랜섬웨어 보호 대시보드의 권장 조치를 따르세요.

대시보드에서 권장되는 작업 중 하나는 거부 규칙을 작성하는 것입니다. 이는 더 큰 제로 트러스트 여정을 진행하면서 보호 기능을 빠르게 구축할 수 있는 쉬운 방법입니다.  

이 경우 CISA는 RDP 포트 보안을 권장하므로 다음 단계는 이 트래픽을 차단하는 거부 규칙을 구축하는 것입니다. 필요에 따라 예외를 추가할 수 있지만 일반적으로는 잠겨 있습니다. 이를 통해 Phobos 랜섬웨어 공격에 대한 사전 예방적 보호 기능을 제공합니다.  

Illumio로 거부 규칙을 적용하면 규모에 관계없이 몇 분 안에 새 정책이 조직 전체에 배포됩니다.

랜섬웨어 보호 점수에서 보안 개선도 측정하기  

대시보드의 랜섬웨어 보호 점수를 통해 환경 보호의 진행 상황을 측정하는 좋은 방법 중 하나입니다. 정책을 배포하고 RDP 트래픽 차단과 같은 주요 변경 사항을 적용하면 점수가 올라가는 것을 확인할 수 있습니다.  

Illumio는 현재 점수뿐만 아니라 시간 경과에 따른 점수도 제공합니다. 이는 끊임없이 진화하는 위협으로부터 조직을 어떻게 보호하고 있는지 측정할 수 있는 좋은 방법입니다.  

2. 제로 트러스트 세분화로 알려진 익스플로잇 취약점 해결

제로 트러스트 세분화(ZTS)는 네트워크의 취약점이 악용된 위치를 파악하고 해결함으로써 포보스와 같은 랜섬웨어 공격의 영향을 줄일 수 있도록 도와줍니다.  

보안 취약점 확인 및 수정

일루미오 맵은 과도하거나 불필요한 통신을 하거나 규정을 준수하지 않는 시스템이나 애플리케이션을 파악하는 데 도움이 됩니다. 이 정보를 취약성 스캐너의 데이터와 결합할 수도 있습니다.  

보안팀은 이러한 인사이트를 바탕으로 세분화되고 유연한 세분화 정책을 설정하여 취약성 노출을 줄이고 불가피한 침해의 확산을 막을 수 있습니다. 컨텍스트와 노출을 이해하면 패치가 배포되기 전에 워크로드를 신속하게 보호할 수 있습니다.

취약성에 대한 데이터 기반 인사이트로 위험 정량화

포보스 랜섬웨어와 같은 위협에 맞서려면 네트워크 내의 잠재적 취약성을 식별하는 것뿐만 아니라 정량화하는 것이 중요합니다. Illumio는 네트워크의 취약점을 보여줌으로써 팀이 가장 필요한 곳에 사전 예방 조치를 정확하게 구현할 수 있도록 지원합니다.

이러한 인사이트는 보안 격차를 해소하고, 데이터 기반 의사 결정을 촉진하며, 전체 환경에서 위험 완화 전략을 강화하기 위한 실행 가능한 인사이트로 부서 간 팀을 무장시킵니다.

선제적으로 취약성 방어 구축

고위험 자산의 세분화된 세그먼테이션을 모델링, 테스트 및 배포하여 패치가 불가능하거나 허용할 수 없는 운영 복잡성을 초래할 경우 중요 시스템을 보호하는 보상 제어를 수행합니다.  

인식이 핵심입니다. 알려진 취약점이 있는 포트에 트래픽이 연결되면 보안 운영 센터(SOC)는 일루미오에서 제공하는 데이터와 함께 취약점 및 심각도 컨텍스트를 포함하여 위반에 대한 알림을 받습니다.

3. EDR과 제로 트러스트 세분화를 결합하여 측면 이동을 감지하고 자동으로 보호합니다.

Illumio는 공격자가 기동할 여지를 거의 남기지 않는 제로 트러스트 세분화 정책으로 공격 표면을 줄임으로써 EDR을 보완합니다. Illumio는 공격 패턴에 구애받지 않고 사고와 탐지 사이의 간극을 메웁니다.

사이버 보안 권고에 따르면, EDR은 포보스와 같은 랜섬웨어 공격으로부터 보호하는 중요한 요소입니다. 그러나 공격이 엔드포인트를 침해하는 경우, EDR은 조직의 네트워크를 통해 계속해서 측면으로 이동하는 침해를 막을 방법이 없습니다. 그렇기 때문에 EDR과 ZTS를 결합하는 것이 필수적입니다. EDR 시스템이 침해를 감지하면 ZTS는 감염된 워크로드를 자동으로 종료하고 격리할 수 있습니다.

모든 엔드포인트에서 ZTS와 같은 사전 예방 기술과 EDR과 같은 사후 대응 기술을 결합하면 체류 시간 약점을 줄이는 동시에 대응 능력을 크게 높일 수 있습니다. 실제로 비숍 폭스의 테스트에 따르면, EDR과 일루미오를 결합하면 공격자의 확산을 획기적으로 줄이면서도 탐지 속도가 4배 빨라졌습니다.

제로 트러스트 세분화를 통해 CISA의 지침을 충족하고 포보스와 같은 랜섬웨어 공격을 차단하는 데 어떻게 도움이 되는지 지금 바로 문의하세요.