.png)
사고 대응에서 세분화가 IR 및 복구 기업에 주는 이점
기록적인 보안 지출에도 불구하고 보안 침해는 여전히 흔한 일입니다. IBM은 2022년 데이터 유출 비용 보고서에서 데이터 유출을 경험한 수백 개의 조직을 인터뷰한 결과, 83%가 한 번 이상 유출 피해를 입었다고 답했습니다.
침해 사고를 당하면 가장 먼저 사이버 보험사에 연락하는 경우가 많은데, 보험사는 일반적으로 디지털 포렌식 및 사고 대응 회사(DFIR) 또는 복구 회사에 비용을 지불하여 공격을 중지하고, 문제를 해결하고, 포렌식 조사를 수행합니다.
이러한 기업들이 직면한 도전 과제는 자신들이 모르는 네트워크에 들어가야 한다는 것입니다. 그리고 비즈니스에 미치는 영향과 피해를 최소화하기 위해 24시간 내내 노력하고 있습니다.
공격이 확산될수록 더 많은 디바이스가 침해되고, 이는 곧 침해 문제를 해결하는 데 더 많은 시간과 비용이 소요된다는 의미이므로 보험사도 침해의 영향을 최소화하는 데 많은 투자를 하고 있습니다. 그 결과, 침해 사고로 인한 지급금 증가로 인한 통신사의 재정적 손실로 인해 사이버 보험료가 상승하고 있습니다.↪cf_200D↩
제로 트러스트 세분화가 사고 대응에 효과적인 이유
Illumio는 침해 차단 및 복구를 위한 사고 대응 참여에서 제로 트러스트 세분화(ZTS) 의 효과를 입증했습니다:
- Illumio ZTS는 환경을 볼 수 있도록 도와주며, 이전에 본 적 없는 네트워크에 진입하는 DFIR 및 복구 팀에게 즉각적인 네트워크 가시성을 제공합니다.
- Illumio ZTS는 클라이언트의 물리적 네트워크에 영향을 미치지 않으므로 IR 계약에서 흔히 사용되는 VLAN을 만들거나 방화벽을 사용할 필요가 없습니다.
- Illumio ZTS는 조사 또는 복구 프로세스가 완료되기 전, 심지어 공격자가 아직 환경에 있을 때에도 고객의 가장 중요한 비즈니스 기능에 우선순위를 지정하여 침해 확산을 차단하고 복구 속도를 향상시킵니다.
보험사는 사이버 공격의 증가에 대응하는 최전선에 서 있으며,세분화를 통해 공격 표면을 획기적으로 줄임으로써 멀웨어 전파를 애초에 차단할 수 있다는 사실을 잘알고 있습니다.↪cf_200D↩
활성 및 침해 후 참여에서 세분화가 작동하는 방식
현재 진행 중인 침해 사고에서 Illumio는 EDR 도구와 함께 배포되어 EDR이 위협을 탐지하고 해결하는 데 할당된 시간을 늘립니다. Illumio IR 팀은 DFIR 또는 복구 파트너를 대신하여 테넌트를 관리하고 세분화를 사용하여 다운된 비즈니스 라인을 복구하고, 침해 확산을 막고, 감염된 시스템을 실시간으로 지능적으로 분리합니다.
침해 후 대응에서 Illumio는 DFIR 대응 이후에 배포되며, 여기서 세분화는 보험 요건 또는 긴급 조치를 위한 중요한 애플리케이션의 보호를 지원하는 데 사용됩니다. 또한 Illumio IR 팀은 향후 위협에 대비하여 일반적인 공격 경로를 사전에 차단할 수 있습니다.
두 가지 유형의 계약 모두에서 Illumio 파트너는 선도적인 DFIR 및 복구 회사와 함께 실제 침해 사고에 대한 광범위한 배경 지식을 갖춘 Illumio 전문가를 연중무휴 24시간 이용할 수 있습니다. 저희 팀은 DFIR 파트너의 연장선상에 있기 때문에 실시간 침해에 접근하는 방식에 맞춰 파트너의 도구와 워크플로우를 이해해야 합니다. 저희 팀은 IR 및 복구 프로젝트 관리와 워크플로우를 위해 완전히 맞춤화된 Illumio 테넌트를 생성하며, 테넌트는 파트너에게 무료로 제공됩니다.↪f_200D↩
일루미오의 IR 팀은 DFIR 및 복구 회사와 함께 침해 사고에 대응합니다.
현재 진행 중인 침해 사고에서 일루미오 ZTS가 세분화를 사용하여 수행할 수 있는 주요 작업 중 하나는 손상된 환경을 '깨끗한' 환경과 '더러운' 환경으로 분리하여 재감염을 방지하는 것입니다.
더티 환경은 감염된 디바이스만 포함하도록 세분화되어 모든 대응 및 복구 작업에서 기본적으로 격리되지만 IR 회사에서는 여전히 액세스할 수 있습니다. Illumio는 복구 회사가 필요한 데이터에 액세스할 수 있도록 '복구' 버블을 설정합니다.
그런 다음 Illumio는 "깨끗한" 버블을 설정하여 깨끗하게 치료된 모든 장치를 다시 온라인 상태로 되돌립니다. IR 또는 복구 팀이 작업을 시작하기 전에 VLAN을 만들거나 네트워크를 분리할 필요가 없도록 하기 위해 이렇게 합니다.
마지막으로, 중요한 비즈니스 애플리케이션을 세분화하여 레거시 도구를 사용하고 물리적 네트워크를 재설계하는 기존 방식에 비해 더 빠르게 온라인 상태로 복구하기 시작합니다.↪cf_200D↩
세분화를 통해 인시던트 대응 방식이 달라집니다.
공격자가 해당 환경에서 활동 중인지 확실하지 않은 상태에서는 비즈니스 회선을 복구할 수 없는 경우가 많습니다. 즉, 먼저 모든 곳에 EDR을 배포하고 완전히 깨끗한 상태를 확보한 후에야 앞으로 나아갈 수 있는 경우가 많습니다. 이는 팀이 시간에 쫓기며 작업할 때 상당한 양의 귀중한 시간을 소비할 수 있습니다.
생산 현장을 오프라인 상태로 만든 랜섬웨어에 감염된 제조 회사를 예로 들어보겠습니다. 상품을 생산해야 하지만 생산할 수 없는 상황입니다. 일루미오 IR 팀은 공격자가 아직 해당 환경에서 활동 중이더라도 침해가 발생한 환경에 들어가 침해된 환경을 버블로 세분화하고, 조사 및 복구 작업을 병행하면서 생산 환경을 다시 온라인 상태로 전환하고 제조업체에 다시 액세스 권한을 부여하여 운영을 재개할 수 있도록 지원합니다.↪f_200D↩
일루미오 사고 대응 파트너 프로그램
Illumio는 선도적인 DFIR 및 복구 회사와 협력하여 IR 및 포렌식 계약의 일부로 ZTS를 포함하도록 설계된 새로운 사고 대응 파트너 프로그램을 발표하게 되어 기쁘게 생각합니다. 보안 침해의 영향을 경험하고 있는 고객을 위해 Illumio는 기존 방식보다 훨씬 빠르게 비즈니스를 다시 운영할 수 있도록 우선순위를 정하여 더 빠르게 복구할 수 있도록 지원합니다.
일루미오는 DFIR 및 복구 파트너를 위해 숙련된 온디맨드 지원팀, 대기 중인 맞춤형 테넌트, 기존 워크플로 내에서 세분화를 통합하는 동시에 모든 참여에서 완벽한 기밀성을 제공하도록 설계된 프로그램을 제공합니다.
인시던트 대응 파트너 프로그램에 대해 자세히 알아보려면 Illumio의 인시던트 대응 책임자인 벤 하렐에게 [email protected] 으로 문의하시기 바랍니다.
또는 인시던트 대응 파트너가 되는 데 관심이 있는 경우 여기에서 자세히 알아보세요.
.webp)
