랜섬웨어 확산을 막는 3단계

이전 게시물에서 가시성의 개념과 가시성이 랜섬웨어 및 기타 멀웨어가 확산될 수 있는 잠재적인 경로를 발견하는 데 어떻게 도움이 되는지 살펴봤습니다. 다음으로 취약점으로 인한 위험을 시각화, 정량화 및 완화하는 방법에 대해 간략하게 설명했습니다.

이러한 요소를 갖추면 이제 사전 예방 및 사후 대응 조치를 모두 사용하여 랜섬웨어를 차단할 수 있습니다.

랜섬웨어가 효과적인 이유는 무엇인가요?

2020년 분석에 따르면 랜섬웨어 공격으로 인한 다운타임으로 인해 기업들이 210억 달러의 손실을 입은 것으로 나타났습니다. 이 수치만으로도 랜섬웨어의 전술이 얼마나 효과적인지 알 수 있습니다.

랜섬웨어가 범죄자들에게 수익성이 높은 이유는 무엇일까요? 인간의 약점은 쉽게 악용될 수 있는 취약점이지만, 보안 위협에 대한 경각심을 가지면 이를 강화할 수 있습니다. 오래된 하드웨어와 소프트웨어는 랜섬웨어 범죄자들이 이용하는 또 다른 취약점입니다.

랜섬웨어가 매우 효과적인 이유 중 하나는 많은 기업이 직면하고 있는 기술적 방어책이 부족하기 때문입니다. 다행히도 올바른 전략과 기술을 갖추면 랜섬웨어의 확산을 방지할 수 있습니다.

랜섬웨어를 차단하는 모범 사례

랜섬웨어는 모든 주요 산업 분야의 크고 작은 기업에 큰 피해를 입힙니다. 하지만 아킬레스건이 있습니다. 일반적으로 매우 예측 가능한 패턴으로 움직입니다.

첫째, 멀웨어는 취약한 경로를 통해 조직의 IT 환경에 침입합니다. 이를 방치하면 몇 주 또는 몇 달에 걸쳐 네트워크, 디바이스, 서버에 거미줄처럼 퍼지게 됩니다. 마지막으로 누군가 스위치를 눌러 랜섬웨어를 활성화하면 랜섬웨어가 갑자기 튀어나오는 것처럼 보입니다.

방화벽은 일반적으로 보호하는 시스템과 가까운 곳이 아니라 데이터 센터 상단에 위치하기 때문에 대부분의 환경에서 측면으로 이동하기가 상대적으로 쉽기 때문에 이러한 프로세스가 발생할 수 있습니다.

랜섬웨어, 멀웨어 및 기타 사이버 공격의 확산을 막으려면 3단계 프로세스를 거쳐야 합니다:

1. 랜섬웨어가 시스템에 초기 진입하는 데 사용할 수 있는 위험한 포트와 벡터를 닫습니다.

2. 멀웨어가 침입할 경우 환경을 통해 측면으로 이동하지 못하도록 차단막을 설치하세요.

3. 인시던트 대응을 위해 활성화할 보조 정책을 설정하여 침입 후 대응을 개선하세요.

1. 불필요한 연결 제거하기

이 모든 것은 불필요한 커뮤니케이션을 제거하여 중요 자산을 격리하는 것에서 시작됩니다.

예를 들어 화상 회의를 생각해 보세요. 일반적으로 회의 호스트의 노트북이 RDP 또는 SMB 포트를 통해 회의에 로그인한 다른 장치와 직접 통화할 이유는 없습니다. 따라서 관리자는 환경의 다른 항목에 영향을 주지 않고 두 장치에서 해당 포트를 자유롭게 닫을 수 있습니다. 또 다른 예로, 대부분의 경우 사용자 환경 내에서 오래되고 매우 취약한 FTP 및 Telnet 프로토콜을 종료할 수 있습니다.

필요한 통신만 허용하고 디바이스와 네트워크 간의 불필요한 경로를 제거하면 워크플로와 머신의 보안을 강화하여 랜섬웨어를 차단할 수 있습니다.

위의 예에서와 같이 단일 애플리케이션, 지리적 위치 또는 전체 네트워크에 대해 개별 포트에서 모든 통신을 차단하는 방식으로 수행할 수 있습니다.

최상의 결과를 얻으려면 이러한 제어 기능을 사전 예방적 및 사후 대응적으로 구현해야 합니다:

• 선제적으로 대응한다는 것은 밤에 잠자리에 들 때 현관문을 잠그는 것처럼 공격이 발생하기 전에 데이터 센터나 기타 영역에서 사용하지 않는 포트를 모두 닫는 것을 의미합니다.
• 대응적으로 행동한다는 것은 환경 어디에서나 멀웨어의 존재를 알거나 의심할 때 활성화할 수 있는 정책을 통해 사고에 대응하는 것을 의미합니다.

가장 가치가 높은 애플리케이션이나 자산에 보호 링을 두는 것부터 시작하세요. 이렇게 하면 멀웨어가 사용자 환경의 디바이스나 네트워크에 침입하더라도 좁은 영역 내에만 머물러 나머지 디바이스나 네트워크는 손상되지 않습니다.

이전 게시물에서 살펴본 것처럼 일부 포트는 다른 포트보다 위험도가 높기 때문에 폐쇄 우선순위가 가장 높아야 합니다. 여기에는 데이터 센터의 다른 시스템과 통신하기 위해 소수의 서버만 사용하는 고도로 연결된 포트가 포함됩니다.

대부분의 경우 비관리 서버는 피어 투 피어 통신을 가능하게 하는 RDP 및 SMB 포트와 같은 취약한 포트를 사용해서는 안 됩니다. 좋은 소식은 이러한 포트가 멀웨어의 공격 경로의 대부분을 차지한다는 것입니다. 즉, RDP, SMB 및 Win RM과 같은 진입로를 제한하면 뉴스에 등장하는 대부분의 멀웨어를 제거할 수 있습니다.

또한 데이터베이스와 핵심 서비스에서 사용하는 잘 알려진 포트도 고려하세요. 이 목록에는 일반적으로 Linux 배포판에 번들로 제공되는 애플리케이션 및 서비스가 포함되어 있습니다. 이들 중 상당수는 핵심이 매우 오래되어 수년에 걸쳐 취약점이 축적되어 있습니다.

다행히 데이터 센터의 모든 머신의 인바운드 측에서 작동하는 간단한 위험 기반 제어 및 정책을 사용하면 이러한 잘 알려진 취약점을 처리하여 멀웨어를 차단할 수 있습니다.

아웃바운드 포트의 경우, 데이터 센터의 대부분의 서버는 인터넷과 통신할 일이 없거나 명확하게 정의된 특정 방식으로만 통신할 수 있습니다.

통신을 강화하여 승인되지 않은 데이터가 조직 밖으로 나가지 못하도록 하면 랜섬웨어의 명령 및 제어 기능이 집으로 전화를 걸어 치명적인 암호화 폭탄을 터뜨리는 것을 막을 수 있습니다.

물론 클라우드 시스템과 지나치게 광범위한 사용자 액세스 권한에 대해서도 동일한 작업을 수행할 수 있습니다. 아웃바운드 트래픽을 제한하여 애플리케이션, 디바이스, 사용자가 더 넓은 인터넷과 통신하는 시기와 방법을 제어하기만 하면 됩니다. 이렇게 하면 랜섬웨어 차단 전략을 신속하게 구현할 수 있습니다.

감염된 자산을 격리하고 나머지 환경을 보호하는 것이 중요합니다. 또한 환경에 대한 가시성을 확보하면 시간 경과에 따른 패턴을 파악하여 한 단계 더 발전할 수 있습니다.

2. 랜섬웨어 보호를 위한 가시성 사용

이전 게시물에서는 Illumio가 라우터, 스위치 및 기타 온프레미스 인프라와 클라우드 및 최종 사용자 시스템에서 연결 데이터와 흐름 정보를 가져오는 방법을 보여드렸습니다.

Illumio는 이 정보를 사용하여 IT 전문가를 위한 애플리케이션 종속성 맵과 보안 자동화를 위한 API 인터페이스를 생성합니다.

이 정보를 통해 관리자는 어떤 자산이 어떤 다른 자산과 대화해야 하는지 후회 없는 고품질의 결정을 내릴 수 있습니다. 그런 다음 위협으로부터 보호하기 위해 머신, 클라우드 네이티브 방화벽, 네트워크 스위치 등에서 작동하는 사전 예방적 정책(기본적으로 장벽을 만들고 중요한 자산과 시스템을 차단하는 정책)을 개발할 수 있습니다.

결론적으로, 두 사용자 간의 침해가 클라우드나 데이터 센터의 다른 사용자나 자산에 영향을 미치지 않아야 하며, 가시성이 우수하면 공격 전에 이러한 잠재적 취약점을 파악할 수 있습니다.

3. 침입 후 대응 개선

Illumio는 침입 후 대응에도 도움이 됩니다.

예를 들어, 주변 환경에서 의심스러운 활동을 발견했다고 가정해 보겠습니다. 이 경우 핵심 데이터베이스, PCI 결제 시스템, 의료 기록, 거래 정보 및 기타 민감한 자산을 보호하기 위해 장벽을 설치하는 것이 좋습니다.

이 경우 필요한 것은 일상적인 운영에서 실행하는 것보다 더 제한적인 격리 기능입니다. 멀웨어 확산을 원천적으로 차단하는 것이 목적입니다.

공격이 발생하기 전에 IT 관리자는 사고 대응 런북의 일부로 활성화할 보조 정책을 만들 수 있습니다. 이 아이디어는 손상으로 이어질 수 있는 연결을 제거하여 시스템을 격리하고 보호하는 것입니다. 대신, 격리 정책은 예를 들어 필수적이지 않은 RDP 통신을 제한하여 추가적인 멀웨어 전파를 동결합니다.

Illumio는 관리자가 예상치 못한 방식으로 트래픽이 흐르는 것을 발견하고 바람직하지 않은 연결을 차단하는 정책을 신속하게 구현할 수 있도록 지원하여 이를 지원합니다.

일루미오 제로 트러스트 세분화로 방화벽을 뛰어넘기

Illumio를 사용하면 데이터 센터, 클라우드, 또는 이러한 환경 간(예: 웹과 데이터베이스 워크로드 간)에 관계없이 사용자 환경에서 실행 중인 워크로드를 확인할 수 있습니다.

이 시각적 지도를 사용하면 안전하지 않은 트래픽을 신속하게 차단할 수 있습니다. 랜섬웨어가 워크로드 간에 이동하는 일반적인 방법의 예로 RDP를 사용하여 해당 트래픽만 차단하는 규칙을 만들 수 있습니다. 또한 다양한 유형의 워크로드 및 물리적 위치에 대한 레이블과 같은 메타데이터를 기반으로 장벽을 정의할 수도 있습니다.

이러한 장벽은 일종의 역방화벽이라고 생각할 수 있습니다. 방화벽에서는 일반적으로 원하는 트래픽을 정의하는 규칙을 만들고 그 외의 모든 트래픽은 기본적으로 허용하지 않기 때문입니다. Illumio를 사용하면 이러한 워크플로우를 역으로 사용하여 거부된 트래픽을 먼저 정의할 수 있습니다. 그런 다음 예외를 설정하여 개별 사례에 대한 커뮤니케이션을 활성화합니다.

또한 이 모든 것이 자동화되어 있어 클릭 몇 번으로 모든 공격으로부터 환경을 보호하기 위해 즉시 실행할 수 있는 긴급 정책을 만들 수 있습니다.

간단히 말해, Illumio는 취약한 워크로드와 시스템을 발견하고, 공격에 앞서 불필요한 포트를 차단하고, 멀웨어 감염이 확산되기 전에 격리하는 데 필요한 가시성을 제공합니다. 사전 예방 및 사후 대응 제어의 원투 펀치를 통해 공격이 사이버 재해로 발전하는 것을 신속하게 차단할 수 있습니다.

지금 바로 문의하여 일루미오로 랜섬웨어 공격을 차단하는 방법을 알아보세요.