러시아-우크라이나 위기: 세분화를 통해 위험을 완화하는 방법

우크라이나의 분쟁으로 인해 전 세계 조직은 위협 모델링을 재검토하고 사이버 위험을 재평가해야 합니다. 3월 21일 바이든 대통령이 미국의 핵심 인프라에 대해 "러시아 정부가 잠재적인 사이버 공격에 대한 옵션을 모색하고 있다"고 경고한 이후, 전국의 이사회 회의실에서 활발한 논의가 이루어졌습니다. 하지만 이 외에도 우크라이나, 러시아 또는 벨라루스에서 운영 중인 조직은 어떻게 될까요?

이러한 입장에 있는 Illumio 고객들은 이미 이 지역의 위협이 미국 및 기타 지역의 IT 시스템으로 확산되는 것을 방지하기 위해 무엇을 할 수 있는지 문의해 왔습니다. 우리는 일반적으로 두 가지 다른 그룹의 의견을 듣고 있습니다:

1. 우크라이나, 러시아, 벨라루스에 지사를 둔 다국적 기업들은 악의적인 공격자가 이 지역의 IT 자산을 침해할 수 있다고 우려하고 있습니다. 따라서 공격자들은 2017년 우크라이나에서 퍼진 악명 높은 파괴적인 컴퓨터 바이러스 NotPetya와 유사한 방식으로 측면으로 이동하여 네트워크에 침투할 수 있는 기회를 제공할 수 있습니다.
    
2. 이 지역에 진출하지 않은 사람들조차도 푸틴이 이미 분쟁 행위와 유사하다고 주장한 서방의 대러시아 제재가 미칠 수 있는 영향에 대해 우려하고 있습니다. CISA의 '쉴즈 업' 이니셔티브와 바이든 대통령의 경고처럼, 미국과 동맹국의 모든 조직은 보복 공격에 대비해야 합니다. 특히 금융 서비스, 의료, 유틸리티, 에너지와 같은 중요 인프라 부문에 종사하는 사람들에게는 더욱 그렇습니다.

다행히도 일루미오의 세분화된 네트워크 가시성 및 세분화 기능은 사이버 공격으로부터 조직을 보호하는 강력한 도구 세트를 형성합니다.

일루미오의 세분화가 도움이 되는 방법

Illumio는 두 가지 시나리오 모두에서 고객을 지원할 수 있습니다. 우크라이나, 러시아, 벨라루스와 같은 고위험 국가에 자산과 네트워크가 있는 경우 디지털 자산을 보호할 수 있는 세 가지 방법이 있습니다:

1. Illumio는 풍부한 위험 기반 가시성과 애플리케이션 종속성 매핑을 제공하여 개별 워크로드 수준까지 위험한 연결을 강조 표시합니다. 동유럽으로부터의 트래픽 차단을 결정하기도 전에 고객은 우크라이나, 러시아, 벨라루스에 있는 자산과 나머지 조직 간의 상호 작용을 명확하게 파악할 수 있습니다.
   
   예를 들어, 이전에는 볼 수 없었던 새로운 트래픽 흐름이나 이러한 자산에서 전송되는 데이터의 양이 크게 증가하는 것을 발견할 수 있습니다. 그런 다음 이 인텔리전스를 위협 탐지 및 대응 플레이북에 제공하고 완화 조치를 적용할 수 있습니다.
    
2. 일루미오가 이들 국가 이외의 지역에 배포되어 있고 조직이 우크라이나, 러시아, 벨라루스에서 어떤 IP 주소를 사용하는지 알고 있다면 사이버 위험을 완화하는 것은 매우 간단합니다. 몇 분 안에 Illumio에서 해당 네트워크와의 트래픽을 차단하는 정책을 구현할 수 있습니다. 이러한 시스템에 대한 포렌식 액세스를 보장하기 위해 예외를 작성하는 것도 간단합니다.
   
   이는 조직이 모든 포트, 워크로드, 워크로드 그룹 또는 IP 범위를 중심으로 빠르고 쉽게 보호 경계를 설정할 수 있는 Illumio의 시행 경계를 통해 가능합니다. 몇 분 안에 완료하고 대규모로 적용하여 번거로움을 최소화하면서 효과적으로 '허용 목록' 규칙을 만들 수 있습니다.
    
3. 우크라이나, 러시아, 벨라루스에 기반을 둔 자산을 포함한 모든 자산에 Illumio를 배포하면 고객은 라벨을 사용하여 동일한 차단 기능을 달성할 수 있습니다. 다음과 같은 정책을 작성하면 됩니다. "자산이 다음 국가에 있는 경우 해당 트래픽을 차단합니다." 또한 설정하는 데 몇 분 밖에 걸리지 않는 쉽고 빠른 작업입니다.

마이크로세분화로 보호

우크라이나 분쟁에 직접적으로 노출되지는 않았지만 잠재적인 '확산'이 우려되는 조직의 경우 지금이 보안 정책 업데이트를 고려할 좋은 시기입니다.

위험 노출을 이해하려면 경계 수준에서 가시성을 확보하는 것뿐만 아니라 디지털 하이브리드 인프라 내부에서 어떤 일이 일어나고 있는지 파악하는 것이 중요합니다. 결국, 의도적인 공격자가 피싱, 인증정보 유출 및 기타 기술을 사용하여 네트워크 경계를 침범하는 것이 그 어느 때보다 쉬워졌습니다.

보안팀은 적절한 제한을 적용함으로써 의심스러운 트래픽 흐름을 제한하여 측면 이동을 차단하고 공격자의 명령 및 제어 호출을 차단할 수 있습니다. 이는 랜섬웨어가 일반적으로 사용하는 서비스(예: RDP, SMB 및 SSH)의 포트를 차단하는 것처럼 세분화할 수 있습니다. 또는 고가치 애플리케이션과 자산을 보호하기 위해 더 세분화할 수도 있습니다.

DNS, 인증 시스템 및 Active Directory와 같은 중요한 IT 인프라를 격리하는 정책을 작성할 수도 있습니다.

우크라이나, 러시아 또는 벨라루스에 자산이 없는 조직은 트래픽을 차단하는 데 사용할 수 있는 특정 IP 주소가 없습니다. 위협 피드 정보를 활용하여 세분화 정책에서 보다 타깃화된 차단을 통해 경계에서 모든 악성 IP의 일괄 차단을 강화하여 여러 방어 계층을 구축할 수 있습니다.

러시아가 파괴적인 공격을 감행할 가능성뿐만 아니라 규정 준수 측면에서도 위험 관리 전략을 업데이트해야 할 필요성이 더욱 시급해졌습니다. 예를 들어, 미국 연방 정부는 최근 중요 인프라 운영자가 72시간 이내에 사이버 공격을 공개하는 것을 법적으로 의무 화했습니다.

일루미오의 세분화 기능이 오늘날 증가하는 사이버 위협으로부터 조직을 보호하기 위해 심층적인 방어 체계를 구축하는 데 어떻게 도움이 되는지 자세히 알아보고 싶으신가요? 지금 바로 문의하세요.