랜섬웨어 차단을 위한 취약성 평가

이전 게시물에서 랜섬웨어 및 기타 멀웨어를 차단하기 위한 첫 번째 단계로 위험 기반 가시성에 대해 살펴보았습니다.

이 게시물에서는 연결 패턴, 즉 애플리케이션과 프로세스가 서로 그리고 네트워크를 통해 통신하는 방식에 대해 이러한 취약점을 매핑하는 방법을 다룹니다.

랜섬웨어를 적극적으로 차단하고 확산을 방지하기 전에 필요한 마지막 단계입니다.

통신에 대한 풍부한 데이터로 가시성 강화

일반적인 프로덕션 환경에서는 서브넷, VLAN, 영역 내의 애플리케이션과 머신 등 거의 모든 것이 다른 모든 것과 통신할 수 있습니다. 이를 통해 비즈니스 시스템은 데이터를 공유하고 외부 세계와 소통하면서 업무를 수행할 수 있습니다. 그러나 이는 또한 문제를 야기합니다. 이러한 환경의 일부가 멀웨어에 감염되면 매우 빠르게 확산될 수 있습니다.

프로덕션 환경을 통한 멀웨어의 확산을 막으려면 멀웨어가 한 애플리케이션이나 컴퓨터에서 다른 애플리케이션이나 컴퓨터로 이동할 때 악용하는 포트를 차단해야 합니다. 하지만 시스템이 필요한 작업을 계속 수행할 수 있도록 어떤 포트를 열어두어야 하는지 알아야 합니다.

따라서 랜섬웨어 및 기타 멀웨어의 확산을 막으려면 자산 간 통신에 대한 실시간 가시성을 확보해야 합니다. 결국, 포트를 식별할 수 없다면 불필요하게 열려 있는 포트를 닫을 수 없습니다.

또한 잠재적 위험이 가장 큰 포트가 무엇인지 파악해야 합니다. 그래야만 이러한 인텔리전스를 바탕으로 비즈니스가 중단되지 않는 사전 예방적 및 사후 대응적 제어를 구현할 수 있습니다. 이렇게 하면 운영에 부정적인 영향을 미치지 않으면서 침해에 대한 노출을 네트워크의 진입 지점으로만 제한할 수 있습니다.

또한 이러한 위험 기반 가시성을 통해 인시던트가 발생하기 전에 패치의 우선순위를 정할 수 있습니다.

대규모 네트워크를 담당하는 IT 부서에서 모든 시스템을 항상 패치할 수는 없으므로 우선순위 지정은 필수입니다. 일부 패치는 반드시 다른 패치보다 먼저 해결되어야 합니다. 당연히 가장 잠재적인 위험이 있는 시스템을 우선적으로 수정하고 싶을 것입니다. 문제는 어떤 것이냐는 것입니다.

이 질문에 대한 답은 대부분 네트워크 연결에 달려 있습니다.

완전히 격리된 상태에서 운영되는 서버의 취약점은 수천 명의 다른 사용자가 액세스할 수 있는 데이터 센터 한가운데 있는 컴퓨터의 취약점보다 훨씬 덜 위협적이라는 점을 고려하세요. 또한 일부 개방형 포트는 다른 포트보다 네트워크 자산에 더 큰 위험을 초래할 수 있다는 점도 고려하세요.

필요한 것은 특정 시스템의 맥락에서 특정 포트 세트가 제기하는 위험과 이러한 시스템이 서로 및 더 넓은 인터넷에 연결되는 방식을 정량화하는 방법입니다.

가장 위험한 포트 식별하기

사실 일부 포트는 다른 포트보다 더 많은 위험을 수반합니다. 더 위험한 포트에는 Microsoft Active Directory 및 기타 핵심 서비스에서 사용하는 연결성이 높은 포트가 포함됩니다. 또한 IT 인프라에 대한 시스템 폴링 및 보고는 더 많은 위험을 수반합니다.

피어 투 피어 포트는 원격 데스크톱 관리 및 파일 공유 애플리케이션과 같은 서비스에서 사용되는 포트를 포함하여 상당한 위험을 내포하고 있습니다. 많은 소셜 미디어 애플리케이션도 이러한 방식으로 작동합니다. 보안 담당자의 밤잠을 설치게 하는 모든 트래픽 패턴을 위해 특별히 설계되었습니다. 보안 전문가들은 이러한 포트가 어디에나 있고, 일반적으로 개방되어 있으며, "talk" 임의의 방식으로 접근하기 때문에 멀웨어가 이러한 포트를 표적으로 삼는 경우가 많다고 우려합니다.

마지막으로, FTP 및 Telnet과 같은 오래된 통신 프로토콜은 조직 정책에 따라 아무도 사용하지 않더라도 기본적으로 켜져 있는 경향이 있으며 잘 알려진 취약점을 나타냅니다. 그렇기 때문에 특히 매력적인 타깃이 될 수 있습니다.

하지만 어떤 포트는 다른 포트보다 더 큰 위험을 수반한다는 사실을 아는 것은 또 다른 문제입니다. 방대한 엔터프라이즈 네트워크에서 이를 찾아 정량화하는 것은 또 다른 문제입니다. 또한 이러한 모든 자산이 어떻게 연결되는지도 알아야 합니다.

바로 이 점에서 Illumio가 제공하는 시각화가 유용합니다.

연결 위험 정량화

Illumio는 애플리케이션과 애플리케이션이 연결되는 방식에 대한 Illumio의 지도 위에 Rapid7 및 Qualys와 같은 취약성 스캐너의 데이터를 오버레이하여 취약성 지도를 형성합니다.

넷플로우 및 J플로우를 실행하는 라우터, 스위치, 클라우드 시스템, 운영 체제 연결 테이블 등의 소스에서 연결 데이터를 가져와서 작동합니다. 그런 다음 이 정보를 취약성 스캐너의 데이터와 결합합니다.

그런 다음 Active Directory, 구성 관리 데이터베이스, 보안 정보 관리 시스템, IP 주소 관리 시스템 등의 소스에서 사용자 및 머신 ID 정보를 가져옵니다.

결과 맵은 모든 시스템에 대한 위험도에 따라 조정된 실시간 보기를 제공합니다. 운영 체제, 사용자 노트북, 클라우드 애플리케이션 및 해당 컨테이너, 메인프레임, 로드 밸런서, 네트워크 장치, 방화벽 등 모든 것을 수용합니다. 그 결과 위험을 명확하게 파악할 수 있는 엔드투엔드 가시성을 확보할 수 있습니다.

예를 들어, 데이터베이스 서버가 서브넷에서 10대의 컴퓨터에만 연결하면 되는데 300대의 컴퓨터에 열려 있는 연결을 유지하고 있나요? Illumio의 지도는 이를 우려 사항으로 강조 표시하여 조치를 취할 수 있도록 합니다.

네트워크와 데이터 센터 내에서 자산이 데이터를 교환하는 방식 외에도, Illumio는 자산이 외부와 얼마나 자주, 얼마나 많이 통신하는지 알려줍니다. 이러한 지식은 어떤 머신에 어떤 제어 기능을 적용하고 어떤 패치를 우선순위에 둘지 결정하는 데 도움이 될 수 있습니다.

취약성 노출 점수로 운영 효율성을 개선하는 방법

위험을 더욱 쉽게 평가할 수 있도록 Illumio는 취약성, 연결, 세분화 정책 정보를 결합하여 이 모든 것을 취약성 노출 점수로 요약합니다. 이 단일 수치를 통해 애플리케이션 실행 상황에서의 상대적 위험 노출을 빠르게 파악할 수 있습니다.

많은 Illumio 고객은 이 지표만으로도 모든 패치를 항상 최신 상태로 유지할 수 없다는 점을 보완하기 위해 시스템을 세분화하는 데 필요한 정보를 얻을 수 있습니다. 세분화는 가장 취약한 포트를 가능한 가장 작은 반경으로 줄이는 것, 즉 다른 자산과 최대한 적게 통신하는 것을 의미합니다.

Illumio의 취약성 점수를 통해 문제 영역을 신속하게 파악하여 운영 중단 없이 가능한 범위 내에서 세분화를 통해 문제를 먼저 격리한 다음 현실적으로 유지할 수 있는 일정에 따라 패치를 적용할 수 있습니다. 즉, 취약점 점수와 세분화를 통해 취약점 해결을 위한 효과적인 우선순위를 지정할 수 있습니다.

Illumio는 전체 환경에 대한 포괄적인 위험 기반 보기를 제공합니다. 활성 흐름을 확인하고, 멀웨어가 사용하는 열린 포트를 기반으로 위험 분석을 오버레이하고, 해당 위험을 정량화할 수 있습니다. 환경을 변경한 후에는 시간이 지남에 따라 위험 점수가 어떻게 변하는지를 반복해서 확인하여 IT 및 보안 팀에 위험 보고 및 취약성 분류를 위한 강력한 도구를 제공할 수 있습니다.

위험한 포트를 차단하는 정책 생성

또한 Illumio는 패치를 적용하기 전에 또는 영향을 받는 시스템에 액세스할 수 없는 경우 워크로드 간의 포트를 차단하여 위험을 적극적으로 완화할 수 있습니다. 워크로드를 패치할 수 있을 때까지 데이터 흐름을 패치한다고 생각하면 됩니다.

또한 Illumio는 정책 생성기라는 기본 제공 워크플로우의 일부로 포트 차단 정책을 제안할 수 있습니다.

제안된 정책을 저장한 다음 Illumio가 애플리케이션 전체에 이를 프로비저닝하도록 할 수 있습니다. 이 도구를 사용하면 며칠 또는 몇 주 동안 패치를 배포하는 데 시간을 허비할 필요 없이 단 몇 초 만에 클릭 몇 번으로 환경을 보호할 수 있습니다.

취약점 평가를 위한 강력한 도구

일루미오는 IT 및 보안 전문가에게 모든 애플리케이션 통신에 대한 풍부한 위험 기반 가시성을 제공하고 위험에 따라 통신을 차단하여 랜섬웨어의 확산을 막을 수 있도록 지원합니다.

예방적 제어를 구현하는 것과 함께 Illumio는 적극적인 세분화 정책으로 랜섬웨어를 차단하여 사고 대응 능력을 향상시킬 수 있습니다.

자세히 알아보려면 여기를 클릭하세요:

• 랜섬웨어 공격을 차단하는 방법 전자책을 읽어보세요.
• 웨비나, 랜섬웨어 발생에서 실제 취약성 맵을확인하세요. 확산을 막습니다: 취약점 평가하기.