랜섬웨어는 차단하기가 매우 어렵습니다. 그 이유는 대부분 공격자가 조직의 누군가가 랜섬 노트를 보기도 전에 네트워크를 잠그는 데 능숙하기 때문입니다. 많은 공격에서 맬웨어는 암호화 페이로드와 자동화된 전파를 결합합니다.
이 강력한 조합은 위협 행위자가 손상된 자격 증명을 활용하여 전달 및 실행 보안 조치를 우회할 수 있도록 하는 다양한 공격 기술을 사용하여 전달할 수 있습니다. 그런 다음 랜섬웨어는 네트워크가 손상될 때까지 한 엔드포인트의 데이터를 다른 엔드포인트로 빠르게 암호화할 수 있습니다.
지난 몇 년 동안 랜섬웨어 '산업'이 점점 더 정교해지면서 틈새 플레이어와 특수 변종이 생겨났습니다. 예를 들어, Hades(WastedLocker의 변형)는 거의 독점적으로 대규모 조직을 대상으로 하며, 이를 "대형 게임 사냥"이라고 합니다.
위험을 감안할 때 많은 조직에서 RDP(원격 데스크톱 프로토콜) 포트를 인터넷에 열어 두어 공격을 유도한다는 사실을 믿기 어렵습니다. RDP는 최신 암호화를 사용하지만 기본 상태에서 MFA(다단계 인증)가 부족하므로 조직이 공격에 노출됩니다.
자초한 또 다른 약점은 CVE(Common Vulnerabilities and Exposure)로부터 보호하기 위해 보안 패치를 적용하지 않는 광범위한 실패입니다.
랜섬웨어 공격을 방지하고 억제하는 방법
첫 번째 단계는 공격을 처음부터 막거나 최소한 억제하기 위한 강력한 사이버 방어 준비 전략을 수립하는 것입니다. 그러나 액세스 벡터의 다양성과 기술의 다양성으로 인해 마법의 총알은 없습니다. 조직은 다음과 같은 예방 조치를 고려해야 합니다.
사람 관련 보안
ID 및 액세스 관리 배포
랜섬웨어의 확산을 완화하려면 IAM(Identity and Access Management)을 사용하여 최소 권한 및 제로 트러스트 원칙을 통합하는 것이 필수적입니다. 여기에는 계정이 손상된 경우 랜섬웨어 확산 위험을 최소화하는 데 도움이 되는 다단계 인증이 포함되어야 합니다. 이러한 모든 기능은 공격 표면을 줄이고 무단 액세스를 제한합니다.
보안 인식 교육 제공
랜섬웨어가 사용하는 가장 큰 공격 벡터인 피싱의 효율성을 줄이려면 조직에서 직원들에게 악성 이메일을 식별하는 방법과 지속적으로 교육해야 합니다.
지속적인 사이버 기술 개발의 힘 활용
랜섬웨어의 최신 개발 상황을 파악하기 위해 사이버 보안 전문가는 공격자만큼 정보를 얻을 수 있도록 지속적으로 배우고 훈련해야 합니다.
지속적인 사이버 기술 개발을 수행하는 가장 효과적인 방법은 실제 IT 인프라, 도구 및 맬웨어를 사용하여 실제 대화식 실습을 통해 통제된 환경에서 수행하는 것입니다. 이 접근 방식을 통해 IT 직원은 기술을 연마하고 실제 위협을 성공적으로 식별 및 대응하는 방법을 배우고 범죄자가 랜섬웨어 게임에서 승리하는 것을 막을 수 있습니다.
보안 오케스트레이션 자동화 및 대응(SOAR). 이것은 보안 이벤트 정보를 수집하고 위협 인텔리전스를 사용하여 최소한의 인적 지원으로 위협을 식별하고 신속하게 대응함으로써 사고 대응을 자동화하는 데 도움이 되는 호환 가능한 소프트웨어 스택입니다.
차세대 방화벽(NGFW). NGFW는 네트워크 트래픽 및 다운로드된 개체에 대한 정교한 분석을 사용하여 서명 및 휴리스틱을 통해 알려진 악성 코드 변종을 감지할 수 있습니다.
엔드 포인트 탐지 및 응답 (EDR). 행동 및 서명 기반 엔드포인트 감지 알려진 맬웨어 위협을 차단하는 데 필수적입니다. EDR은 애플리케이션 실행 제어를 사용하여 시스템에서 맬웨어가 실행되는 것을 방지합니다.
위협 인텔리전스 채택
위협 인텔리전스 플랫폼(TIP)은 현재 위협에 대한 실시간 정보를 제공하므로 보안 팀이 랜섬웨어를 사전에 방어할 수 있도록 하는 데 중요한 역할을 할 수 있습니다. TIP의 또 다른 이점은 사고 대응 전략을 지원하는 자동화 및 기계 학습 기능입니다.
공개 자산 보호
보안 웹 게이트웨이(SWG). 이는 알려진 악성 코드 샘플과 명령 및 제어(C2) 트래픽을 탐지하기 위해 인터넷 바인딩 트래픽에 대한 심층적인 가시성을 제공합니다.
세그먼트 보안 아키텍처
주어진 영역에서 위협을 억제하는 가장 좋은 방법은 네트워크 세분화를 구현하고 마이크로 세분화. 이러한 세분화는 위협이나 공격이 데이터 센터, 클라우드 및 캠퍼스 네트워크에서 측면으로 이동하는 것을 방지합니다. 이상적으로는 모든 위협이 네트워크의 한 부분에 포함되어 랜섬웨어의 영향을 줄이는 것이 좋습니다.
랜섬웨어로부터 보호하는 것은 어렵지만 불가능한 것은 아닙니다. 올바른 사이버 방어 전략, 도구 및 보안 제어로 무장한 조직은 이러한 공격으로부터 스스로를 방어할 수 있습니다. 물론 모든 조직의 무기고에 있는 핵심 무기는 IT 직원을 위한 실습 기술 개발을 통해 지속적이고 광범위하게 육성되어야 하는 지식입니다.
Jeff Orloff는 제품 및 기술 서비스 담당 부사장입니다. 레인지포스, 사이버 보안 교육 회사. 그는 사이버 보안, 컴퓨터 및 네트워크 보안, 시스템 관리 분야에서 XNUMX년 이상의 경험을 가지고 있습니다. RangeForce에 합류하기 전에는 이메일 보안, 피싱 탐지 및 대응을 전문으로 하는 COFENSE에서 제품 관리 및 UX 이사를 역임했습니다. 그는 또한 팜 비치 카운티 플로리다 학군의 기술 코디네이터로 근무했습니다.
태그 :
