사이버 범죄 전사의 하루
사랑하는 벗들이여, 다시 한 번 위반으로!
폴 더클린이 이야기하는 피터 매켄지, Sophos의 사고 대응 책임자, 사이버 보안 세션에서 귀하를 놀라게 하고, 즐겁게 하고, 교육할 것입니다.
원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.
인트로 및 아웃트로 음악 에디스 머지.
당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.
대본 읽기
[뮤지컬 모뎀]
폴 더클린. Naked Security 팟캐스트에 오신 것을 환영합니다. 여러분.
이 에피소드는 올해의 한 에피소드에서 가져온 것입니다. 보안 SOS 주간 세션.
Sophos의 사고 대응 책임자인 Peter Mackenzie와 이야기하고 있습니다.
이제 그와 그의 팀은… 그들은 미 해병대와 왕립 해군 특수 보트 서비스 사이의 십자가와 같습니다.
그들은 이미 공격을 받고 있는 네트워크로 천사들이 발을 들여놓는 것을 두려워하는 곳으로 들어가 문제를 해결합니다.
이 에피소드는 원래 스트리밍을 위해 비디오 형식으로 제공되었기 때문에 오디오 품질이 좋지는 않지만 콘텐츠가 모두 동일하게 흥미롭고 중요하며 유익하다는 데 동의하실 것입니다.
[모스 식 부호]
[로봇 음성: 소포스 시큐리티 SOS]
오리. 오늘의 주제는 다음과 같습니다. 사건 대응 – 사이버 위협 대응자의 하루.
오늘 우리의 손님은 다름 아닌 Peter Mackenzie입니다.
그리고 Peter는 Sophos의 사고 대응 책임자입니다.
피터 맥켄지. 예.
오리. 그래서 Peter… "사이버 보안을 위한 사고 대응."
일반적으로 무엇이 관련되어 있는지, 왜 (불행하게도) 전화를 자주 받아야 하는지 알려주세요.
베드로. 일반적으로 우리는 공격 직후 또는 공격이 아직 진행 중일 때 투입됩니다.
우리는 많은 랜섬웨어를 다루고 있으며 피해자는 무슨 일이 일어났는지 이해하는 데 도움이 필요합니다.
공격자는 어떻게 침입했습니까?
그들은 그들이 한 일을 어떻게 했습니까?
그들은 아무것도 훔쳤습니까?
그리고 가능한 한 빠르고 안전하게 정상적인 작업으로 돌아가는 방법은 무엇입니까?
오리. 그리고 많은 랜섬웨어 공격의 문제는…
...명백한 이유로 모든 헤드라인을 장식하지만, 네트워크에 한 명 이상의 사기꾼 부하가 있는 경우가 종종 있어 긴 공격 기간이 끝날 수도 있습니다.
베드로. 예.
나는 랜섬웨어를 마지막에 남기는 "영수증"이라고 설명합니다.
오리. 이런.
베드로. 그리고 그것은 정말로 – 그것은 몸값 요구입니다.
오리. 예, 눈치 채지 않을 수 없기 때문에 그렇지 않습니까?
벽지에는 불타는 해골이 있습니다… 몸값 메모.
그때 그들이 *원하는* 당신이 깨닫기를…
베드로. 그들이 거기에 있다고 말하는 것입니다.
그들이 숨기고 싶었던 것은 며칠, 몇 주 또는 몇 달 전에 무엇을 하고 있었는지입니다.
대부분의 랜섬웨어 피해자는 “언제 이런 일이 있었나요?”라고 묻는다면…
…그들은 “어젯밤. 암호화는 오전 1시에 시작되었습니다.”; 그들은 경고를 받기 시작했습니다.
우리가 들어가서 조사를 해보면 실제로 사기꾼들이 XNUMX주 동안 네트워크에 들어가 준비를 했다는 사실을 알게 될 것입니다.
자동화되지 않았고 쉽지도 않습니다. 올바른 자격 증명을 얻어야 합니다. 그들은 당신의 네트워크를 이해해야 합니다. 그들은 당신의 백업을 삭제하고 싶어합니다. 그들은 데이터를 훔치고 싶어합니다.
그리고 *그들이* 준비가 되면 마지막 단계인 랜섬웨어를 시작합니다.
오리. 그리고 항상 사기꾼이 많은 것은 아니죠?
"예, 네트워크에 연결할 수 있습니다."라고 말하는 사기꾼이 있을 것입니다.
“아, 우리는 데이터, 스크린샷, 은행 자격 증명, 암호에 관심이 있습니다.”라고 말하는 사기꾼이 있을 것입니다.
그런 다음 그들이 원하는 모든 것을 얻었을 때 "우리가 갈취할 것입니다."
베드로. 가장 단순한 랜섬웨어 공격에도 일반적으로 관련된 사람은 적습니다.
왜냐하면 당신은 초기 액세스 브로커 네트워크에 대한 액세스 권한을 얻었을 수 있습니다…
다른 사람이 해당 자격 증명을 구매할 것입니다…
오리. 그것은 다크 웹 일 것입니다.
베드로. 예.
그리고 몇 주 또는 몇 달 후에 누군가가 그 자격 증명을 사용할 것입니다.
그들이 들어와 네트워크를 이해하고, 데이터를 훔치고, 백업을 삭제하는 공격의 일부를 수행할 것입니다.
그런 다음 다른 사람이 실제로 랜섬웨어 배포를 수행하기 위해 들어올 수 있습니다.
하지만 정말 불행한 희생자도 있습니다…
우리는 최근 여러 공격자에 대한 기사를 게시했는데, 한 랜섬웨어 그룹이 들어와 아침 즈음에 공격을 시작했습니다… 오전 10시쯤이었던 것 같습니다.
XNUMX시간 후, 첫 번째와 전혀 관련이 없는 다른 랜섬웨어 그룹이 그들의 랜섬웨어를 시작했습니다.
오리. [웃음] 웃으면 안 돼요!
그래서 이 녀석들…
베드로. 그들은 그들이 거기에 있다는 것을 몰랐습니다!
불행히도 둘 다 같은 방식으로 나왔습니다. RDP(원격 데스크톱 프로토콜)를 엽니다.
그로부터 XNUMX주 후, 그들이 여전히 회복을 시도하고 있을 때 *세 번째* 그룹이 들어왔습니다.
오리. [신음] 오오오오오...
베드로. 이는 실제로 첫 번째 랜섬웨어가 들어왔을 때 랜섬웨어를 실행하기 시작했음을 의미합니다. 먼저 실행된 것은 Alpha 랜섬웨어라고도 알려진 BlackCat이었습니다.
그들은 파일을 암호화하기 시작했습니다.
XNUMX시간 후 Hive 랜섬웨어가 들어왔습니다.
그러나 BlackCat이 여전히 실행 중이었기 때문에 Hive는 결국 BlackCat의 이미 암호화된 파일을 암호화했습니다.
그런 다음 BlackCat은 이미 두 번 암호화된 Hive의 파일을 암호화했습니다…
...그래서 기본적으로 *XNUMX* 수준의 암호화로 끝났습니다.
그리고 XNUMX주 후, 아직 모든 것을 복구하지 못했기 때문에 LockBit 랜섬웨어가 들어와 해당 파일을 암호화했습니다.
따라서 이러한 파일 중 일부는 실제로 *다섯 번* 암호화되었습니다.
오리. [웃음] 웃으면 안 돼!
이 경우 처음 두 명의 사기꾼이 자격 증명을 우연히 발견했거나 같은 중개인으로부터 구매했기 때문에 들어온 것으로 추정됩니다.
아니면 자동 스캐닝 도구로 찾을 수 있었을 수도 있습니다. 그 비트는 자동화될 수 있습니다. 안 그렇습니까?
베드로. 예.
오리. 그리고 세 번째 부지는 어떻게 들어왔습니까?
베드로. 같은 방법!
오리. 오, 첫 번째 부지가 남긴 구멍을 통하지 않습니까? [웃음]
베드로. 아니요, 같은 방법입니다.
그런 다음 다음과 같이 말합니다. 이것이 당신이 조사해야 하는 이유입니다!
오리. 그렇지.
베드로. 당신은 기계를 닦고 머리를 모래에 묻을 것으로 기대할 수 없습니다.
조직은 세 번째 공격 이후에 우리를 데려왔습니다. 그들은 두 번째 공격이 있었다는 사실을 실제로 알지 못했습니다.
그들은 하나가 있다고 생각했고 XNUMX주 후에 또 하나가 생겼습니다.
"사실, 첫 번째 XNUMX시간 후, 당신은 발견조차 하지 못한 또 다른 것을 가지고 있었습니다."라고 지적한 것은 우리였습니다.
불행히도 그들은 조사하지 않았습니다. 그들은 RDP가 열려 있고 그것이 공격자가 침입한 방식이라는 것을 식별하지 못했습니다.
그래서 그들은 그것이 고쳐야 할 필요가 있다는 것을 몰랐습니다. 그렇지 않으면 다른 사람이 들어올 것입니다…
... 정확히 그들이 한 일입니다.
오리. 그래서 당신이 들어올 때 분명히 "이봐, 모든 맬웨어를 찾아서 삭제하자. 확인하고 다음으로 넘어가자."
조사할 때, "우연히 또는 의도적으로 남겨진 구멍은 무엇입니까?"를 찾으려고 할 때…
... 언제 끝났는지 어떻게 알 수 있습니까?
그것들을 모두 찾았다는 것을 어떻게 확신할 수 있습니까?
베드로. 나는 당신이 확신할 수 있다고 생각하지 않습니다.
사실, 이 업계의 모든 것을 100% 확신한다고 말하는 사람은 아마 정직하지 않을 것입니다.
오리. 그것에 +1! [웃음]
베드로. 공격자가 수행한 모든 작업을 시도하고 찾아야 합니다. 그러면 "백도어를 설정하여 다시 침입할 수 있습니까?"를 이해할 수 있습니다.
규정 준수 및 보고 목적과 분명히 관련이 있을 수 있으므로 그들이 무엇을 훔쳤는지 이해해야 합니다.
오리. 따라서 일련의 공격을 당했거나 며칠, 몇 주 동안 네트워크에 사기꾼이 있었다고 가정해 봅시다. 때로는 몇 달이 되기도 합니다.
베드로. 몇 년, 때때로, 하지만 그렇습니다.
오리. 이런!
미래에 네트워크의 탄력성이 떨어질 수 있는 상황을 조사할 때…
… 사기꾼들이 공격을 더 광범위하고 깊게 만드는 데 도움이 되는 것은 무엇입니까?
베드로. 내 말은, 공격자가 네트워크에 있을 때 가장 먼저 하는 일 중 하나는 자신이 어떤 액세스 권한을 가지고 있는지 알고 싶어한다는 것입니다.
오리. 예를 들어 사무실 건물에 침입한 경우 두세 개의 책상 서랍으로 가서 사람들이 지갑을 두고 갔는지 확인하는 데 관심이 없을 것입니다.
그들은 어느 부서가 어디에 살고 있는지, 케이블 캐비닛은 어디에 있는지, 서버실은 어디에 있는지, 재무 부서는 어디에 있는지, 세금 기록은 어디에 있는지 알고 싶어할 것입니다.
베드로. 이는 사이버 세계에서 그들이 여러분의 네트워크를 스캔한다는 것을 의미합니다.
그들은 서버의 이름을 식별할 것입니다.
Active Directory를 사용하는 경우 도메인 관리자 권한이 있는 사람을 찾기 위해 Active Directory를 살펴보고자 할 것입니다. 가고 싶은 곳으로 갈 수 있는 최고의 접근성을 가진 사람.
오리. 새 사용자를 만들어야 하는 경우 해당 사용자를 호출하지 않습니다. WeGotcha99?
베드로. 그들은 할 수 있습니다!
문자 그대로 새 사용자를 만들고 Domain Admin을 부여하고 사용자를 호출한 사용자를 보았습니다. hacker... 그러나 일반적으로 그들은 일반적인 이름을 부여합니다.
오리. 그래서 그들은 당신의 작명 일정을 보고 그것을 맞추려고 노력할 것입니까?
베드로. 예, 그들은 그것을 부를 것입니다 Administrat0r, O 대신 XNUMX으로 철자하는 것과 같은 것입니다.
대부분의 랜섬웨어의 경우… 그렇게 발전할 필요가 없기 때문에 그렇게 발전된 것이 아닙니다.
그들은 대부분의 회사가 네트워크에서 일어나는 일을 보고 있지 않다는 것을 알고 있습니다.
공격자가 수행하는 일부 작업에 대한 경고를 제공할 수 있는 보안 소프트웨어가 설치되어 있을 수 있습니다.
그러나 누군가 실제로 이러한 경고를 보고 조사하고 실제로 실시간으로 응답하지 않는 한 아무도 공격자를 실제로 중지시키지 않는다면 공격자가 무엇을 하든 상관없습니다.
범죄를 수사하고 있다면... 집 안에서 총을 발견했다고 가정해 봅시다.
총을 제거할 수 있습니다. 훌륭합니다.
하지만 어떻게 거기에 도착 했습니까?
그것이 더 큰 질문입니다.
의심스러운 행동에 대해 경고하는 소프트웨어가 있습니까?
그런 다음 실제로 컴퓨터를 격리하고 파일을 차단하고 IP 주소를 차단할 수 있는 능력이 있습니까?
오리. 아마도 사이버 보안 소프트웨어의 주요 목표는 사기꾼을 무기한, 영원히 막는 것일 것입니다.
...그러나 누군가가 조만간 실수를 하거나 도둑이 어떻게든 들어올 것이라는 가정하에 그런 일이 발생해도 여전히 괜찮습니다.
베드로. 사람들을 참여시키기 시작하자마자… 그들이 막히면 그들은 다른 것을 시도합니다.
아무도 그들을 막지 않는다면, 그들은 지루해지거나 성공할 것입니다.
시간 문제 일뿐입니다.
오리. 10년 또는 15년 전에는 큰 성공을 거두었을 것입니다. 악성 코드 파일이 디스크에 떨어졌습니다. 감지됨; 수정됨; 자동으로 제거됨; 로그에 넣으십시오. 체크하다; 서로 등을 두드리자...
...오늘날 그것은 실제로 고의적일 수 있습니다.
사기꾼은 정말 사소한 일을 시도할 수 있으므로 당신이 그들을 이겼다고 생각하지만 *실제로* 그들이 하는 일은 어떤 일이 눈에 띄지 않을 가능성이 있는지 알아내려고 하는 것입니다.
베드로. Mimikatz라는 도구가 있습니다. 일부는 이를 합법적인 침투 테스트 도구로 분류합니다. 일부는 악성 코드로 분류합니다.
메모리에서 자격 증명을 훔치는 도구입니다.
따라서 Mimikatz가 컴퓨터에서 실행 중이고 누군가가 해당 컴퓨터에 로그온하면 사용자 이름과 암호가 필요합니다.
100자 암호가 있더라도 상관없습니다. 아무런 차이가 없습니다.
오리. 그것은 단지 그것을 기억에서 들어 올립니다?
베드로. 예.
따라서 보안 소프트웨어가 Mimikatz를 감지하고 제거하면 많은 사람들이 “훌륭합니다! 나는 구원받았다! [드라마틱] 바이러스가 사라졌다!”
그러나 문제의 근본 원인은 하나의 파일이 감지되어 제거되었다는 것이 아닙니다…
...처음에 누군가가 그것을 거기에 넣을 수 있는 능력을 가지고 있었다는 것입니다.
오리. 이미 작업을 수행하려면 시스템 관리자 권한이 필요하기 때문입니다. 그렇죠?
베드로. 예.
나는 더 큰 우선 순위가 있어야 한다고 생각합니다: 당신이 공격을 받을 것이라고 가정하거나 이미 공격을 받았다고 가정합니다.
이를 처리할 수 있는 프로세스가 있는지 확인하고 모든 사람이 액세스할 수 없도록 중요한 문서를 한 곳에 보관할 수 있도록 네트워크를 최대한 세분화했는지 확인하세요.
누구나 무엇이든 액세스할 수 있는 하나의 크고 평평한 네트워크를 갖지 마십시오. 이는 공격자에게 완벽합니다.
공격자의 사고 방식을 조금 생각하고 데이터를 보호해야 합니다.
나는 개인적으로 여러 회사에 대해 수백, 아니 수천 건의 다양한 사건을 조사했습니다.
… 그리고 환경에 있는 모든 시스템을 보호하는 단일 회사를 본 적이 없습니다.
나는 그들이 그렇게 *말*하는 것을 많이 만났고, 우리는 그들이 그렇지 않다는 것을 증명했습니다.
컴퓨터가 XNUMX대밖에 없는 사용자나 회사도 있었는데 그들은 "모두 보호받고 있습니다."라고 말했습니다.
하나는 그렇지 않은 것으로 밝혀졌습니다!
Cobalt Strike라는 도구가 있는데, 이 도구를 사용하면 기계에 쉽게 접근할 수 있습니다.
그들은 Cobalt Strike를 배치할 것입니다…
오리. 라이선스 전용 침투 테스트 도구여야 하는 것 아닌가요?
베드로. 예스스… [일시 중지]
우리는 그것에 대한 내 의견에 대해 완전히 다른 팟캐스트를 가질 수 있습니다.
[큰 웃음]
오리. 사기꾼들은 불법 복제에 대해 그다지 걱정하지 않는다고 가정해 봅시다…
베드로. 그들은 도구를 사용하고 있고 그 도구를 네트워크 전체에 배포합니다. 예를 들어 50대의 컴퓨터에 배포합니다.
그것은 안티 바이러스에 의해 탐지되고 공격자는 무슨 일이 일어났는지 모릅니다… 단지 작동하지 않았을 뿐입니다.
그러나 두 대의 시스템이 보고를 시작합니다. 이 두 대의 시스템은 보호 기능이 없기 때문입니다.
자, 이제 공격자는 아무도 그들을 보고 있지 않다는 것을 알고 있기 때문에 아무도 무슨 일이 일어나고 있는지 볼 수 없다는 것을 알고 두 머신으로 이동할 것입니다.
안티 바이러스가 없는 곳입니다.
이제 그들은 네트워크의 다른 시스템에 액세스하기 위해 필요한 만큼 며칠, 몇 주, 몇 달, 몇 년 동안 그곳에 살 수 있습니다.
모든 것을 보호해야 합니다.
무슨 일이 일어나고 있는지 볼 수 있도록 도구가 있어야합니다.
그런 다음 실제로 이에 대응할 사람들을 배치해야 합니다.
오리. 사기꾼들이 여기에서 상당히 조직화되고 있기 때문입니다. 그렇지 않습니까?
우리는 최근 랜섬웨어 갱 세계에서 발생한 일부 낙진을 통해 알고 있습니다. 여기서 일부 계열사(그들은 랜섬웨어를 작성하지 않고 공격을 수행합니다)...
...그들은 갱단의 핵심에 있는 사람들에 의해 자신들이 부족하다고 느꼈습니다.
베드로. 예.
오리. 그리고 그들은 그들의 플레이북과 운영 매뉴얼을 모두 유출했습니다.
개인 사기꾼이 모든 일에 전문가일 필요는 없다는 좋은 지표입니다.
그들은 스스로 이 모든 것을 배울 필요가 없습니다.
원하는 경우 랜섬웨어 크루에 합류할 수 있으며 “이것을 시도하십시오. 그래도 작동하지 않으면 시도해 보십시오. 이것을 찾으십시오. 설정; 백도어를 만드는 방법은 다음과 같습니다.”…
베드로. 예, 이제 입력 표시줄이 엄청나게 낮습니다.
당신은 갈 수 있습니다… 심지어 어두운 웹 – 당신은 이것을 시작하기 위해 알아야 할 대부분의 것에 대해 Google을 할 수 있고 YouTube 비디오를 볼 수 있습니다.
현재 LockBit, Alpha, Hive와 같은 큰 랜섬웨어 이름이 있습니다.
그들은 그들이 들여보내는 사람에 대해 상당히 엄격한 규칙을 가지고 있습니다.
그러나 Phobos 랜섬웨어와 같은 다른 그룹이 있습니다. 이들은 거의…
...그들은 대본에 따라 일을 하고, 그냥 합류하고, 대본을 따르고, 공격을 하고, 돈을 벌 수 있는 사람들의 콜 센터와 거의 같습니다.
비교적 쉽습니다.
튜토리얼도 있고, 동영상도 있고, 랜섬웨어 그룹과 실시간 채팅을 통해 조언을 얻을 수 있습니다... [LAUGHS]
오리. 우리는 약 XNUMX년 전에 그것이 무엇이었는가를 알고 있습니까?…
...REvil 랜섬웨어 크루가 두었던 곳 비트코인 1만 달러 새로운 랜섬웨어 운영자 또는 계열사를 모집하기 위해 온라인 포럼에 미리 참여하십시오.
그리고 당신은 "오, 그들은 어셈블리 프로그래밍, 낮은 수준의 해킹 기술, 커널 드라이버 전문 지식을 찾고 있을 것입니다."라고 생각합니다.
안돼!
그들은 "백업 소프트웨어 및 가상 머신에 대한 경험이 있습니까?"와 같은 것을 찾고 있었습니다.
그들은 사람들이 네트워크에 침입하는 방법, 백업이 있는 곳을 찾는 방법, 그리고 그것을 망치는 방법을 알기를 원합니다!
베드로. 그게 전부 야.
앞서 말했듯이 액세스 권한을 구매할 수 있는 초기 액세스 브로커가 있습니다.
...이제 당신은 랜섬웨어 계열사로서 피해자가 지불할 수밖에 없도록 가능한 한 많은 피해를 입히는 것이 당신의 임무입니다.
오리. 이것을 긍정적으로 바꾸자…
베드로. 좋아요.
오리. 일반적으로 누군가가 "오 이런, 우리가 다르게 했다면"이라고 깨달을 때 호출되는 사고 대응자로서…
… 세 가지 주요 팁은 무엇입니까?
당신이 할 수 있는 세 가지가 가장 큰 차이를 만들 것입니까?
베드로. 첫 번째는 다음과 같습니다. 동료와 함께 테이블 주위를 둘러보거나 Zoom을 사용하고 이러한 종류의 탁상 운동을 시작하십시오..
서로에게 질문하기 시작합니다.
랜섬웨어 공격을 받으면 어떻게 될까요?
모든 백업이 삭제되면 어떻게 됩니까?
누군가 네트워크에 공격자가 있다고 말하면 어떻게 될까요?
도구가 준비되어 있습니까?
실제로 이에 대응할 경험과 사람들이 있습니까?
이러한 유형의 질문을 시작하고 그것이 당신을 어디로 이끄는지 확인하십시오…
...경험이 없고 대응할 도구가 없다는 사실을 곧 깨닫게 될 것이기 때문입니다.
그리고 필요할 때 *미리 준비*해야 합니다.
오리. 전혀.
나는 그것에 더 동의할 수 없었다.
많은 분들이 그렇게 하는 것이 “실패를 준비하는 것”이라고 느끼시는 것 같아요.
그러나 그것을 하지 않는 것은 "준비에 실패하는 것"이며, 그것은 당신이 정말로 갇혀 있다는 것을 의미합니다.
최악의 상황이 발생하면 *그러면* 대비하기에는 너무 늦기 때문입니다.
정의에 따르면 준비는 사전에 수행하는 작업입니다.
베드로. 건물에 불이 났을 때 화재 안전 매뉴얼을 읽지 않습니다!
오리. 그리고 특히 랜섬웨어 공격의 경우 "IT 팀은 무엇을 합니까?"보다 더 많은 것이 있을 수 있습니다.
같은 것들이 있기 때문에…
누가 언론과 대화할 것인가?
누가 고객에게 공식 성명을 발표합니까?
필요한 경우 누가 규제 기관에 연락합니까?
알아야 할 것이 엄청나게 많습니다.
베드로. 그리고 두 번째로 앞서 말씀드린 것처럼 당신은 모든 것을 보호해야합니다.
네트워크의 모든 단일 시스템.
Windows, Mac, Linux… 중요하지 않습니다.
그것에 대한 보호 기능과 보고 기능이 있습니다.
오리. [IRONIC] 오, 리눅스는 멀웨어로부터 자유롭지 않습니까? [웃음]
베드로. [심각] 리눅스 랜섬웨어 증가…
오리. 그러나 또한 Linux 서버는 종종 출발점으로 사용됩니다.
베드로. 현재 Linux의 큰 영역은 ESXi 가상 호스트 서버와 같은 것입니다.
오늘날 대부분의 랜섬웨어 공격은 대규모 그룹입니다. 이들은 VMDK 파일 수준에서 가상 머신을 실제로 암호화할 수 있도록 ESXi 서버를 노립니다.
해당 머신이 부팅되지 않음을 의미합니다.
사고 대응자는 부팅조차 할 수 없기 때문에 제대로 조사조차 할 수 없습니다.
오리. 아, 그래서 그들은 전체 가상 머신을 암호화하므로 완전히 암호화된 디스크를 갖는 것과 같습니까?
베드로. 예.
오리. 그들은 VM을 중지하고 파일을 스크램블할 것입니다. 아마도 모든 스냅샷과 롤백을 제거할까요?
베드로. 네, 모든 것을 보호해야 합니다.
가정하지 마십시오!
누군가 "모든 기계가 보호되고 있습니다."라고 말하면 부정확한 것으로 받아들이고 어떻게 확인하는지 물어보십시오.
그리고 세 번째로, 보안이 복잡하다는 사실을 받아들임.
끊임없이 변화하고 있습니다.
당신은, 당신의 역할에서... 당신은 아마도 연중무휴 24시간 이 문제를 다룰 수 없을 것입니다.
아마도 다른 우선순위가 있을 것입니다.
따라서 Sophos 및 MDR Services와 같은 회사와 협력하십시오…
오리. 그건 관리되는 탐지 및 대응?
베드로. 관리형 탐지 및 대응… 네트워크를 모니터링할 수 없는 경우 사람들이 연중무휴 24시간 네트워크를 모니터링합니다.
오리. 따라서 이미 "나쁜 일이 발생했습니다."라고 말하는 사고 대응만이 아닙니다.
"뭔가 안 좋은 일이 *곧* 일어날 것 같으니 그냥 넘어가자"가 포함될 수 있습니다.
베드로. 이들은 한밤중에 일요일 새벽 2시에 일할 팀이 없기 때문에…
… 이들은 네트워크에서 무슨 일이 일어나고 있는지 보고 공격을 중지하기 위해 실시간으로 대응하는 사람들입니다.
오리. 그들은 당신이 정문에 걸어둔 값비싼 자물쇠를 누군가가 조작하고 있다는 사실을 찾고 있습니까?
베드로. 그들은 24/7 경비원입니다. 가서 자물쇠가 변경되는 것을 지켜보고 막대기를 가져갈 것입니다. [LAUGHS]
오리. 그리고 다시, 그것은 실패를 인정하는 것이 아닙니다, 그렇죠?
"오, 우리가 누군가를 고용한다면 그것은 우리가 보안에 대해 무엇을 하고 있는지 모른다는 것을 의미해야 합니다"라고 말하는 것이 아닙니다.
베드로. 이것은 복잡한 산업이라는 것을 인정합니다. 도움을 받으면 더 잘 대비하고 더 안전하게 보호할 수 있습니다.
그리고 그것은 그들이 집중해야 할 것에 집중할 수 있도록 당신의 자원 중 일부를 비워줍니다.
오리. Peter, 나는 그것이 끝내기에 좋은 곳이라고 생각합니다!
오늘 들어주신 모든 분들께 감사의 말씀을 드리고 마지막으로 한 가지만 여쭙겠습니다.
즉, 다음 시간까지 보안을 유지하세요!
[모스 식 부호]
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2022/12/29/s3-ep115-true-crime-stories-a-day-in-the-life-of-a-cybercrime-fighter-audio-text/
